Security Pills #5

Questa non è proprio un caso reale ma teorico, al massimo in fase di progettazione. Potrebbe diventare reale se Smalville rinunciasse alle sue idee e si facesse ricoverare in qualche clinica per programmatori ;)

il tutto nasce da questo thread su microsoft.public.it.dotnet.asp. L'oggetto del contendere è: meglio una VPN o un server esposto in SSL?

Ci mancano elementi fondamentali quali ad esempio il numero di client o l'infrastruttura presente nella LAN della sede centrale, per capire se esiste una DMZ, se il server che verrebbe esposto è un 'puro' server web o ha altre funzioni, se il server web è necessario che si collegato alla LAN o meno (ad esempio potrebbe esporre i servizi applicativi sempre dall'IP pubblico via WS al gestionale interno). Ma non è questo il punto.

Il punto su cui vorrei focalizzarmi è che: non è detto che la VPN sia più sicura che esporre un server su Internet.

Andiamo per gradi.

La VPN: chi si connette in VPN ha l'accesso a tutte le risorse della lan come se fosse (virtualmente) in LAN? Nelle VPN che ho configurato io via ISA Server normalmente no, ma ho visto spesso e volentieri utenti VPN con accesso completo alla LAN.

I client: i client sono soggetti alle policy aziendali (e non parlo solo di GPO) in tema di sicurezza? Se sono PC privati dei negozi, non vedo perchè debbano esserlo. Inoltre possono subire attacchi da altri client collegati alla stessa vpn? I client vengono utliizzati dal figlio 13enne del negoziante per scaricare di ogni e che quindi può potenzialmente fungere da cavallo di troia una volta in VPN?

Autenticazione: Come vengono custodite le credenziali per accedere alla VPN: postit sul monitor? Esiste una politica di sensibilizzazione del negoziante sui temi della sicurezza informatica? Se non protegge le credenziali di un sito al massimo si trova degli ordini non richiesti, se lascia in giro le credenziali di una VPN i danni possono essere maggiori (vedi paragrafi precedenti)

Conclusioni:

La VPN non è la parolina magica che mette tutti al sicuro, anzi se male configurata e gestita può provocare ben più danni di un onesto server WEB in una onesta DMZ.

Print | posted on Thursday, June 14, 2007 12:52 AM

Comments on this post

# re: Security Pills #5

Requesting Gravatar...
Hai ragione Lorenzo, sono script che fanno test lato client e informano il server VPN se determinate regole non sono rispettate (update, antivirus ecc..) anche ISA li usa e puoi definire una policy specifica per questi client (tipo accesso al server WSUS o all'aggiornamento dell'antivirus). Credo siano satati introdotti con la R2 e ma dovrebbero essere decisamente migliorati sotto Vista e Server 2008. http://blogs.technet.com/nap/
Left by Alessandro Scardova on Jun 14, 2007 1:45 AM
Comments have been closed on this topic.