Il 27/02/2013 08:32, Nicola Canepa ha scritto:
Se posso dare il mio contributo ritengo invece che un firewall "di default" chiuso in
ingresso può proteggere da possibili aperture indesiderate di servizi magari a causa di
vulnerabilità di Java.
A meno di confidare in un'opportuna configurazione di selinux o apparmor
mi permetto di dissentire (ovviamente con tutti gli IMHO del mondo):
secondo me, e per quel poco che ho imparato della "sicurezza pura", un
firewall sulla macchina la definisce come bastion host e non come
firewall, e il suo livello di sicurezza e' sempre e comunque
"inferiore". in una rete di casa la cosa peggiora in maniera
esponenziale in tempi di solito molto rapidi. perche'?
perche', per esempio, se hai poche macchine, quando si tratta di
"gestire" e non di "installare" sei portato a dire "tanto ho già
iptables sulle macchine quindo non serve che gli faccia una macchina
dedicata davanti".
se ti vuoi preoccupare di aperture indesiderate di servizi, visto che
non stiamo parlando di reti aziendali ma casalinghe, fai una protezione
di frontiera che e' molto piu' efficace "nella realta'", quantomeno
perche' sulla macchina di frontiera dedicata ci metti solo i servizi di
firewalling, non ci fai altri paciughi e quindi sai molto meglio "cosa
fa" rispetto al pc di casa. e di solito sei portato a non metterci sopra
le mani, cosa che per assurdo a volte "limita i danni" (si lo so, 4
bacchettate me le sto già dando da solo, un fw dovrebbe SEMPRE essere
manutenuto, ma qui si parla ahimè di realtà di casa che fanno fin troppo
spesso i conti col poco tempo libero a disposizione).
Il suddetto Pc di casa sarà sempre prono a ricevere l'installazione del
sw cippalippa della $chiunquesia per fare stampe dal tablet via wifi che
apre robe non ben identificate (per fare un esempio qualunque).
Se sei preoccupato della sicurezza INTERNA della tua rete di casa, forse
il problema non e' da affrontare con un firewall , ma con una certa
attenzione a QUELLO CHE FAI, che resta SEMPRE molto piu' importante dei
filtraggi che puoi mettere qui e la e che poi appena ti rompono l'anima
per il programmino XYZ che controlla il tuo
scanner/tablet/smartphone/plotter/stampante/cipperimerloqualunque andrai
comunque ad alterare... spesso senza manco pensare troppo a quel che
fai, perche' "adesso questo robo deve funzionare poi ci pensero'"
il problema non e' "tecnico informatico" ma di propagazione di "bad
attitude"... e non nascondiamoci dietro un dito: a fronte di una rete
casalinga diventiamo improvvisamente tutti MOLTO più pigri e piu'
rilassati, anche sapendo che ci stiamo facendo del male. ma tanto io so
benissimo che a fumare mi faccio del male e lo faccio lo stesso... :-D
--
salumi e caci a tutti
Pietro Suffritti - Legolas The Elf
http//www.suffritti.it - http//gioco.net/startrek
http//www.treemmecarpi.org - http//www.adigitali.it
|