19

May

Sicurezza all’italiana

A livello di rete esistono tre principali ragioni solitamente addotte per ridurre l’universo dell’accedibile agli utenti: Consumo di banda, Sicurezza delle informazioni e Perdita di produttività.

Il consumo di banda è sicuramente la più sincera e comprensibile perché direttamente legata ai costi: la banda costa e talvolta, anche se oramai sempre più raramente, viene pagata per traffico generato; vivendo nel paradosso per il quale una connessione lenta viene pagata a tempo ed una veloce viene pagata a MegaByte trasferito è comprensibile che l’omino pagante non sia certo contento di avere una considerevole quantità di questi soldi impiegata sul sito della Gazzetta dello Sport o su youtube, per non dire youporn!

Sulla sicurezza delle informazioni esistono due sensi di marcia: il timore che qualcuno importi delle informazioni dannose come malware e la paura che qualcuno faccia uscire dalla rete aziendale informazioni riservate o sensibili.

La perdita di produttività che, non essendo un omino marketing, rinomino subito in perdita di tempo ci riporta alla Gazzetta dello Sport ed alla navigazione degli utenti che, secondo molti, li porterebbe ad enormi distrazioni e quindi vedrebbe gli utenti passare le giornate a navigare senza meta.

Premessa la mia criticità sulla reale importanza di questi tre punti avrei alcune osservazioni da fare, dal momento che la sicurezza da noi viene spesso applicata con la concezione cretina della negazione anziché del controllo: differenze concettuali simili a quelle tra un fiume e una diga.

In una rete la banda è definibile come quella cosa che non è mai abbastanza ampia, e, in questo periodo di diffusione di servizi real-time quali VoIP e Virtual Conference, Dio solo sa quanto razzionalizzarne l’utilizzo sia importante. Ma questo è compito del Networking, del QoS, della morfologia e struttura della rete e credo questo riguardi solo in minima parte la security.

Generalmente da noi l’inserimento di un nuovo firewall/IDS/IPS/AppLayerFilter viene vissuto dagli “amministratori” (si interpreti il nome tra virgolette come persona stressata con competenze tecniche raggranellate nell’esperienza diretta della sua sola rete che legge improbabili traduzioni italiane di ancora più improbabili manuali tecnici inglesi solo all’atto della configurazione ed a poche ore dalla scadenza giocando all’allegro chirurgo in ambiente di produzione) viene, dicevo, vissuto come un momento di orgasmo sadico per la possibilità di vendetta e scarico biliare sui propri utenti.

La procedura di configurazione avviene nel seguente modo: il nostro “amministratore” recide coi denti il cavo di rete che collega il switchettino aziendale al router, collega il nuovo firewall alla LAN ed al router, accende l’aggeggio e va a prendere il caffé mentre la stampante gli fascicola l’ultima guida appena scaricata.

Una volta tornato dalla macchinetta, vituperato dai colleghi che non riescono a raggiungere il sito della Gazzetta, si mette all’opera attivando qualsiasi tipo filtro presente, prediligendo quelli con parole chiave quali Deny e Detection, abilitando, come da guida stampata, la porta 80 in uscita. Il suo portatile, rigorosamente tenuto sulle ginocchia e collegato direttamente al rack, non riesce a connettersi.

Per risolvere il tutto la sua procedura consiste nell’abilitare a caso vari tipi di traffico possibile finché l’accesso ad internet non sarà ripristinato. Solitamente è a questo punto che il Nostro scopre l’esistenza del DNS e di quanto esso sia importante per poter navigare (mesi dopo scoprirà il proxy e ucciderà nuovamente il DNS).

Alle 4:30 della mattina, quando ormai la macchinetta del caffé è stata trascinata su per le scale in sala server e l’armadio rack è intasato dai bicchierini il mito vivente getta la spugna, stacca il cavo dal firewall e con rassegnazione ripristina il collegamento tra router e switch: riprenderà domani, con nuove guide, nuovi manuali e nuova rabbia da incanalare.

E noi, cari lettori, riprendiamo col prossimo post con i miei commenti sull’approccio italiano al problema security =)

Alla prossima!

by Francesco V. Buccoli on 5/19/2010
Post archive