On Wed, Feb 25, 2009 at 4:52 PM, Marco Ermini <[email protected]> wrote:
> 2009/2/23 Rissone Ruggero:
> [...]
>> Implementando una soluzione NAC tieni sotto controllo tutte le possibili
>> fonti di vulnerabilita', a prescindere da
>> cosa utilizza il dipendente "indisciplinato".
>
> Non capisco come un NAC possa controllare interfacce di rete sui
> client, diverse da quelle con cui il client stesso si collega alla
> rete aziendale... forse ho bisogno di essere illuminato? .-)
Dipende dalla soluzione di NAC.
Alcune agiscono installando un agente sul sistema (o appoggiandosi a
uno specifico agente preistallato), a quel punto "the sky's the
limit". Non ci sono che io sappia group policy che possono andare
cosi` nel dettaglio (immagino sia possibile disabilitare una classe di
dispositivi tout court, ma anche se e` cosi` e` davvero molto
grossolano)
> La soluzione migliore è come a volte accade non tecnica, ovvero
> imporre una policy aziendale. Quando vedi attività di malware o di
> traffico di rete non consentito provenire da un client, lo "becchi"
> specificamente e allora controlli se il tizio ha rispettato la policy
> o meno - e un controllo su una singola persona è piuttosto facile da
> fare.
Concordo. Purtroppo scala male con il numero di incidenti, ma per
numeri limitati e` piu` efficace di qualsiasi soluzione tecnica.
> Altra possibilità è avere un agreement con una compagnia telefonica
> per un APN dedicato alla tua azienda, su cui applichi security policy
> e tariffazione dedicati...
Visto dal punto di vista del cliente, e` molto poco appetibile. I
livelli di sicurezza, disponibilita`, affidabilita` e controllo di una
soluzione del genere sono molto inferiori rispetto a una VPN su
Internet, ma in compenso i costi sono maggiori (no, non e` un typo).
--
/kinkie
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
