Il 10/06/24 08:37, Mario Vittorio Guenzi ha scritto:
Buongiorno a tutti,
dopo taaaanti anni mi trovo a dover riprendere in mano un proxy squid
che sta' lavorando senza problemi, il proxy funziona con
l'autenticazione da AD.
E' secondo me è buon sistema per certificare la navigazione.
La necessita' e' quella di renderlo trasparente perche' per industria
4.0 mi trovo con un po di macchine nei reparti che non voglio vadano a
navigarein internet, quindi se io le faccio navigare solo in LAN (che
e' quello che devono fare) sono a posto.
Secondo il problema non è controllare la navigazione( acceso ad
internet) dei dispositivi IOT altri sistemi che sono legati a queste
soluzioni. Spesso si tratta di dispositivi che presentano BUG di
sicurezza che non vengono aggiornati dal produttore. Per cui diventano
la tana di possibili attacchi.
(vedi
https://www.cisa.gov/news-events/alerts/2024/05/09/cisa-releases-four-industrial-control-systems-advisories
https://www.cisa.gov/news-events/ics-advisories/icsa-24-144-01
https://www.cisa.gov/news-events/ics-advisories/icsa-24-142-01 e sono
solo gli ultimi )
L'attaccante che arriva in rete, cerca questi dispositivi, ma potrei
anche di alcune stampanti, Si piazza li e aspetta occasione a ti attacca
la rete, Quando ad esempio devi fare assistenza da remoto ad uno di
questi dispositivi (e te lo chiederanno prima o poi di attivare) e parte
attacco.
Ideale è se possibile spostarli su vlan dedicate, magari anche una per
linea e passando da un firewall permettendo di arrivare solo sui servizi
a loro necessari.
La parte di NFTABLES mi e' abbastanza chiara cosi' come almeno in linea
di principio la configurazione dello squid stesso si tratta di fare 4
test per aggiustare il tiro ma niente di che.
Quello che pero' mi domando e':
ha ancora senso usare un proxy come squid che fa sostanzialmente cache
fare cache al giorno d'oggi non ha molto senso... Il controllo e
tracciamento si. Tieni conto che in caso di problemi ( accesso a siti
non leciti,attacchi ad altre aziende) anche da parte di ospiti in
azienda ricade sull' AD in prima battuta e poi bisogna dimostrare....
Essere pronto è meglio.
Non che sia pessimista, ma è qualcosa che è successo in questi giorni
risolto in 2 minuti perchè c'erano le tracce.
Userei Squid proprio per questo.
se oggi come oggi e' passato tutto in HTTPS e come e noto squid non fa
cache di pagine sicure?
(http://www.faqs.org/docs/Linux-mini/TransparentProxy.html#ss2.3)
Giro a voi il quesito e vi ringrazio in anticipo per le opinioni che
vorrete fornirmi.
Cordiali saluti.
