Re: Una riflessione e un confronto

[giovanni Scudeller <giovanniscudeller@gmail.com>]

Il 10/06/24 08:37, Mario Vittorio Guenzi ha scritto:
> Buongiorno a tutti,
>
> dopo taaaanti anni mi trovo a dover riprendere in mano un proxy squid 
> che sta' lavorando senza problemi, il proxy funziona con 
> l'autenticazione da AD.
E' secondo me è buon sistema per certificare la navigazione.
> La necessita' e' quella di renderlo trasparente perche' per industria 
> 4.0 mi trovo con un po di macchine nei reparti che non voglio vadano a 
> navigarein internet, quindi se io le faccio navigare  solo in LAN (che 
> e'  quello che devono fare) sono a posto.
Secondo il problema non è controllare la navigazione( acceso ad 
internet) dei dispositivi IOT altri sistemi che sono legati a queste 
soluzioni. Spesso si tratta di dispositivi che presentano BUG di 
sicurezza che non vengono aggiornati dal produttore. Per cui diventano 
la tana di possibili attacchi.

(vedi 
https://www.cisa.gov/news-events/alerts/2024/05/09/cisa-releases-four-industrial-control-systems-advisories 

https://www.cisa.gov/news-events/ics-advisories/icsa-24-144-01
https://www.cisa.gov/news-events/ics-advisories/icsa-24-142-01 e sono 
solo gli ultimi )

L'attaccante che arriva in rete, cerca questi dispositivi, ma potrei 
anche di alcune stampanti, Si piazza li e aspetta occasione a ti attacca 
la rete, Quando ad esempio devi fare assistenza da remoto ad uno di 
questi dispositivi (e te lo chiederanno prima o poi di attivare) e parte 
attacco.
Ideale è se possibile spostarli su vlan dedicate, magari anche una per 
linea e passando da un firewall permettendo di arrivare solo sui servizi 
a loro necessari.
> La parte di NFTABLES mi e' abbastanza chiara cosi' come almeno in linea 
> di principio la configurazione dello squid stesso si tratta di fare 4 
> test per aggiustare il tiro ma niente di che.
> Quello che pero' mi domando e':
> ha ancora senso usare un proxy come squid che fa sostanzialmente cache 
fare cache al giorno d'oggi non ha molto senso... Il controllo e 
tracciamento si.  Tieni conto che in caso di problemi ( accesso a siti 
non leciti,attacchi ad altre aziende) anche da parte di ospiti in 
azienda ricade sull' AD in prima battuta e poi bisogna dimostrare....
Essere pronto è meglio.
Non che sia pessimista, ma è qualcosa che è successo in questi giorni 
risolto in 2 minuti perchè c'erano le tracce.
Userei Squid proprio per questo.
> se oggi come oggi e' passato tutto in HTTPS e come e noto squid non fa 
> cache di pagine sicure?
>
> (http://www.faqs.org/docs/Linux-mini/TransparentProxy.html#ss2.3)
>
> Giro a voi il quesito e vi ringrazio in anticipo per le opinioni che 
> vorrete fornirmi.
>
> Cordiali saluti.