De: henrique <jmhenrique@yahoo.com.br>
Para: debian-user-portuguese@lists.debian.org
Enviadas: Sábado, 21 de Abril de 2007 19:33:59
Assunto: Re: Bloqueio de uploads de arquivos
Bem, se você montasse um esquema que verificasse strings no meu local
de trabalho, *EU* simplesmente ziparia/compactaria e criptografaria o
que eu quisesse enviar para fora... Já colocaria por agua abaixo o
esquema de strings. Isso se eu não tirasse fotografias da tela e
enviasse como jpg. E já que sou um developer, se eu estivesse
MUITO_A_FIM
de fazer uma copia, e me fossem retiradas as ferramentas de
compactacao e criptografia, eu as construiria usando java :D :D :D (Um
simples ROT13 é bem simplesinho de se fazer). Sem contar usar kermit
caso haja uma serial livre e eu ter uma calculadora HP48 por perto...
Já ouvi falar também de usar a LPT para transferir dados, mas nunca vi
de perto isso, somente li. Mas é de se considerar também.
É pra cada pessoa que inventa uma maneira de bloquear sistemas existem 100 tentando
burlá-lo. Vc me fez lembrar de uma coisa muuitttooo antiga: minha primeira rede com Windows
1.0 em um PCXT e um Windows 3.11 em um 386SX foi via porta paralela. Hahahaha!!!!
Concordo quando foi dito que caso haja esta necessidade, seja bloqueado
por completo o acesso ao mundo externo. Afinal, não estaria lidando com
um reles mortal. rsrsrs.
Eu também concordo: se o cliente tem tanta necessidade de impedir o trânsito de informações,
então, o mais eficiente seria uma rede sem contato externo com um servidor Subversion, ou
algo parecido. Se for necessário o tráfego de informações para fora, coloque esse servidor
como firewall entre a rede de desenvolvimento e a rede local. Assim, os desenvolvedores
fariam um comit no subversion pela rede deles, e pessoas de outros departamentos ou
externos poderiam acessar esses dados via rede principal.
Sem ser muito "teoria-da-conspiração", o desenvolvedor poderia fazer
até um esquema de copia ou envio do source usando um instalador
"patcheado", a ser rodado a partir de uma máquina que tivesse
suficientes direitos de acesso a net, como por exemplo a maquina do
diretor, na hora em que ele quisesse instalar o projeto
na maquina dele
para verificar o funcionamento. E agora, josé?? heehehhe.
Sei não, mas qualquer direito de acesso a internet, numa situação como essa, me parece um
buraco enorme para o tráfego de informação sigilosa (e muita dor de cabeça pro administrador
da rede). Além disso, um simples access point nessa rede já seria uma situação bastante
preocupante porque Handhelds com Wifi são do tamanho de maços de cigarro. Com um Palm
Pilot (sim é velho, mas usa porta serial que não está bloqueada) pode ser usado para copiar códigos... Aí a gente entra no âmbito da segurança patrimonial, e não só da segurança de
rede, porque seria necessário controlar a entrada e saída de equipamentos dos
desenvolvedores... Seu desafio é grande e não se resume ao simples controle de tráfego de
rede; se tiver de ser da maneira como você descreveu, vai envolver até mesmo mudanças na
cultura da organização... É triste, mas é verdade.
(E caso o acesso ao mundo externo fosse imperativo, que fosse
especificado um-a-um os sites que pudessem ser acessados. )
Entretanto, se seu cliente se contentar com uma solução mais simples, eu seguiria essa norma:
bloqueia tudo e só libera o necessário.
[ ]s, Henry
--- Carolinux <carolinux@click21.com.br> escreveu:
> Olá lista,
>
> Estou montando um firewall para uma empresa de desenvolvimento, e me
> foi pedido
> o seguinte:
>
> O desenvolvedor trabalha com o código do projeto (java) e não deve
> conseguir
> copiá-lo de forma alguma.
>
> As máquinas não possuem gravador de cd, disquete e nem usb ativa.
>
> O que queria fazer
é checar através de um filtro de pacotes todos os
> arquivos
> que SAEM das máquinas para saber se tem alguém enviando esses códigos
> pra fora
> e impedir (posso usar como regra as palavras reservadas da
> linguagem).
>
> O que vcs me recomendam? IPTABLES? Squid (li que o squid não verifica
> uploads)?
>
>
>
> Muito obrigada pela atenção,
>
>
> Caroline
> _
__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/ --
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Paulo de Souza Lima
Curitiba/PR
Linux User
432358