# Amministrazione di rete.

## djinnZ

Ho avuto di recente una discussione con una specie di amministratore di sistema sulle modalità di gestione della rete e ci sono diverse cose che non riesco a capire (in realtà come ha cominciato a sentenziare sono troppo vecchio per queste str****te).

Costui professa i seguenti dogmi:

Lasciare l'abilità di connettersi direttamente a server mail esterni od interni è una grave vulnerabilità. Solo webmail perché sono più sicure.

Lasciare la possibilità di effettuare un rsync su server esterno è una gravissima vulnerabilità.

Una condivisione smb (per scambiare file criptati e pdf) è una vulnerabilità, più sicuro utilizzare desktop remoto accentrando le funzioni od al massimo utilizzare la mail (ma smtp non era il più facile da intercettare di smb?).

A parte i commenti sulla cretineria (scontata) vorrei sapere se qualcuno di voi ha sentito simili cose e se ne conosce l'origine (qualche pseudo documento tecnico di "mammona") tipiche rivistacce da sysdmin e cose del genere.

Solo da dove potrebbero scaturire simili affermazioni.

----------

## ago

Per come la vede questo tipo bisognerebbe spegnere tutto; tutto è vulnerabile  :Razz: 

----------

## djinnZ

leggi meglio: usare il protocollo smb per condividere un file (documenti contabili) è insicuro perché qualcun altro dell'ufficio potrebbe leggerlo o modificarlo mentre mandarlo in chiaro su una mail (condivisa tra più persone) che potrebbe intercettare chicchessia mentre rimbalza tra il server (esterno) e la rete interna è più sicuro ... mah.

Il problema è che mi servono autorevoli smentite o capire da dove ha preso codeste "leggende urbane" non è importante ma se mi capita vorrei fargli fare la sua degna figura.

Qualcosa del genere poter dire: "vedi mio caro, quando leggi gli articoli su xxx fai attenzione a non capire al contrario, se vedi bene è scritto ...." in tono condiscendente e davanti ad opportuna platea...  :Twisted Evil: 

Ripeto: se qualcuno può indicarmi eventuali fonti per codeste frottole ne sarei grato. Se ci avete già sbattuto il naso. Non è cosa da perderci la testa.

----------

## .:deadhead:.

mi sembra più frutto di leggende urbane che altro... Dicerie sentite lette e ripetute...

cosa vuol dire è più o meno sicuro?

se si permette l'accesso ai sistemi di posta solo su SSL (POPS, IMAPS etc etc) quel che prendi e/o invii al server non lo legge nessuno, e quindi l'unica "debolezza" sono le credenziali (brute force su user/pwd), problema che attanaglia anche un client web - con l'aggravante forse che in caso di vulnerabilità del suddetto client web potrebbe portare ad spiacevoli conseguenze.

Per il client smb si possono creare share con password... certo, non è il servizio ideale da esporre su internet (meglio SFTP) ma in una intranet...

Per rsync... se tu vai a leggere da fuori, rsync è un protocollo come un altro.. anzi forse fà meno danni un rsync che navigare sul web ed imbattersi in una pagina malevola. Se sto sedicente admin è tarato che apra sul firewall perimetrale la regola per uno specifico mirror, così da fugar ogni dubbio...

my 0.02€cent

----------

## djinnZ

 :Shocked:  dato che so che ci separano un migliaio di chilometri e che non credo ti interessi a quanto accade in terronia sono basito dalla coincidenza.

Oggi su un noto quotidiano locale si parla di come siano stati violati gli account email interni di diverse amministrazioni...  :Twisted Evil: 

Non mi ricordo chi disse che la differenza tra la preveggenza ed il portar sfiga è nella prospettiva...  :Mr. Green: 

cerca thorwed su twitter ...  :Twisted Evil:   :Twisted Evil:   :Twisted Evil: 

Il problema è che dovrei trovare qualcosa in stile mithbuster . Simili tarati si fanno schermo della laurea in ingegneria o dell'esser "tecnici".

Considera che anche in materia tecnica si ma non del loro ambito (fiscale, contabile, economica, legale etc.) non accettano quello che gli viene detto (da chi invece ha pieno titolo a sindacare i loro miti).

Tanto è solo per la soddisfazione di fargli fare la figura dei cretini.

 *Quote:*   

> regola per uno specifico mirror

 scusa ma mi viene da ridere solo all'idea di provare a spiegarla una cosa del genere... quando ne abbiamo discusso mi sono reso conto che non sanno neppure qual è la differenza tra porta in entrata e porta in uscita...

Grazie lo stesso però.

----------

## randomaze

 *djinnZ wrote:*   

>  *Quote:*   regola per uno specifico mirror scusa ma mi viene da ridere solo all'idea di provare a spiegarla una cosa del genere... quando ne abbiamo discusso mi sono reso conto che non sanno neppure qual è la differenza tra porta in entrata e porta in uscita...

 

Detto così il ragionamento iniziale non fa una piega:

1) Connettersi a mail server mal configurati è una grave vulerabilità

2) abilitare cose ignote é una grave vulnerabilità (rsync....)

3) sulle le connessioni smb in effetti propenderei per dav o sftp o simili...

----------

