Forum Ubuntu-it

Ciao a tutti,
mi scuso subito se ho sbagliato il luogo del post.
Vi espongo la questione.
La ditta che ha preso l'incarico di amministratore di sistema presso la scuola dove lavoro sostiene che non può certificare il filtraggio sui contenuti, dopo aver installato il firewall, poiché alla rete sottostante sono collegati dei PC linux (xubuntu, raspbian e xubuntu-on-raspberry).
Vorrei sapere se per voi ha senso affermare una cosa del genere.
Anche perché allora basterebbe una distro live per bucare il firewall e vedere le donnine nude .......
Da "non addetto ai lavori" penso che sia una castroneria, ma ci sono talmente tante cose che non conosco.....
Voi che ne sapete certamente di più che dite?

Sicuro della vostra attenzione vi ringrazio anticipatamente per il tempo dedicatomi.

anche io come te sono un "non addetto ai lavori" ma la penso allo stesso modo penso che sia una castroneria

Bhe non vuole certificare il filtraggio ben sapendo che un sito può essere rimbalzato attraverso un proxy e quindi bypassare facilmente i loro filtri , e in questo caso se loro certificassero la scuola potrebbe chiedergli i danni ...

james bong [url=https://forum.ubuntu-it.org/viewtopic.php?p=5154701#p5154701][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: La ditta che ha preso l'incarico di amministratore di sistema presso la scuola dove lavoro sostiene che non può certificare il filtraggio sui contenuti, dopo aver installato il firewall, poiché alla rete sottostante sono collegati dei PC linux (xubuntu, raspbian e xubuntu-on-raspberry).
Vorrei sapere se per voi ha senso affermare una cosa del genere.

Per me potrebbe averlo...

james bong [url=https://forum.ubuntu-it.org/viewtopic.php?p=5154701#p5154701][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Anche perché allora basterebbe una distro live per bucare il firewall e vedere le donnine nude .......
Da "non addetto ai lavori" penso che sia una castroneria, ma ci sono talmente tante cose che non conosco.....
Voi che ne sapete certamente di più che dite?

La certificazione garantisce che le cose vanno come scritto e non possono andare diversamente.
Se la soluzione tecnologica avallata non è fatta sufficientemente bene, è un enorme autogol certificarla per poi farsi svenare dal cliente che dimostra che la certificazione non è valida.

La struttura di rete, le attrezzature, l'accessibilità al cablaggio debbono essere tutte coerenti con la soluzione di content filtering, per poter certificare. E se la scuola non consente che tutto il corollario al content filtering sia "conforme" alle necessità, la certificazione non è opportuno erogarla.

In assenza di richiesta di supporto tecnico sposto al bar.

quoto @Pike

james bong [url=https://forum.ubuntu-it.org/viewtopic.php?p=5154701#p5154701][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Anche perché allora basterebbe una distro live per bucare il firewall e vedere le donnine nude .......

se la rete non è stata progettata a dovere, basta un qualsiasi dispositivo BYOD (Windows, Linux, MacOS, Android, ... ) collegato alla rete, NON sotto il controllo degli amministratori di rete.

Secondo me non ha senso che non certifichino, il TCP/IP è uguale per qualsiasi sistema si utilizzi, se le regole di filtraggio del firewall sono fatte a dovere e rispettano alla lettera le direttive fornite dalla scuola e dal produttore/gestore del firewall allora non c'è motivo per dubitare che qualche cosa non vada come previsto... il resto è tutta politica.

basta un qualsiasi dispositivo BOYD

occhio alla posizione delle lettere, è BYOD... Bring your own device.

Clover [url=https://forum.ubuntu-it.org/viewtopic.php?p=5159570#p5159570][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Secondo me non ha senso che non certifichino, il TCP/IP è uguale per qualsiasi sistema si utilizzi, se le regole di filtraggio del firewall sono fatte a dovere e rispettano alla lettera le direttive fornite dalla scuola e dal produttore/gestore del firewall allora non c'è motivo per dubitare che qualche cosa non vada come previsto... il resto è tutta politica.

Anche se quel che affermi è teoricamente corretto, non sono d'accordo. Per capire quanto è efficace il filtraggio - il controllo della rete in generale - occorrerebbe sapere esattamente come è fatta la rete. "Dove" e "come" viene applicato il controllo.
Ipotesi: tutti gli host sono Windows e sono tutti sotto Active Directory. Si sono accorti che se un host non è sotto dominio riesce a sfuggire ai controlli.

Clover [url=https://forum.ubuntu-it.org/viewtopic.php?p=5159570#p5159570][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: occhio alla posizione delle lettere, è BYOD... Bring your own device.

Ops ...

thece [url=https://forum.ubuntu-it.org/viewtopic.php?p=5159564#p5159564][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:se la rete non è stata progettata a dovere, basta un qualsiasi dispositivo BYOD (Windows, Linux, MacOS, Android, ... ) collegato alla rete, NON sotto il controllo degli amministratori di rete.

Mi permetto di contraddirti, thece.
Non è solo questione di progetto ma principalmente di realizzazione consentita. Mi preme sottolineare questo punto perchè spesso in ambito operativo la soluzione proposta non viene accettata, ma ne chiedono delle modifiche o ne impediscono realizzazioni di parti.
Ancora, a volte è il prezzo ad essere rifiutato, non della sola soluzione ma anche delle modifiche ed implementazioni necessarie a metterla in pratica. Diventa quindi indispensabile "fare lo stesso con meno", il che a volte porta a far saltar per aria alcune sicurezze intrinseche della soluzione.

Beninteso: un progetto fatto con i piedi tale resta.

Si, sono ben conscio dei problemi di cui parli. Intendevo l'implementazione, quel che è stato messo in campo. Ho usato il termine sbagliato.

thece [url=https://forum.ubuntu-it.org/viewtopic.php?p=5159571#p5159571][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:

Clover [url=https://forum.ubuntu-it.org/viewtopic.php?p=5159570#p5159570][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Secondo me non ha senso che non certifichino, il TCP/IP è uguale per qualsiasi sistema si utilizzi, se le regole di filtraggio del firewall sono fatte a dovere e rispettano alla lettera le direttive fornite dalla scuola e dal produttore/gestore del firewall allora non c'è motivo per dubitare che qualche cosa non vada come previsto... il resto è tutta politica.

Anche se quel che affermi è teoricamente corretto, non sono d'accordo. Per capire quanto è efficace il filtraggio - il controllo della rete in generale - occorrerebbe sapere esattamente come è fatta la rete. "Dove" e "come" viene applicato il controllo.
Ipotesi: tutti gli host sono Windows e sono tutti sotto Active Directory. Si sono accorti che se un host non è sotto dominio riesce a sfuggire ai controlli.

Ovviamente si sta parlando ipotizzando che la rete sia costruita correttamente, altrimenti ci sono problemi ben più gravi del controllo contenuti.
Per esempio, riprendendo la tua ipotesi direi che non è compito di AD o altri sistemi di controllo degli accessi o simili fare il controllo dei contenuti e nemmeno di un proxy come si faceva in passato... al giorno d'oggi il controllo dei contenuti da e verso internet deve essere affidato a sistemi capaci di effettuare il deep package/deep application inspection, ovvero firewall perimetrali che sono completamente slegate a ciò che sta nella rete e tutto il traffico da/verso internet deve passare da loro, se ciò non accade si parla di backdoor infrastrutturale, cosa assai grave.

Nel mio esempio ovviamente non stavo affermando che lo stretto controllo dei contenuti avvenisse attraverso l'Active Directory, piuttosto pensavo alla "blindatura" degli host intesa come configurazione, difatti ponevo l'accento sul diretto controllo da parte degli ammistratori di rete sugli host appartenenti o non appartenenti al dominio.
Tornando allo scenario abbozzato da @james bong non credo proprio che la scuola sia fornita di firewall con deep packet / application inspection, più realisticamente disporranno di un qualche firewall o proxy molto più basico e più facile da bypassare, da qui la "non certificazione".
Detto ciò rimango sulla mia posizione: senza sapere esattamente"dove" e "come" viene effettuato il controllo della rete, la "non certificazione" è assolutamente plausibile.

Un firewall "open source" con nDPI attivo...
https://www.nethserver.org/
Senza contratto di assistenza e updates "posposti"/testati.... gratuito.