Molte pubblicità degli anni ’80-’90 hanno fatto la storia per via dei loro slogan ancora oggi attuali… ecco perché mi piace ironizzare sulla simpatica teoria che due gelati sono meglio di uno, per aiutarvi a comprendere come oggi sia mal interpretato il significato di sicurezza nell’ambiente IT.
Certe cose in realtà accadono, e, quando pensiamo di aver visto tutto, beh…è in quel momento che ci stupiamo di come l’esperienza ci riservi sorprese inaspettate e ci regali sempre nuove perle di saggezza…
L’episodio che sto per raccontarvi è storia vera. Il cliente ha un malfunzionamento: prima di giungere a una diagnosi, e comprendere così che la problematica era conseguenza di una scelta illogica e scellerata di un collega, si è reso necessario del tempo; poi l’amara conferma che c’è una scarsissima sensibilità dei colleghi nel settore delle appliance firewall.
E’ accaduto che, dopo diverse segnalazioni di malfuzionamenti della rete, ad es. indirizzi rilasciati in maniera errata, dispositivi duplicati, etc.., abbiamo potuto trovare in rete ben 3 dispositivi firewall (!) di cui:
uno brandizzato
uno open source
uno virtuale.
Abbiamo notato che ogni dispositivo provvedeva a creare una propria subnet e niente di più, creando di fatto un isolamento di tipo Layer 3 (!!).
Dopo un brevissimo breafing (al dire il vero molto imbarazzante), è emerso che, il tecnico in questione avrebbe voluto creare delle VLAN, ma, non sapendo come fare, aveva optato per una divisione tra dispositivi, cit. “più dispositivi, più reti divise”
…
Vorrei raccomandare a tutti i responsabili del settore IT delle aziende, che occorre affidarsi a professionisti validi e competenti, valutando sulla base di preventivi e progetti strutturati.
Con la sicurezza non si scherza: una configurazione come quella appena indicata avrebbe potuto essere molto più pericolosa e rischiosa di una banalissima network domestica. In tali condizioni nessuna appliance svolgerebbe decentemente il proprio lavoro in presenza di doppio o triplo NAT come quello generato presso il cliente, e non si disporrebbe di alcun punto unico di osservazione e di controllo della rete.
