07
03
07

TCP/IP e porta 80

18:07 Technocracy

Non so se mi sfugge qualcosa, ma rimango basito se penso al controsenso che c’è nella gestione dei Firewall a livello aziendale e non.

  1. Il TCP/IP, nato come fondamenta di internet, è costituito fondamentalmente da due cose: un indirizzo (IP) e una porta (TCP). Queste due parti sono state realizzate per un motivo ben preciso: con l’indirizzo IP siamo in grado di indicare una macchina all’interno di una rete, mentre con la porta TCP siamo in grado di specificare l’applicazione.
    Questo approccio è molto utile, se ci si pensa: in questo modo è facile capire quale applicazione sta girando ed eventualmente filtrarla secondo specifiche necessità.
  2. Ormai è abitudine in qualunque azienda che il Firewall (o applicativo analogo) muri tutte le porte ad esclusione della 80 (HTTP) e poco altro.
  3. Risultato: oggi gli applicativi sono fatti tutti per funzionare sulla porta 80, in modo da riuscire a funzionare anche se la rete è troppo restrittiva, visto che la porta 80 è l’unica “sicuramente” funzionante.
  4. Conseguenza: oggi è sempre più un problema “capire” cosa sta passando sulla porta 80, quindi un problema che era già risolto in origine (porta = applicazione) è ora da risolvere nuovamente con tecniche nettamente più complicate (bisogna sniffare il pacchetto, capire cosa passa… e la banda come la limiti? etc).

Non discendo ulteriormente in dettagli tecnici sia per chiarezza espositiva, sia comunque perché potrebbe sfuggirmi qualche dettaglio più a basso livello.
Al momento, però, lo trovo vagamente assurdo per certi versi, per altri una sorta di sintomo di qualcosa di diverso, probabilmente legato all’uomo e non alla tecnologia.

15 comments

1

Glorfind3l 2007 03 07 at 18:45

Se la gente è imbecille e non sa configurare un firewall che ci vuoi fare?:|
2

Folletto Malefico 2007 03 07 at 19:14

Non si tratta di saper configurare. :)
...non solo, almeno. :P
3

giacomo 2007 03 07 at 19:16

ok ..... quoto Glorfind3l e aggiungo pure che del male di User ne ho piene le palle U__U
4

Simbul 2007 03 07 at 19:28

TCP/IT? Internet Troppocol? :D

Cmq hai ragione. Curiosamente ora siamo tornati al punto di partenza (tutto passa) ma con uno svantaggio in più (non si può più usare la porta per identificare cosa passa). Viva il progresso :P
5

theo 2007 03 07 at 20:31

Adesso l'hw dovrebbe essere in grado di sniffare il traffico e riconoscerlo (entro certi limiti). D'altra parte, cambiare certe porte standard (la 22 ad esempio) è anche un problema di sicurezza e poi l'associazione porta/servizio è più un'indicazione che un obbligo ;)
6

Folletto Malefico 2007 03 07 at 20:53

Si, infatti, è ben questa l'assurdità a cui mi riferisco... :)

Primo perché ora siam costretti a sniffare una cosa che prima si faceva a livello Transport...

Secondo perché per "risolvere" un problema di sicurezza, ora non si sa più cosa sta passando e si è costretti ad usare dell'hw che lo faccia. :)

Personalmente, la trovo una dinamica affascinante. :)
7

jan 2007 03 07 at 22:15

Questo ha aperto un mercato ai produttori di appliance per packet inspection a livello 7 e loro varie declinazioni (IDS, shaping etc). Cresce la complessità economica e di gestione per chi fa la rete, ma restano identici i problemi di base che sono, almeno in ambito aziendale, un problema di risorse umane.
8

Folletto Malefico 2007 03 07 at 22:49

Non avrei saputo dirlo meglio. :)
9

Andrea Beggi 2007 03 08 at 00:49

Ero arrivato qui per scrivere quello che ha scritto Jan. I moderni firewall sniffano il traffico e, per mezzo di signature di pacchetti, filtrano le connessioni non desiderate.
Si può bloccare quasi qualunque cosa, senza contare che basta un proxy trasparente per chiudere la questione.
10

Folletto Malefico 2007 03 08 at 01:09

Certo, ma la considerazione non era tecnica, ma "un problema di risorse umane", in un certo senso. ;)
11

Alberto 2007 03 08 at 01:23

Che il "sintomo umano" del quale parli sia il fatto che cerchiamo una scorciatoia per risolvere un problema? Invece che fare le cose come si deve chiudo tutto eccetto la porta 80.
Pare che il maestro Joda non sia stato sufficientemente convincente nel dirci che la via breve porta al lato oscuro ;)
12

Lawrence Oluyede 2007 03 08 at 02:04

Vedila così: se tutte ste applicazioni non passassero dalla porta 80 sarebbero meno raggiungibili e meno visibili. Ce lo vedi tu un utente che invece di digitare www.appsupercool.com fa "www.server.com:8000" per il reader, "www.server2.com:8001" per l'altra app. ecc ecc :-D ?
13

Folletto Malefico 2007 03 08 at 02:21

L'obiezione è corretta, ma non si applica in questo caso. :)
Quando si parla di porte, non ci si riferisce ad applicativi web, ma ad applicativi che usano un loro, preciso protocollo per comunicare. Qualunque applicativo che funzioni su HTTP dovrebbe usare la porta 80.
Solitamente, al protocollo è associata una porta e quindi quando usi quel programma o quel protocollo, non c'è bisogno di specificare anche la porta, perché è gestita come un default: i browser stessi "dovrebbero" specificare sempre 80, ma non lo si fa perché sott'intendendo "http" viene aggiunto automaticamente. :)
(scusa se mi dilungo, ma potrebbe essere utile anche a chi legge e non conosce la materia in dettaglio, così colgo l'occasione)

Al contrario, la porta 80 è utilizzata oggi per fare passare dei "tunnel" generici. Prendi Skype ad esempio: idealmente usa altre porte, ma ha un fallback automatico sulla 80.

Cambia il protocollo, ma usa comunque la porta 80.
E questo è il problema a cui facevo riferimento. :)

~

Alberto, ...splendida citazione di Yoda. :)
14

Lawrence Oluyede 2007 03 08 at 10:48

Ah ecco! Beh effettivamente i client IM proprio per non essere firewallati hanno fallback sulla 80. Ora ho capito il problema ;-)
15

Morgan 2007 03 10 at 00:09

STRITOLATO IN UN CASSONETTO KILLER! Andate sul mio blog e aiutatemi a firmare la petizione contro la Caritas!
Grazie e scusami il disturbo.
http://www.acmedelpensiero.blogspot.com/