[GTER] LGPD
Luiz Fernando Mizael Meier
lfmmeier at gmail.com
Tue Dec 22 21:48:12 -03 2020
Pessoal,
Primeiramente, obrigado pelo retorno.
======================================================================
http://www.planalto.gov.br/ccivil_03/leis/l9296.htm
Há também várias apresentações no GTER e GTS ao longo dos anos comentando
esse ponto.
- Com certeza verificarei. Obrigado.
=======================================================================
Não é só filtragem baseado no SNI; inclui hostname, IP e resolução DNS.
Tentou resolver pornhub.com ? Vai para a página do castigo.
- Como eu disse, para casos mais simples e triviais (como o do seu
exemplo), atende. Tanto usando filtragem url quanto filtragem DNS, levando
em conta percalços levantados pelo Douglas.
=======================================================================
Querer é uma coisa, ser legal é outra.
- A vida não é fácil pra ninguém. De modo geral, vemos que a legislação não
tem acompanhado as demandas técnicas. O que nos cabe nesse latifúndio é
tentar conseguir trabalhar da melhor forma dentro do possível. :)
=======================================================================
Se a pessoa pode instalar o que quiser, já há infinitos furos.
- Essa é uma abordagem bastante simplista. O cara pode ter conseguido uma
versão portátil ("teu firewall não pegou ele baixando da internet?") ou ter
trazido num pendrive ("mas o DLP, ou antivírus, não pegou?"). E, se ele
conseguiu entrar e depois usar e você não pegou (por exemplo, por não usar
inspeção SSL): "mas o firewall não viu isso?". Quando se trata de fazer o
errado, já aprendi a nunca subestimar o usuário.
=======================================================================
O proxy explícito é justamente o que permite você negar solicitações
específicas (exemplo: CONNECT para o IP do pornhub).
Segurança eficaz é com proxy explícito, o resto sempre vai ter buraco.
- Estudarei isso.
Em ter., 22 de dez. de 2020 às 18:48, Rubens Kuhl <rubensk at gmail.com>
escreveu:
> On Tue, Dec 22, 2020 at 4:19 PM Luiz Fernando Mizael Meier <
> lfmmeier at gmail.com> wrote:
>
> > Boa Tarde!
> >
> > Usando o quepe de administrador de firewalls, e não de rede, achei a
> > discussão deveras interessante. Alguns pontos:
> >
> > 1) Dalton, Eu não tinha conhecimento de que a prática de inspeção SSL (em
> > que interceptamos, olhamos, e depois fechamos com outro certificado),
> > configura crime. Poderia, por gentileza, indicar a fonte da informação?
> >
>
> http://www.planalto.gov.br/ccivil_03/leis/l9296.htm
>
> Há também várias apresentações no GTER e GTS ao longo dos anos comentando
> esse ponto.
>
>
>
> > 2) O lance de só controlar sites e acessos devidos/indevidos só baseado
> no
> > SNI conforme os colegas descreveram, infelizmente, não atende mais
> > (unicamente) quando pensamos em proteção. URL filtering ainda é uma das
> > metodologias mais usadas para bloqueios simples por categorias e/ou
> regex.
> > Para o chefe ficar feliz que o juquinha não vai mais acessar o pornhub
> > durante o horário de expediente, funciona, mas quando vamos mais à
> frente,
> > as coisas se complicam bastante.
> >
>
> Não é só filtragem baseado no SNI; inclui hostname, IP e resolução DNS.
> Tentou resolver pornhub.com ? Vai para a página do castigo.
>
>
> > Exemplo: como permitir que seu usuário não use o Gmail, mas possa usar
> > outra solução do Google, sendo que ambos possuem a mesma URL? Vários
> > produtos do Google funcionam com google.com/PRODUTO. Nem sempre só a
> URL é
> > suficiente. Hoje queremos saber aplicações.
> >
>
> Querer é uma coisa, ser legal é outra.
>
>
> > 3) Falando sobre a inspeção SSL, ela é hoje parte fundamental para
> > conseguirmos classificar aplicações. Sem ela não consigo classificar
> > produtos do Google, como no item 2, ou pegar um cara usando UltraSurf
> > dentro da minha rede.
>
>
> Se a pessoa pode instalar o que quiser, já há infinitos furos.
>
>
> > Nós seguimos algumas diretrizes quanto à privacidade,
> > como não inspecionar conteúdos de saúde e financeiros, por exemplo. Isso
> > sem contar a ajuda da inspeção quanto à visibilidade de vulnerabilidades
> > pela sua engine de IPS.
> > 4) Douglas, pode explicar mais sobre essa sua questão a respeito da
> > efetividade do uso do proxy explícito? Você diz, se entendi, que a
> > efetividade de um proxy transparente, neste caso, é pior que um proxy
> > explícito? Eu questiono (o uso, pelo menos) porque, particularmente,
> acho o
> > proxy explícito pior de gerenciar, quando pensamos em configurações de
> > browsers, GPOs e etc.
> >
>
> O proxy explícito é justamente o que permite você negar solicitações
> específicas (exemplo: CONNECT para o IP do pornhub).
> Segurança eficaz é com proxy explícito, o resto sempre vai ter buraco.
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list