Re: sicurezza di un rete LAN di una PMI...SELFMADE!

Da questo post non ti aspettare delle soluzioni, ma soltanto qualche spunto
di riflessione, sempre che ormai il thread non sia annoying, ormai superato
o il contenuto del post sia gia' passato piu' (e piu') volte in lista.

> 1) vogliamo protezione dall'esterno verso l'interno, e controllare i log
>    prodotti;

Dovete anche 1) leggerli e, soprattutto, 2) interpretarli correttamente, per
evitare inutili e stressanti (per voi) falsi allarmi e non trascurare eventi
che, invece, potrebbero essere degni di nota. Temo che richieda tempo, oltre
che una perizia che va al di la dell'applicazione occasionale.

> 2) dall'interno verso l'esterno dovrebbe essere tutto permesso (o quasi)
>    visto che i dipendenti sono pochi e fidati

Non c'entra che siano fidati o meno, se quello che esce lo fa al di la della
loro volonta ;-) Io non farei uscire il traffico dei client con nat.

> 3) cerchiamo una soluzione non troppo complicata da attuare, altrimenti ci
>    saremmo rivolti ad un'azienda specializzata
> 4) è noto che UNIX è piu sicuro e stabile , ma non sappiamo se puo
>    convenire installare una macchina non windows come FILTRO tenendo conto
>    che in pochi la saprebbero usare bene e sfruttare

Non penso che delle macchine *nix siano piu' complicate "tout court". O, per
lo meno, non puoi generalizzare. Hai mai visto (per fare un esempio) qualche
distribuzione di linux specifica per l'uso come firewall? Se vuoi, prova una
mandrake MFN o SFN, od una Astaro. Installazione e configurazione sono tutte
con interfaccia grafica/web e assistite. La conoscenza del sistema operativo
che sta sotto diventa secondaria, esattamente come sarebbe con una appliance
firewall della $BIG_BRAND configurata e gestita usando i tool grafici o web.
Discorso quasi analogo per un firewall sotto windows.

> 5) vorremmo gestire la cosa con le nostre forze, se possibile (quindi non
>    troppo complicato)

Troppo complicato cosa? Forse vorresti dei pulsanti con un "OK"? Ma se sopra
c'e' scritto "Do you want to accept loose source route packets?" tu che fai?
La difficolta' non sta solo nell'aspetto dell'interfaccia o nel fatto che la
configurazione venga salvata nel registo di windows o in un file di testo ma
anche e soprattutto nei concetti che stanno alla base di quello che fai, che
sono platform-independent :-) Non vorrei far sembrare le cose piu' difficili
di quello che sembrano ma penso che se siete disposti ad imparare le basi il
fatto, poi, d'applicarle usando netfilter, PIX od ISA non sia molto diverso.
Almeno in realta' aziendali senza (apparentemente) esigenze specifiche, come
sembra essere la vostra. Tra l'altro devi anche considerare che il fatto che
dobbiate imparare, di per se, vuol dire che all'inizio le cose saranno fatte
"cosi'cosi'" e il miglioramento richiedera' tempo, inteso anche come impegno
da parte vosta. Vedete voi se ne puo' valere la pena.

> 6) comprare un router piu sicuro con firewall integrato puo valerne la
>    pena?

Non saprei. Penso che per rispondere a domande come questa (e altre) non sia
sufficiente il breve riassunto della tua situazione aziendale. Spesso quando
non ci sono dei server pubblici presso l'azienda, un router che faccia nat e
consenta un certo filtraggio (anche sul traffico source routed, per esempio,
giusto per ritornare all'esempio fatto prima) potrebbe anche essere piu' che
adeguato e investire in altre soluzioni piu' sofisticate potrebbe essere una
scelta antieconomica. Ma potrebbe essere anche una soluzione pericolosamente
inadeguata. Non si puo' prescindere neanche dal budget, ahime'.

> 7) come e da cosa dovremmo proteggerci maggiormente?

Da voi stessi. Vabbe', sto scherzando (ma neanche troppo). Comunque anche in
questo caso temo che non sia possibile dirti molto, senza sapere cosa dovete
proteggere e da chi. Vuoi una risposta secca? Dal malware. Soprattutto worms
di posta. Soprattutto (e ridaje) in uscita se avete problemi di immagine nei
confronti dei clienti. Un antivirus potrebbe non bastare: interponete tra il
server smtp e i client un relay con autenticazione (anche debole), visto che
avete gia' dei win2k server (mi pare d'aver capito).

Un ultimo appunto, dopo tutta questa spatafiata: la sicurezza poi dipendera'
anche da tante altre cose, non soltanto dal firewall (qualunque sia) e dalla
sua configurazione. E non pensare che (...mmmh, ma forse l'avevo gia' detto)
avere confidenza con il sistema operativo che userete o usare un'interfaccia
grafica semplificata per la configurazione siano di per loro garanzie che il
firewall che vi configurerete in casa possa essere adeguato.

Buon lavoro


Fabio


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List