Re: [ml] Configurazione nuovo firewall

----- Forwarded message from altavalle <mauro.testini(at)altavalle.net> -----
From: altavalle <mauro.testini(at)altavalle.net>
To: ml(at)sikurezza.org
Subject: R: Digest di ml, Volume 21, Numero 11

----------------------------------------------------------------------
Date: Thu, 19 Jan 2006 11:26:41 +0100 (CET)
From: Nicola DT <nicola_dt(at)yahoo.it>
Subject: Re: [ml] Configurazione nuovo firewall
To: ml(at)sikurezza.org
 
Ciao, 
ti do un primo aiuto, sperando che poi qualcuno che abbia gia utilizzato
il fortigate completi le mie poche righe, faccio presente che ho solo
sottomano il manuale, non ho ancora messo mano all'apparato, peor' lo ho
visto in funzione da uno dei mei clienti.
 
Le porte Wan, se non erro sono 2, cio' ti permette di utilizzare 2
router e quindi avere sia la ridondanza, sia permetterti di non avere
mai un down in uscita (supponiamo tu abbia 2 router con 2 carrier
distinti).

Ovviamente le porte wan, dove hai attestato l'indirizzo pubblico da te
menzionato, possono anche prendere in carico altri indirizzi pubblici,
anche tutti quelli disponibili dei 5 che menzioni.
 
Se ricordo bene nel Fortigate c'e' una opzione Virtual Ip, che serve
proprio a fare "captare" al firewall i pacchetti per un indirizzo
pubblico diverso da quello dell'interfaccia (lo stesso vale anche per le
altre schede dmz e internal), per poi farlo gestire a proprio
piacimento.
 
Nel tuo caso, devi solo definire un Virtual Ip con un indirizzo pubblico
da te prescelto, assegnarlo (pensa ad redirecting) ad una macchina
interna, e poi con una regola di policy (se ricordo bene c'e' come una
scacchiera), devi scegliere external to dmz, abilitare l'http da
quell'ip esterno al server che ha un ip privato, cosi facendo "rimappi"
tutto cio' che arriva sulla porta 80 dell'indirizzo pubblico da te
scelto, sulla 80 del tuo server interno fisico.
 
Trovi a pagina 227 del manuale la spiegazione passo passo.
http://docs.forticare.com/fgt/admin/01-28008-0002-20050909_FortiGate-60_Admi
nistration_Guide.pdf
 
Per il secondo server che non dovra' essere in dmz (rimane da capire
perche'), puoi a scelta esporlo nella zona detta rossa, ovvero a fianco
della wan del firewall (deve essere super corazzato pero', e comunque e'
una scelta azzardata), o inserirlo nella tua lan.
 
Pro dell'inserimento in lan (rispetto ad una dmz): hai la macchina che
e' raggiungibile dalla tua lan direttamente, non devi programmare
regole, non hai nessun impatto rispetto a come la tua rete utilizzava
quel server in assenza di Firewall.
 
Contro: Se la macchina server accetta chiamate da internet, una volta
che un potenziale hacker prende possesso della macchina in questione, e'
gia arrivato alla tua lan, non ha piu ostacoli; non attraversando il
firewall non hai nemmeno nessun log sul fortinet che possa aiutarti a
capire chi cosa come e quando qualcuno e' entrato nella tua rete.
 
Domanda 2:

non devi aggiungere nessuna tabella di routing, e' sufficiente che al
firewall, tu dica che dalla entita' A puo' raggiungere la entita' B, con
una regola o policy.

Nel tuo caso se dovessi fare manutenzione alla macchina che e' in DMZ e
per assurdo la manutenzione la facessi via terminal server, sara'
sufficiente definire le 2 entita' A e B, tramite i loro rispettivi
indirizzi Ip, quindi scrivere una policy (pagina 202 del manuale), che
permetta all'entita' A (il tuo pc) di aggiungere la entita' B (il server
in DMZ) per il protocollo Terminal Server.

I pacchetti che il tuo pc A mandera' al suo default gateway (Fortinet),
saranno automaticamente gestiti dal firewall, alla DMZ con destinazione
rete DMZ entita' B.

So che puo' sembrare un po' articolato, specie per chi ha solo
esperienza coi router, ma il Firewall (che hai installato in modalita'
Nat e non in modalita' Bridge), si comporta cosi.
 
Domanda 3:
 
rispondo che e' possibile eseguire cio' che tu chiami nat (1:1), sempre
utilizzando un indirizzo virtuale che ad esempio mapperai nella
interfaccia interna, e che traslera' i pacchetti alla interfaccia Dmz,
come detto prima per il server da pubblicare in Internet. Pero' te lo
sconsiglio, secondo me e' sufficiente utilizzare una semplice regola di
firewalling, del tipo unita' A puo' accedere alla unita' B per il
protocollo X.
 
Spero di esseri stato d'aiuto,

ciao
Nicola.
----- End forwarded message -----