Re: R: [ml] Re: postfix ed exchange

> UUCP potrebbe essere una soluzione, ma non 
> bisogna scordarsi che e' un
> protocollo "maturo" (per non dire che 
> e' praticamente inutilizzato) 


appunto e' talmente maturo che e' quasi marcio.... non lo 
sentivo nominare dai tempi delle BBS...... suvvia, siamo 
nel 2005 !







> > ora, il mio problema è che non voglio che postfix 
> > mandi la posta verso
> > l'interno, quanto piuttosto che sia exchange a 
> > prenderla.
> > per ovvi motivi!
> per me non sono cosi' ovvi, le alternative sono molto 
> peggio.


concordo col fatto che non siano cosi ovvi (e si, HO LETTO 
i commenti relativi al fatto che la "zona" piu' sicura, la 
rete interna INIZIA la connessione con la DMZ e non 
viceversa, etc etc.... e li ritengo anche loro ANTICHI, 
come UUCP...). Pensavo che fosse ora di farli andare in pensione
questi concetti....
...cavolo, ma tempo fa non avevamo parlato di De-Perimetrizzazione ? 

Piu' leggevo mail arrivate in lista con questo subject, piu' osservavo
allibito tutte le possibili alternative proposte per riuscire a
raggiungere
l'obbiettivo richiesto di non far parlare postfix con l'exchange
(ovvero a mio avviso col perverso desiderio di complicarsi la vita
SENZA migliorare la sicurezza). Piu leggevo queste mail, piu pensavo
allo speech di Steve Riley "the Death of the DMZ"
(http://www.steveriley.ms/media/the%20death%20of%20the%20dmz.wmv).






> seriamente: fai mandare la mail da postfix 
> all'exchange...


Infatti, ma qual'e' il problema nel farlo ? 






> Scusatemi tutti ma, per quello che ne so, l' approccio 
> "splittato" e' comunemente usato dappertutto: 
> un relay in DMZ ed un server Exchange
> interno. A meno che non si vogliano usare architetture a 
> DMZ multiple, piuttosto complesse, che obbligano a 
> molte interfacce sul firewall, e che a
> me sinceramente non piacciono molto, per aziende 
> che non abbiano esigenze
> particolari.


infatti.
dove la complessita' e' molto piu' nemica della security di 
quanto la semplicita' non lo sia....


...e infatti qualcuno ha scritto:





> Altro esempio di pessima architettura, e ennesima 
> conferma che e' importante costruire una architettura 
> ragionevole e semplice piu' che inseguire regole 
> astratte.


Concordo appieno.




> A quel  punto la  domanda e':  posso accettare il  
> rischio di  avere una
> singola connessione  "controllata" (posso restringere con 
> certezza ip e
> porta da  contattare sulla  lan, posso  sapere che  
> eventuali attaccanti
> devono provenire  dalla dmz, dal  server di posta  o da 
> una  macchina l2
> compromessa  con privilegi  elevati)  dalla dmz  alla  
> lan? La  risposta
> spesso e' si, almeno stando alle opinioni passate in 
> lista.



Infatti. Sono d'accordo.





> Se  la risposta  fosse  ancora  no, si  possono  fare  
> degli acrocchi  e
> ottenere cmq la seconda soluzione, rendendo piu' 
> complicata la faccenda,
> con  quello  che comporta  in  termini  di affidabilita', 
>  linearita'  e
> conseguentemente sicurezza



...sono contento che concordiamo che "sono degli accrocchi" 

:-)






Insomma scusate le risposte condensate e mescolate ad un thread gia'
dichiarato chiuso (mi scuso di essere intervenuto di nuovo ora
quindi)....
ma in questi giorni ci ho pensato talmente tanto che l'ho ascoltato e
riascoltato, lo speech di Steve Riley che ho citato qualche riga piu'
su.... e ho preso appunti... e pensavo a queste infrastrutture con
vari livelli di firewall e varie DMZ e complicazioni dovute alla
DIREZIONE del traffico... e ripensavo a quando IO facevo
l'amministratore di strutture di firewalls a piu' livelli con varie
DMZ.... proprio cosi' come quelle citate, con TANTA PIU' COMPLESSITA'
DEL NECESSARIO....


Insomma anch'io ho deciso che vorrei ammazzare la complessita', e
forse ammazzare queste DMZ....

Cosi' lo speech di Riley l'ho trascritto e poi l'ho tradotto - perche'
volevo DIFFONDERE questa idea, e so che non tutti masticano l'inglese
cosi' bene da sentirlo in lingua originale.

Nello scrivere l'ho anche un po' commentato e incrociato con i miei
pensieri... e il risultato di questo lo potete leggere su ITVC:
http://www.itvc.net/opinion/view.asp?id=290


ciao,

Daniele