Re: Firewall e VLAN

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Marzo 2002 ml@sikurezza.org
Soggetto: Re: Firewall e VLAN
Mittente: Fabio Pietrosanti (naif)
Data: 14 Mar 2002 18:48:52 -0000

On Thu, Mar 07, 2002 at 02:27:25PM -0800, bard0lin0@hushmail.com wrote:
> 
> Salute,
> 
> grazie delle risposte...comunque immaginate di avere un (solo) firewall con 14 servizi
> da isolare a vicenda ed esporre su internet: mettete 14 schede e altrettante DMZ??
> o usare meno NIC in trunk, spostando l'isolamento a livello di switching?
> Se trovo un fw che supporta la seconda soluzione, mica male...o no?

Le VLAN sono una soluzione comoda, da non usare in ambienti dove la sicurezza
deve essere a livelli di paranoia decenti in cui la separazione fisica e' un
requisito.

Posto questo requisito fai un ragionamento sul rapporto costi/benefici e valuta se
effettivamente a livello progettuale hai bisogno di 14 DMZ ( non ho mai visto
un firewall con 14 interfaccie e potrebbero esserci dei ragionamenti errati a
livello di progettazione dell'infrastruttura... ) o se ti basta raggruppare i
14 server a seconda delle loro funzioni e della delicatezza delle informazioni
ivi presenti arrivando ad avere 5/6 interfaccie sul firewall.

Nonostante cio', se vuoi veramente usare le vlan  ragionerei cosi':
                 ___________________
Server 1 ----|   |                  |Trunking
Server 2 ----|---- Catalyst 2900 XL -------- Firewall con vlan --- Internet
Server n ----|   |__________________| 

dove Firewall mi sembra possa essere:

- Netscreen => 500 ( http://www.netscreen.com )

- Cisco Router IOS IP/FW 12.2.x con subinterface e firewall statefull con CBAC
   es:
 interface FastEthernet0/0
 	duplex full
 	speed 100
 interface FastEthernet0/0.1
	encapsulation dot1Q 1
	ip address x.x.x.x 255.255.255.252 ( Ti basta avere 2 ip e magari
                                             anche in classe privata, cosi'
                                             facendo NAT hai un controllo
                                             maggiore sulla rete )
 link:

    http://www.cisco.com/warp/public/473/50.shtml
    http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/secur_c/scprt3/scdcbac.htm

- Linux + Iptables + http://sourceforge.net/projects/vlan/

- FreeBSD + ipfilter/ipfw + man 4 vlan ( http://www.arved.de/bsd/vlan_en.html)

- OpenBSD + ipfilter/pf + man 4 vlan

e dove non dovresti avere problemi relativamente al tipo di schede di rete
utilizzate sui server, in quanto tutta la parte di switching e gestione delle
VLAN viene demandata al catalyst .

Sfiga della vita: Il giorno e' fatto di sole 24 ore, e il tempo per gli affari
                  propri diminuisce giorno dopo giorno.

p.s. Nel mercato dei Firewall a breve ci sara' il boom di vendor che
     supporteranno l'802.1Q .

Saluti

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
 "Hacking is the future of security research" R.Power, CSI 
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- R: Firewall e VLAN, mailing lists
- ??Le VLAN sono una soluzione comoda??, cat_roger22

In risposta a:
- Firewall e VLAN, bard0lin0

Data:
- precedente: Re: Log & Privacy, Marco Marabelli
- successivo: R: Wireless Networking Security: As Part of Your Perimeter Defense Strategy, Marco Zonca
- indice

Argomento:
- precedente: Re: Firewall e VLAN, Andrea T.
- successivo: ??Le VLAN sono una soluzione comoda??, cat_roger22
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005