Re: [ml] domanda su architettura di rete (DMZ)

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Marzo 2005 ml@sikurezza.org
Soggetto: Re: [ml] domanda su architettura di rete (DMZ)
Mittente: Igor Falcomata'
Data: Wed, 30 Mar 2005 14:11:20 +0200 (CEST)

On Tue, Mar 29, 2005 at 03:47:09PM +0200, Mariano Cunietti wrote:

> La sua idea è quella di togliere di mezzo il firewall Linux che gestisce
> gli accessi alla DMZ, e di esporre direttamente le macchine con dei
> firewall iptables onboard. Sostiene che un firewall che faccia da single
> point of failure renderebbe inutile la ridondanza dei servizi e  delle
> macchine. Inoltre secondo lui, se si configurano correttamente i demoni
> in ascolto, la protezione di un firewall sul gateway risulta inutile.

Alcuni spunti sono validi (spof[*]), nell'idea, ma uno dei requisiti del
firewall e' di essere un punto  di enforcement del traffico, aka esterno
alle macchine e alle rete a cui  applica le politiche; se il fw e' sulle
macchine stesse, in  caso di compromissione della root,  ti modifichi le
politiche come vuoi (o le aggiri a raw socket).

bye
Koba (moderatore)

[*]  cmq  risolvibile  con  due macchine  on  una  configurazione  stile
"floppy/cd fw"  con regole salvate  e la  possibilita' di tirare  su una
macchina ex-novo in pochi minuti.

Messaggi successivi:
- Re: [ml] domanda su architettura di rete (DMZ), Simo Sorce

In risposta a:
- [ml] domanda su architettura di rete (DMZ), Mariano Cunietti

Data:
- precedente: Re: [ml] ipaq 3130 nmap, Rinaldi, Alfredo
- successivo: Re: [ml] domanda su architettura di rete (DMZ), paolofabio.colombo
- indice

Argomento:
- precedente: [ml] domanda su architettura di rete (DMZ), Mariano Cunietti
- successivo: Re: [ml] domanda su architettura di rete (DMZ), Simo Sorce
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005