Re: [ml] domanda su architettura di rete (DMZ)

Ciao Mariano è un po' che non ci si sente...
Solito discorso qua:Ridonda il firewall!!
Tieni presente che configurare un firewall per tutte le
macchine è meno dispendioso in termini di
tempo,efficente e sicuro piuttosto che configurare e
verificare i firewall su ogni singolo host (è
dispendioso anche in termini di performance...
oltretutto gli errori possono essere corretti molto più
velocemente e i log verificati più facilmente)
Teoricamente il non-plus ultra dovrebbe essere
(lato security) avere IDS in HA davanti ai firewall, i
firewall ridondati (possibilmente application layer)
IPS dietro questi e dei sensori host based sui
Server...(ricordati che dovresti avere ridondato anche
corrente linee di comunicazione ecc.)
E tutti questi log dovrebbero (sempre teoricamente)
finire dentro un SIM che correla questi dati in tempo
reale elimina i falsi positivi priorizza gli attacchi reali
ecc.ecc.
In pratica alzino la mano quante sono le società che
possono dire di aver adottato una strategia di
questo tipo e che realmente la gestiscono?

Più verosimilmente è reale e possibile configurare
dei firewall in HA e delle IPS dietro i firewall,
verificare periodicamente la sicurezza del tutto con
VA e patchare near realtime le macchine... e
soprattutto analizzare i Log!!!
A presto!


Ciao a tutti,
ho appena avuto un confronto (chiamiamolo così)
con il mio responsabile
riguardo a una soluzione di rete per la DMZ che
serve i nostri 5000+
utenti (DNS, mail hub, vari www,ftp, proxy, news), più
altre amenità di
servizio (accounting, monitoraggio etc).

La sua idea è quella di togliere di mezzo il firewall
Linux che gestisce
gli accessi alla DMZ, e di esporre direttamente le
macchine con dei
firewall iptables onboard. Sostiene che un firewall
che faccia da single
point of failure renderebbe inutile la ridondanza dei
servizi e  delle
macchine. Inoltre secondo lui, se si configurano
correttamente i demoni
in ascolto, la protezione di un firewall sul gateway
risulta inutile.

Parafrasando dei noti comici napoletani, "Ammè me
pare 'na strunzata".
Però vorrei essere chirurgico nel cassare senza
replica la cosa.

Ho già diverse idee a proposito, ma mi rivolgo a voi
per avere quanti
più spunti possibili. Tenete presente che:

1) Le macchine hanno IP pubblico assegnato
fisicamente (niente
destination NAT)
2) alcuni dei servizi che girano sui server non sono
visibili a tutto il
mondo (ad es. il monitoraggio), ed esistono dell
ACL IP-based
3) Il sensore dell'IDS non è su questo firewall ma è
posto "a monte"

Grazie anticipate

Mariano


__________________________________________________
______
http://www.sikurezza.org - Italian Security Mailing List