Re: [ml] domanda su architettura di rete (DMZ)

On Mar 29, 2005, at 3:47 PM, Mariano Cunietti wrote:

> La sua idea è quella di togliere di mezzo il firewall Linux che 
> gestisce
> gli accessi alla DMZ, e di esporre direttamente le macchine con dei
> firewall iptables onboard. Sostiene che un firewall che faccia da 
> single
> point of failure renderebbe inutile la ridondanza dei servizi e  delle
> macchine. Inoltre secondo lui, se si configurano correttamente i demoni
> in ascolto, la protezione di un firewall sul gateway risulta inutile.

Il che è in un certo senso vero, nella misura in cui fintanto che ad 
una macchina X non arriva il traffico q, poco importa chi sia stato a 
fermarlo.

Come faceva notare Koba, però, a questo punto chi controlla il 
controllore? Una macchina con servizi è una macchina potenzialmente 
vulnerabile. E' il motivo per cui qualunque sysadmin coscienzioso 
rabbrividirà all'idea di usare un firewall per fornire anche servizi.

Per ovviare ai problemi di Spof esistono le soluzioni del caso( OBSD + 
PF + CARP, per dirne una che ha poco o nulla da invidiare a pezzi di 
hardware da 25K€).

--
The Skull says:
A Linux machine! Because an (i386|ppc|alpha|PA-RISC) is a terrible 
thing to waste!