Re: [ml] domanda su architettura di rete (DMZ)

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Marzo 2005 ml@sikurezza.org
Soggetto: Re: [ml] domanda su architettura di rete (DMZ)
Mittente: Martino Bana
Data: Wed, 30 Mar 2005 14:55:08 +0200 (CEST)

Ciao Mariano,

come già detto da koba utilizzare un firewall locale per quanto possa evitare uno spof (problema risolvibile peraltro) evidenzia altre questioni. Uno tra tutti il problema di manutenere molti singoli set di regole, a meno che non abbiate un paio di macchine e stop... Il logging avverrà per lo più via rete, salvo che tu non abbia voglia di girare ogni macchina oppure di non controllare affatto, spostando carichi di lavoro su altri apparati, dovendo inevitabilmente correlare eventi diversi su macchine diverse con orari diversi..... In altre parole, la questione che hai toccato non è che una punta di un iceberg della realizzazione di un'infrastruttura di sicurezza dove, a sua volta, l'aspetto tecnologico non è che una delle sfaccettature. Valuta bene i pro ed i contro della soluzione che propone il tuo responsabile, ad esempio sulla base (stimata) dell'evoluzione della rete e di tutti gli aspetti ad essa collegati.

Buon lavoro e a presto !

Martino

Mariano Cunietti ha scritto:

Ciao a tutti,
ho appena avuto un confronto (chiamiamolo così) con il mio responsabile
riguardo a una soluzione di rete per la DMZ che serve i nostri 5000+
utenti (DNS, mail hub, vari www,ftp, proxy, news), più altre amenità di
servizio (accounting, monitoraggio etc).

La sua idea è quella di togliere di mezzo il firewall Linux che gestisce
gli accessi alla DMZ, e di esporre direttamente le macchine con dei
firewall iptables onboard. Sostiene che un firewall che faccia da single
point of failure renderebbe inutile la ridondanza dei servizi e  delle
macchine. Inoltre secondo lui, se si configurano correttamente i demoni
in ascolto, la protezione di un firewall sul gateway risulta inutile.

Parafrasando dei noti comici napoletani, "Ammè me pare 'na strunzata".
Però vorrei essere chirurgico nel cassare senza replica la cosa.

Ho già diverse idee a proposito, ma mi rivolgo a voi per avere quanti
più spunti possibili. Tenete presente che:

1) Le macchine hanno IP pubblico assegnato fisicamente (niente
destination NAT)
2) alcuni dei servizi che girano sui server non sono visibili a tutto il
mondo (ad es. il monitoraggio), ed esistono dell ACL IP-based
3) Il sensore dell'IDS non è su questo firewall ma è posto "a monte"

Grazie anticipate

Mariano


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- [ml] domanda su architettura di rete (DMZ), Mariano Cunietti

Data:
- precedente: Re: [ml] domanda su architettura di rete (DMZ), Skull
- successivo: Re: [ml] domanda su architettura di rete (DMZ), Simo Sorce
- indice

Argomento:
- precedente: Re: [ml] domanda su architettura di rete (DMZ), Skull
- successivo: Re: [ml] domanda su architettura di rete (DMZ), Alberto Vincenzi
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005