Re: [ml] domanda su architettura di rete (DMZ)

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Marzo 2005 ml@sikurezza.org
Soggetto: Re: [ml] domanda su architettura di rete (DMZ)
Mittente: Davide
Data: Wed, 30 Mar 2005 19:24:39 +0200 (CEST)

Ciao a tutti,

sono nuovo di questa mailing list e mi chiamo Davide. Allora.. se posso dare una modesta opinione penso che quello proposto dal tuo capo sia si possibile da fare, ma totalmente inaffidabile. Per 2 motivi, il primo è l'ingestibilità, ovvero un esperto di sicurezza, o network administrator dovrebbe tenere conto di 2 mila log files diversi, e preoccuparsi di tante sicurezze locali che in questo caso diventano globali in quanto ogni macchina puo essere virtualmente attaccata e compromessa mentre nel caso di un solo firewall ti occuperesti di 1 sola policy di sicurezza globale. Il secondo motivo è che lo scopo principale del firewall è proprio quello di essere posto davanti alla rete, in maniera tale da evitare che all'interno della rete locale possano entrare e girare pacchetti potenzialmente dannosi.

Ciao a tutti, ho appena avuto un confronto (chiamiamolo così) con il mio responsabile riguardo a una soluzione di rete per la DMZ che serve i nostri 5000+ utenti (DNS, mail hub, vari www,ftp, proxy, news), più altre amenità di servizio (accounting, monitoraggio etc).

La sua idea è quella di togliere di mezzo il firewall Linux che gestisce gli accessi alla DMZ, e di esporre direttamente le macchine con dei firewall iptables onboard. Sostiene che un firewall che faccia da single point of failure renderebbe inutile la ridondanza dei servizi e delle macchine. Inoltre secondo lui, se si configurano correttamente i demoni in ascolto, la protezione di un firewall sul gateway risulta inutile.

Parafrasando dei noti comici napoletani, "Ammè me pare 'na strunzata". Però vorrei essere chirurgico nel cassare senza replica la cosa.

Ho già diverse idee a proposito, ma mi rivolgo a voi per avere quanti più spunti possibili. Tenete presente che:

1) Le macchine hanno IP pubblico assegnato fisicamente (niente destination NAT) 2) alcuni dei servizi che girano sui server non sono visibili a tutto il mondo (ad es. il monitoraggio), ed esistono dell ACL IP-based 3) Il sensore dell'IDS non è su questo firewall ma è posto "a monte"
Grazie anticipate
Mariano
__________________________________________________
______
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

-- Davide De Micco dav1de24@xxxxxxxxx ----------------------------------------- old contact: davide.demicco@xxxxxxxxxxxxx new contact: dav1de24@xxxxxxxxx -----------------------------------------

In risposta a:
- Re: [ml] domanda su architettura di rete (DMZ), paolofabio.colombo

Data:
- precedente: Re: [ml] domanda su architettura di rete (DMZ), Francesco
- successivo: Re: [ml] domanda su architettura di rete (DMZ), Synchopate
- indice

Argomento:
- precedente: Re: [ml] domanda su architettura di rete (DMZ), paolofabio.colombo
- successivo: [ml] Business continuity software, Lombardo, Federico
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005