[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Marzo 2005 ml@sikurezza.org Soggetto: Re: [ml] domanda su architettura di rete (DMZ) Mittente: Synchopate Data: Wed, 30 Mar 2005 20:49:54 +0200 (CEST)
IMHO Approccio cocktail sempre e comunque... Rimane il problema... le apparecchiature e i software vanno mantenute e gestite... Valutare soluzione caso per caso? OK! Non dimenticatevi che comunque la sicurezza del sistema non dipenderà solo dalla quantità delle apparecchiature e dei software utilizzati...più probabilmente dipenderà dalla capacità di scovare tempestivamente le falle di sicurezza, la velocità nel correggerle e dalla capacità che avrete nell'intervenire quando accadranno eventi che possono minacciare il sistema stesso. Detto spiccio dovreste avere un ambiente eterogeneo di appliance e software e la capacità di interpretare correttamente le informazioni che essi vi generano (i famosi log?) Bye ----- Original Message ----- From: "Pasqualetti, Fausto" <fausto.pasqualetti@xxxxxxx> To: <ml@xxxxxxxxxxxxx> Sent: Wednesday, March 30, 2005 3:31 PM Subject: R: [ml] domanda su architettura di rete (DMZ) In breve la tendenza di molte soluzioni ad esempio si veda anche Solaris 10 è verso architetture firewalless (ovvero senza firewall), quindi non è proprio una stupidaggine quella di configurare i firewall sui singoli host anzi aumenta di molto la security. Uno dei problemi di architetture senza firewall è che diviene difficile dividere la zona di front-end da quella di back-end o in generale di dividere in zone a diversa protezione una DMZ. Ovviamente questo si puo' fare ma richiede molto piu' tempo per una corretta configurazione e un'attenta checklist delle porte e dei servizi. A mio modesto parere: Architettura firewall perimetrali PRO: 1. Gestione Centralizzata del firewall 2. Facilità di separazione in diverse zone 3. Possibilità di utilizzare firewall diversi per le diverse zone CONTRO: 1. Minore capillarità delle regole 2. Maggior rischio per i server perimetrali Architettura firewaless: PRO: 1. Estrema capillarità delle regole 2. Maggior dettaglio delle ACL CONTRO: 1. Difficoltà di gestione per un numero elevato di server 2. Costo aggiuntivo di un management distribuito per i firewall 3. Mantenere allineate con il versioning e le patch tutti gli host. Perlo SPOF del firewall basta mettere in cluster il server, ad esempio LVM + hearbeat + mon e risolvi. Sono interessato all'opinione degli altri membri delle liste sulle due diverse filosofie di firewalling. Secondo me è necessario implementare entrambe, avere sia i firewall perimetrali che nel caso di maggior sicurezza abilitare il firewall locale sulle macchine. A presto Fausto ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005