Re: [ml] domanda su architettura di rete (DMZ)

On Tuesday 29 March 2005 15:47, Mariano Cunietti wrote:
> Ciao a tutti,
> ho appena avuto un confronto (chiamiamolo così) con il mio responsabile
> riguardo a una soluzione di rete per la DMZ che serve i nostri 5000+
> utenti (DNS, mail hub, vari www,ftp, proxy, news), più altre amenità di
> servizio (accounting, monitoraggio etc).
>
ok

> La sua idea è quella di togliere di mezzo il firewall Linux che gestisce
> gli accessi alla DMZ, e di esporre direttamente le macchine con dei
> firewall iptables onboard. Sostiene che un firewall che faccia da single
> point of failure renderebbe inutile la ridondanza dei servizi e  delle
> macchine. Inoltre secondo lui, se si configurano correttamente i demoni
> in ascolto, la protezione di un firewall sul gateway risulta inutile.
>

Alt:
se il problema e' la ridondanza allora si posso usare fw ridondanti... 
Inoltre: parlare di ridondanza ha senso in una struttura gia' ridondante. Tu 
(ovviamente) non mi pare ci abbia dato informazioni dettagliate sulla tua 
situazione... E (imho) con ragione.

> Parafrasando dei noti comici napoletani, "Ammè me pare 'na strunzata".
> Però vorrei essere chirurgico nel cassare senza replica la cosa.
>

Mah
allora se hai una struttura ridondata allora l'osservazione del spof ha senso, 
_ma_ imho di solito il problema non e' l'architettura o la normale 
amministrazione, quanto le "emergenze" informatiche funzionali alla 
struttura.
Ora se per caso devi mettere in rete rapidamente o peggio di corsa un server o 
anche un client... Beh la possibilita' di errori e' (sempre imho) 
direttamente proporzionale alla fretta... 
In questo caso un firewall (ridondato se del caso) e' insostituibile.


> Ho già diverse idee a proposito, ma mi rivolgo a voi per avere quanti
> più spunti possibili. Tenete presente che:
>
> 1) Le macchine hanno IP pubblico assegnato fisicamente (niente
> destination NAT)
> 2) alcuni dei servizi che girano sui server non sono visibili a tutto il
> mondo (ad es. il monitoraggio), ed esistono dell ACL IP-based
> 3) Il sensore dell'IDS non è su questo firewall ma è posto "a monte"
>

Mi sembra comunque che un firewall ti possa aiutare per difenderti dalle 
fesserie o peggio dalle modifiche estemporanee che in una grande 
organizzazione sono ufficialmente impossibili ma praticamente la prassi...

Quindi in sintesi:
forse cio' che dice il tuo responsabile e' informaticamente corretto vista la 
architettura del sistema.
Mi pare pero' pericolosa dal punto di visto del _presumibile_ normale 
funzionamento della organizzazione supportata dalla rete.

Ciao