[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Aprile 2002 ml@sikurezza.org Soggetto: Re: Interbusiness e checkpoint: svarioni Mittente: Francesco Toscan Data: 22 Apr 2002 17:29:49 -0000
> L'azienda in questione mi ha comunicato che telecom ha esplicitamente > richiesto che TUTTI i server della DMZ devono avere 2 schede ethernet: > > - una verso la rete DMZ > - una verso la rete INSIDE Hm no, non e' questo il mio caso. I server in DMZ sono gestiti da me ed hanno una sola scheda di rete, verso la rete DMZ; telecom gestisce solamente il Checkpoint. > Ero convinto che fosse solo un problema dovuto a un errore dello specifico > tecnico telecom che ha progettato quella rete, ma il tuo post mi fa' > presupporre che questa soluzione possa essere *standard* ? Temo proprio che il problema si possa definire "standard" in senso lato. Antefatto: avevo bisogno di farmi attivare da telecom un port forwarding da un dato IP pubblico ad un dato IP privato, per routare delle email. Dopo diverse email con l'assistenza bfs per richiedere l'attivazione, dato che non e' possibile richiedere un portforwarding via web, sono arrivato al telefono con uno dei tecnici, che non capiva dove fosse la necessita' di un portforwarding. Di li mi spiega che dal punto di vista Checkpoint lan e dmz sono solo due reti che possono tranquillamente dialogare fra loro. Al che il dubbio e' immediatamente saltato fuori e dopo un paio di telnet ecco il risultato: la lan si raggiunge tranquillamente dalla dmz connettendosi agli IP privati. Il tecnico perplesso ha detto che e' del tutto normale [!!!!], quando dalla DMZ o da un singolo host della DMZ viene accordato il permesso di connessione verso qualsiasi host/network, Checkpoint include di default anche la LAN. Dato che nella maggioranza dei casi Telecom configura Checkpoint in modo tale da permettere alla DMZ di connettersi a qualunque network [a detta del tecnico], e che di norma non viene esplicitamente negato l'accesso alla LAN, il problema si puo' dire praticamente "standard". La situazione e' un po' diversa da quella che hai descritto tu, pero' e' riconducibile ad una stessa problematica di fondo. Il fatto comunque che il tecnico fosse cosi' tranquillo nell'affermare l'assoluta liberta' di comunicazione fra DMZ e LAN, mi fa pensare che mischiare le carte per ottenere velocemente certi risultati sia tristemente prassi comune. F. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005