Re: Zona demilitarizzata

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2001 ml@sikurezza.org
Soggetto: Re: Zona demilitarizzata
Mittente: Fabio Pietrosanti (naif)
Data: 7 May 2001 19:31:25 -0000

On Mon, May 07, 2001 at 03:07:47PM +0200, Andrea wrote:
> Salve a tutti. Dalla poca documentazione che ho trovato, mi risulta che il
> sever principalmente esposti in qusta area sono soggetti a meno controlli da
> parte del firewall rispetto ad esempio dei computer di una Lan. Volevo
> sapere per quale motivo si utilizza una DMZ, perchè questi server non
> vengono posti assieme alla rete Lan locale e perchè diminuisce il livello di
> sicurezza impostato dal firewall.

Aspetta, un attimo di chiarezza sul fatto che la dmz sia meno sicura ( chi te
lo ha detto? )...

- L'implementazione di una DMZ serve proprio per AUMENTARE la
  sicurezza offerta dal firewall.

Tramite la DMZ, tu hai la separazione ''fisica'' delle macchine piu' esposte a
internet(frontend), e quindi agli attacchi da esso provenienti, da quelle di backend.

Nell'impostare le policy relative alla DMZ si deve operare con particolare
paranoia, restringendo al minimo quello che i server posti in essa possono
ricevere e trasmettere.

Nella DMZ ad esempio ci metti i WEB Server, che non contengo informazioni
confidenziali, e che sono gli unici esposti agli attacchi diretti da internet.

Il webserver solitamente puo' solo inizializzare connessioni verso il
Database interno, e ricevere connessioni per offrire il servizio http/https .
Come vedi e' molto ben protetto...
Per le policy relative al database siamo doppiamente paranoici, li' ci sono le
informazioni confidenziali della azienda, per cui non lo facciamo neanche andare su internet.

Ne sento parecchi di questi miti sulla DMZ, consiglio di leggere a tutti le
Internet Firewall FAQ (http://www.faqs.org/faqs/firewalls-faq/),
fatte dal fighissimo mjr .
( koba, le faq di cui si parlava su progetto, vanno avanti? ) 

> 
> Grazie,
> Andrea
> ICQ UIN 17383962

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: Zona demilitarizzata, Cristiano Cumer
- successivo: Re: porte 1391 e 1392 in ascolto, Christian Surchi
- indice

Argomento:
- precedente: Re: Zona demilitarizzata, Cristiano Cumer
- successivo: login segfault, Maurizio Marini - Datalogica snc
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005