Sicurezza e macchine untrusted

Ciao a tutti, sto implementando una rete in un piccolo ISP secondo il
classico schema a 3 zone: firewall a cui assegno tutti gli IP pubblici, DMZ
e LAN con indirizzi privati e redirezione delle connessioni verso gli host
in DMZ.
Fin qui, nulla di nuovo. :-)
Ora, siccome nella DMZ ho delle macchine in housing che non amministro
direttamente, volevo cercare di rendere la vita dura a un aggressore che
riuscisse a bucarne una.
Chiaramente, dalla DMZ non c'e' verso di accedere alla LAN, ma si puo'
provare ad attaccare le mie macchine che stanno nella stessa rete e questo
mi disturba assai.
Avevo pensato, percio', di costruire una seconda DMZ, aggiungendo una quarta
NIC al firewall e impostando di conseguenza le regole sui flussi di
traffico.
Colgo l'occasione per ringraziare Filippo Tonellotto, che su questa stessa
lista ha inviato una risposta veramente pregevole a un quesito analogo.
Mi e' rimasto solo un dubbio: dando per scontato che le mie macchine sono
hardened, regolarmente patchate e con i soli servizi necessari in
esecuzione, costruire una DMZ separata per le macchine untrusted porta dei
reali benefici o e' solo un modo di dare sfogo alla paranoia? :-)
Scherzi a parte, ho in testa che, in questo caso, mi servirebbe a poco, ma
potrebbe essermi sfuggita qualche considerazione.
Se potete, fate degli esempi, cosi' imparo qualcosa di utile, specie per
quanto riguarda l'abitudine a considerare tutti gli scenari.
Ringrazio in anticipo. :-)

-- 
BlueRaven

Se non e' tutto chiaro, regolate i parametri di brightness
e contrast della vostra mente ( Simon ).

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List