Re: Sicurezza e macchine untrusted

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2002 ml@sikurezza.org
Soggetto: Re: Sicurezza e macchine untrusted
Mittente: Amodiovalerio Verde
Data: 3 Jun 2002 11:20:11 -0000

Credo che molto dipenda da quello che vuoi ottenere.

Non si tratta di paranoia o meno, ma di effettivamente cosa tu consideri
trusted o untrusted.

Se nella DMZ ci sono un gruppo di macchine piu' trusted di altre ( quelle
che teoricamente gestisci tu ), allora vale la pena prendere in
considerazione la creazione di un'altra zona.

Non dimenticare che macchine non gestite da te, possono creare ben piu' di
un problema, primo tra tutti il fatto che da quelle macchine e' possibile
sniffare il traffico in tutta la DMZ ( sempre che non ci siano VLAN ).

Qui da me, c'era un problema simile, e si è addirittura optato per creare 5
zone, quindi le classiche BAD,LAN e DMZ ( in DMZ ci sono le nostre macchine
che offrono servizi ), e in aggiunta altre 2 zone, HOST ( dove ci sono tutte
le macchine in hosting ) e EXT ( dove ci sono macchine che non devono in
nessun modo raggiungere la BAD )

Magari in fase di configurazione, puo' complicarti un po la vita avere tutte
queste zone, ma ti assicuro che una volta configurato il tutto, diventa
molto piu' semplice gestire le policies e controllare il traffico tra le
varie zone.

Ovvio che non esiste una regola generale, ma bisognerebbe analizzare caso
per caso, quindi vedere quante macchine hai in ogni zona, che tipo di
traffico c'e' tra le varie zone, quanto possono essere untrusted le macchine
in housing...etc etc

I costi dell'hardware sono abbastanza trascurabili se pensi quanto costa una
NIC, salgono un po se prendi schede quad ethernet, ma credo non sia un
problema, quindi l'unica e' valutare se esiste realmente la necessita' di
frazionare la DMZ in piu' zone, oppure se puoi 'rischiare' di tenere tutto
insieme.

La soluzione paranoica al massimo direi che non e' nemmeno questa, ma
applicare in ogni zona un ulteriore firewall con una NIC per ogni
macchina...( che io prenderei anche in considerazione nel caso
dell'housing... )

La scelta resta tua...ci sono 1000 modi diversi di poter configurare il
tutto, e non esiste un modo buono e uno cattivo in assoluto...ma esiste il
modo migliore per un singolo caso.

BTW : Paranoia is a virtue :)


Amodiovalerio [Hypo] Verde


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Sicurezza e macchine untrusted, Fabio Invernizzi
- Re: Sicurezza e macchine untrusted, Federico Lombardo

In risposta a:
- Sicurezza e macchine untrusted, BlueRaven

Data:
- precedente: R: Blindare un router ZyXEL, Paolo Pancheri
- successivo: Re: keyen.txt, Andrea Rizzi
- indice

Argomento:
- precedente: Sicurezza e macchine untrusted, BlueRaven
- successivo: Re: Sicurezza e macchine untrusted, Federico Lombardo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005