Re: Sicurezza e macchine untrusted

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2002 ml@sikurezza.org
Soggetto: Re: Sicurezza e macchine untrusted
Mittente: Federico Lombardo
Data: 3 Jun 2002 18:28:20 -0000

Vorrei integrare quello che ha detto aipa, con la bossibilità di aggiungere
due tipologie di DMZ:

+ DMZ Front Office
+ DMZ Back Office

nella DMZ frontoffice stiperai tutti i server di "facciata" come web-server
etc. etc.
nella DMZ back-office metterai invece tutti i database e gli application
server.

Naturalmente ogni scelta va ponderata in base allo scenario, come
giustamente diceva aipa, ma naturalmente non dimenticare la gestibilità e
l'affidabilità della struttura stessa.
Io sono un sommo fautore della segmentazione delle reti, purchè questo non
rappresenti un "point of failure" della rete o un problema ogni volta che si
deve aggiungere e/o togliere un modulo alla configurazione.


ad occhio, e non sbagli mai, fai questa divisione:

prendi due firewall indipendenti... che chiameremo A e B.

A gestirà le reti esterne e la DMZ pubblica, ovvero:

                    + Internet ed accessi esterni alla tua ipotetica VPN
                    + DMZ Pubblica, la rete dove confinerai tutti i server
che devono essere accessi dall'esterno.

B gestirà invece le reti interne, quelle della nostra VPN/WAN, ovvero:

                    + DMZ (front office) che hanno accesso unico da rete
interna
                    + DMZ (back office) che ha accesso dalla rete WAN e dai
server della DMZ Pubblica (Es. application server).
                    + Reti per utenti

Così crei una sorta di controllo accessi su più livelli, ripartisci meglio i
punti di fallimento della rete e scongiuri il fatto che se un eventuale
attacker prende un server, compromette tutta la rete.

Prima che scadiamo in polemiche aggiungo che per "accesso da" interndo una
connessione stra-filtrata e politicizzata.

poi, sta a te applicare le nozioni al tuo scenario, ma occhio ad
affidabilità e gestibilità!!!!!


Rimango disponibile per ogni ulteriore delucidazione, naturalmente queste
sono argomentazioni che non possono essere esaustive in così poche righe.

Baci, Federico




----- Original Message -----
From: "Amodiovalerio Verde" <hypo@rtfm.it>
To: <ml@sikurezza.org>
Sent: Monday, June 03, 2002 8:39 AM
Subject: Re: Sicurezza e macchine untrusted


> Credo che molto dipenda da quello che vuoi ottenere.
>
> Non si tratta di paranoia o meno, ma di effettivamente cosa tu consideri
> trusted o untrusted.
>
> Se nella DMZ ci sono un gruppo di macchine piu' trusted di altre ( quelle
> che teoricamente gestisci tu ), allora vale la pena prendere in
> considerazione la creazione di un'altra zona.
>
> Non dimenticare che macchine non gestite da te, possono creare ben piu' di
> un problema, primo tra tutti il fatto che da quelle macchine e' possibile
> sniffare il traffico in tutta la DMZ ( sempre che non ci siano VLAN ).
>
> Qui da me, c'era un problema simile, e si è addirittura optato per creare
5
> zone, quindi le classiche BAD,LAN e DMZ ( in DMZ ci sono le nostre
macchine
> che offrono servizi ), e in aggiunta altre 2 zone, HOST ( dove ci sono
tutte
> le macchine in hosting ) e EXT ( dove ci sono macchine che non devono in
> nessun modo raggiungere la BAD )
>
> Magari in fase di configurazione, puo' complicarti un po la vita avere
tutte
> queste zone, ma ti assicuro che una volta configurato il tutto, diventa
> molto piu' semplice gestire le policies e controllare il traffico tra le
> varie zone.
>
> Ovvio che non esiste una regola generale, ma bisognerebbe analizzare caso
> per caso, quindi vedere quante macchine hai in ogni zona, che tipo di
> traffico c'e' tra le varie zone, quanto possono essere untrusted le
macchine
> in housing...etc etc
>
> I costi dell'hardware sono abbastanza trascurabili se pensi quanto costa
una
> NIC, salgono un po se prendi schede quad ethernet, ma credo non sia un
> problema, quindi l'unica e' valutare se esiste realmente la necessita' di
> frazionare la DMZ in piu' zone, oppure se puoi 'rischiare' di tenere tutto
> insieme.
>
> La soluzione paranoica al massimo direi che non e' nemmeno questa, ma
> applicare in ogni zona un ulteriore firewall con una NIC per ogni
> macchina...( che io prenderei anche in considerazione nel caso
> dell'housing... )
>
> La scelta resta tua...ci sono 1000 modi diversi di poter configurare il
> tutto, e non esiste un modo buono e uno cattivo in assoluto...ma esiste il
> modo migliore per un singolo caso.
>
> BTW : Paranoia is a virtue :)
>
>
> Amodiovalerio [Hypo] Verde
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Sicurezza e macchine untrusted, BlueRaven
- Re: Sicurezza e macchine untrusted, Amodiovalerio Verde

Data:
- precedente: Re: Quando un cgi-scan diventa pericoloso, Raistlin
- successivo: R: Fastweb... + altra domanda su "proxy al contrario", Daniele
- indice

Argomento:
- precedente: Re: Sicurezza e macchine untrusted, Amodiovalerio Verde
- successivo: Re: Sicurezza e macchine untrusted, Fabio Invernizzi
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005