Re: Sicurezza e macchine untrusted

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2002 ml@sikurezza.org
Soggetto: Re: Sicurezza e macchine untrusted
Mittente: Filippo Tonellotto
Data: 5 Jun 2002 11:55:27 -0000

> Colgo l'occasione per ringraziare Filippo Tonellotto, che su questa stessa
> lista ha inviato una risposta veramente pregevole a un quesito analogo.
> Mi e' rimasto solo un dubbio: dando per scontato che le mie macchine sono
> hardened, regolarmente patchate e con i soli servizi necessari in
> esecuzione, costruire una DMZ separata per le macchine untrusted porta dei
> reali benefici o e' solo un modo di dare sfogo alla paranoia? :-)
> Scherzi a parte, ho in testa che, in questo caso, mi servirebbe a poco, ma
> potrebbe essermi sfuggita qualche considerazione.

Ciao Bluraven

dopo aver letto i vari scenari che ti sono stati consigliati direi che qui
non si parla di paranoia ma di normale suddivisione delle tipologie di
servizio
su varie lan.
Come dice il buon Fabio P. (Naif) a prescindere da gestione del traffic
shaping e
dell'accounting, mettere tutte le macchine DMZ in una unica LAN implica
aprire la strada
ad attacchi L2 o L3 sulla LAN stessa.
E qui arpspoofing e sniffing insegnano che non vi è limite ... o quasi (ids
permettendo).
Quindi la suddivisione delle varie DMZ è una cosa su cui non devi
transigere.

La soluzione da me adottata è di solito l'uso di una rete di firewalling a
due livelli o più.
Quindi invece di avere un unico FW con 5-6 NIC preferirei averne due in
cascata.
Quello più esterno controlla quattro link: internet, la tua DMZ, la DMZ di
housing, link backbone firewall.
Quello più esterno controlla tre link: link backbone firewall, rete secure,
rete server interni.

                    |----DMZ privata
                    |
Internet ---- fw esterno-------------- fw interno---- secure
                    |                                          |
                    |---- DMZ housing              |-----------server

Poi come sai ogni ambiente ha le sue configurazioni e le sue scelte.
Sarà ma io ho anche molto la paranoia sugli attacchi da dentro e preferisco
tenere server e secure interni ben separati.


Ciao

Ing. Filippo Tonellotto
Network Security Engineer

_______________________________________
E-TREE S.p.a. "The no-sleeping company"
Via Fonderia 45 - 31100 Treviso (Italy)
phone +39.0422.3107 fax +39.0422.310888
www.e-tree.com         www.webanana.com
Email: ftonellotto@e-tree.com
_______________________________________
nano falegname: truciolo



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Sicurezza e macchine untrusted, Fabio Pietrosanti (naif)

In risposta a:
- Sicurezza e macchine untrusted, BlueRaven

Data:
- precedente: Consiglio su Snort, Roberto Palmarin
- successivo: Fw: ACM TechNews - Monday, June 3, 2002, Raistlin
- indice

Argomento:
- precedente: Re: Sicurezza e macchine untrusted, Tom
- successivo: Re: Sicurezza e macchine untrusted, Fabio Pietrosanti (naif)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005