Re: Sicurezza e macchine untrusted

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2002 ml@sikurezza.org
Soggetto: Re: Sicurezza e macchine untrusted
Mittente: Fabio Pietrosanti (naif)
Data: 7 Jun 2002 11:14:13 -0000

On Tue, Jun 04, 2002 at 07:50:33PM +0200, Filippo Tonellotto wrote:
> La soluzione da me adottata ? di solito l'uso di una rete di firewalling a
> due livelli o pi?.
> Quindi invece di avere un unico FW con 5-6 NIC preferirei averne due in
> cascata.
> Quello pi? esterno controlla quattro link: internet, la tua DMZ, la DMZ di
> housing, link backbone firewall.
> Quello pi? esterno controlla tre link: link backbone firewall, rete secure,
> rete server interni.
> 
>                     |----DMZ privata
>                     |
> Internet ---- fw esterno-------------- fw interno---- secure
>                     |                                          |
>                     |---- DMZ housing              |-----------server
> 

Ciao Filippo,

questa e' pero' una questione di filosofie di firewalling.

L'utilizzo di piu' firewall in cascata era molto utilizzato anni fa', quando
c'era ancora il concetto di "bastion host", e si andava avanti di proxy
applicativi con l'fwtk ( www.fwtk.org ) che nessuno dice che siano male, anzi
in virtu' della loro semplicita' sono complicatissimi da bypassare rispetto
alle tecnologie attuali con NAT, autenticazione trasparente, antivirus
trasparenti e blah blah..

Ad oggi introdurre piu' firewall in cascata secondo me puo' essere utile in
situazioni particolari come ad esempio:

- la gestione delle reti protette fa' capo a gruppi diversi ( si pensi al firewall
   che protegge la divisione amministrativa di una societa' che ha un suo
   staff IT e considera "untrusted" il resto dell'azienda. )

- Il firewall adottato non supporta specifici protocolli ( e a livello di
  inspection e ad altri livelli.. si pensi a SNA ) .

Avere firewall in cascata per una situazione simile puo' comportare, IMHO, i
seguenti svantaggi:

- Aumento dei costi di management ( sia del sistema operativo, sia delle
  rulebase )
- Aumento dei "point of failure" ( essendo un piccolo isp dubito che abbia
  preso in considerazione una soluzione ridondata... ) 

<FELICE>
mi rifunziona l'acqua a casa!!!!!!!!!!! :)))))))
</FELICE>

> Poi come sai ogni ambiente ha le sue configurazioni e le sue scelte.
> Sar? ma io ho anche molto la paranoia sugli attacchi da dentro e preferisco
> tenere server e secure interni ben separati.
Fai solo che bene :>>
> 

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
 "Hacking is the future of security research" R.Power, CSI 
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Sicurezza e macchine untrusted, BlueRaven
- Re: Sicurezza e macchine untrusted, Filippo Tonellotto

Data:
- precedente: Re: Alert.sh, DarK-Elf
- successivo: Windows Automatic Update, X-MaD
- indice

Argomento:
- precedente: Re: Sicurezza e macchine untrusted, Filippo Tonellotto
- successivo: Fwd: Trojan/backdoor in fragroute 1.2 source distribution, Tornado [ALPT ]
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005