era: Consiglio su conf. firewall - II parte (lungo pure questo ma no con

Salve a tutti

Rispetto alla configurazione già illustrata nelle mail precedenti il
problema che
sto affrontando in questa fase è cercare di migliorare la sicurezza nella
società
per la quale lavoro cercando di sdoppiare quello che fino a ieri era una
sola
macchina che aveva funzioni di
- FW
- Proxy
- Mail Server

(non mi guardate male però..... anche se state inorridendo all'idea)

Adesso la configurazione prevederebbe:

INET - FW - PROXY/MAILER - LAN (+router x sedi remotizzate - WAN)

in questa configurazione si è scelto :

- FW: RH 7.3 harderizzato a dovere (almeno spero) con eliminato un bel poco
di
        roba; kernel 2.4.18 ricompilato, servizi disattivati ecc.
     IPTABLES come Sw per il FW, scrip gShield utilizzati come base per la
        configurazione
     IP Pubblico ext; IP Privato del tipo 10.0.0.1 interno
     NAT
     HW - PII con 4 GB Hd, 64 Mb Ram

- Proxy/mailer: Suse 7.1 continuamente aggiornata come pacchetti (da
aggiornare nel
        Kernel, ancora 2.2.19 !!), Squid come proxy, Qmail + Vpopmail come
sistema
        di posta per la gestione di utenti autorizzati alla comunicazione
esterna e alla
        comunicazione interna aziendale
     IPCHAINS come Sw per  il FW e pmFirewall (opportunamente modificato)
per
       la configurazione di base
     Antivirus CA con collegamento (stile AmaVis) per la gestione posta
elettronica
     IP Privato del tipo 10.0.0.2 "ext" - IP Privato del tipo 192.168.0.1
interno
     NAT
     HW - NEtfinity PIII x2; 256 RAM, HD SCSI da 18 Gb RAID; ecc. ecc.

- LAN diversi server interni con DB, Avirus Redistribution Server, ecc. +
client
     tutti WIN

Punti fermi
1) dall'esterno deve essere visto solo il servizio SMTP in quanto il server
mail è
   interno e serve solo per inviare e ricevere posta; dall'esterno non è
attiva manco
   il popper !! Solo per remote occasioni, attivate alla bisogna, è attivo
l' FTP
   con ProFtp da  un IP prestabilito per scambio file di grosse dimensioni
2) per le prestazioni del server IBM, è chiaro che la maggior parte dei
servizi "web"
   interni devono restare sul Proxy-Mailer mentre una macchina (copia) di
riserva
   permette la sostituzione "on the fly" nel caso in cui il FW dovesse non
funzionare
   per qualsiasi motivo => nessun altro servizio installato sinnò bisogna
duplicare
   utenti ecc ecc o ricorrere a servizi di rete ....
3) gli utenti debbono potersi connettere in internet tramite proxy e per
alcuni server
  deve essere possibile scaricare alcuni aggiornamenti (vedi antivirus) in
FTP senza
  passare dal proxy

Ora è chiaro che sono possibili diversi scenari tra le quali la classica DMZ
invece
della struttura evidenziata sopra; il problema che in questi giorni si è
presentato
è che si naviga correttamente, anche da macchine interne che bypassano squid
ma non la macchina Proxy che fa comunque da GW, ma nei casi in cui si cerca
di attivare l'FTP va bene fino alla fase di autentica dell'user ma non
permette
nemmeno di fare DIR.

Cosa sbaglio ?
Cosa mi sono scordato di attivare in fase di compilazione di FW? (prima con
proxy
  solamente funzianava tutto)
Suggerimenti in merito, specie per il dual NAT ?

Grazie anticipatamente e scusate per la lunghezza del msg.

Stefano

_________________________________

Ing. Stefano Centineo
Staff Direttore Generale
AMAP S.p.A.
tel 091 -279 289
email: stefano.centineo@amapspa.it
________________________________



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List