R: Consiglio su conf. firewall - II parte (lungo pure questo ma no conf

Ciao...forse dirò una banalità ( o forse no ), però io come regola eviterei di descrivere la mia configurazione FW/rete su una mailing list pubblica, con l'indirizzo della società interessata...

Che ne pensate?
Ciaooo

Ricky1

> -----Messaggio originale-----
> Da: Ing. S. Centineo - AMAP S.p.A. 
> [mailto:stefano.centineo@amapspa.it]
> Inviato: martedì 25 giugno 2002 10.14
> A: ml@sikurezza.org
> Oggetto: era: Consiglio su conf. firewall - II parte (lungo 
> pure questo
> ma no conf !!)
> 
> 
> Salve a tutti
> 
> Rispetto alla configurazione già illustrata nelle mail precedenti il
> problema che
> sto affrontando in questa fase è cercare di migliorare la 
> sicurezza nella
> società
> per la quale lavoro cercando di sdoppiare quello che fino a 
> ieri era una
> sola
> macchina che aveva funzioni di
> - FW
> - Proxy
> - Mail Server
> 
> (non mi guardate male però..... anche se state inorridendo all'idea)
> 
> Adesso la configurazione prevederebbe:
> 
> INET - FW - PROXY/MAILER - LAN (+router x sedi remotizzate - WAN)
> 
> in questa configurazione si è scelto :
> 
> - FW: RH 7.3 harderizzato a dovere (almeno spero) con 
> eliminato un bel poco
> di
>         roba; kernel 2.4.18 ricompilato, servizi disattivati ecc.
>      IPTABLES come Sw per il FW, scrip gShield utilizzati 
> come base per la
>         configurazione
>      IP Pubblico ext; IP Privato del tipo 10.0.0.1 interno
>      NAT
>      HW - PII con 4 GB Hd, 64 Mb Ram
> 
> - Proxy/mailer: Suse 7.1 continuamente aggiornata come pacchetti (da
> aggiornare nel
>         Kernel, ancora 2.2.19 !!), Squid come proxy, Qmail + 
> Vpopmail come
> sistema
>         di posta per la gestione di utenti autorizzati alla 
> comunicazione
> esterna e alla
>         comunicazione interna aziendale
>      IPCHAINS come Sw per  il FW e pmFirewall (opportunamente 
> modificato)
> per
>        la configurazione di base
>      Antivirus CA con collegamento (stile AmaVis) per la 
> gestione posta
> elettronica
>      IP Privato del tipo 10.0.0.2 "ext" - IP Privato del tipo 
> 192.168.0.1
> interno
>      NAT
>      HW - NEtfinity PIII x2; 256 RAM, HD SCSI da 18 Gb RAID; ecc. ecc.
> 
> - LAN diversi server interni con DB, Avirus Redistribution 
> Server, ecc. +
> client
>      tutti WIN
> 
> Punti fermi
> 1) dall'esterno deve essere visto solo il servizio SMTP in 
> quanto il server
> mail è
>    interno e serve solo per inviare e ricevere posta; 
> dall'esterno non è
> attiva manco
>    il popper !! Solo per remote occasioni, attivate alla 
> bisogna, è attivo
> l' FTP
>    con ProFtp da  un IP prestabilito per scambio file di 
> grosse dimensioni
> 2) per le prestazioni del server IBM, è chiaro che la maggior 
> parte dei
> servizi "web"
>    interni devono restare sul Proxy-Mailer mentre una 
> macchina (copia) di
> riserva
>    permette la sostituzione "on the fly" nel caso in cui il 
> FW dovesse non
> funzionare
>    per qualsiasi motivo => nessun altro servizio installato 
> sinnò bisogna
> duplicare
>    utenti ecc ecc o ricorrere a servizi di rete ....
> 3) gli utenti debbono potersi connettere in internet tramite 
> proxy e per
> alcuni server
>   deve essere possibile scaricare alcuni aggiornamenti (vedi 
> antivirus) in
> FTP senza
>   passare dal proxy
> 
> Ora è chiaro che sono possibili diversi scenari tra le quali 
> la classica DMZ
> invece
> della struttura evidenziata sopra; il problema che in questi 
> giorni si è
> presentato
> è che si naviga correttamente, anche da macchine interne che 
> bypassano squid
> ma non la macchina Proxy che fa comunque da GW, ma nei casi 
> in cui si cerca
> di attivare l'FTP va bene fino alla fase di autentica dell'user ma non
> permette
> nemmeno di fare DIR.
> 
> Cosa sbaglio ?
> Cosa mi sono scordato di attivare in fase di compilazione di 
> FW? (prima con
> proxy
>   solamente funzianava tutto)
> Suggerimenti in merito, specie per il dual NAT ?
> 
> Grazie anticipatamente e scusate per la lunghezza del msg.
>
> Stefano
>
> _________________________________
>
> Ing. Stefano Centineo
> Staff Direttore Generale
> AMAP S.p.A.
> tel 091 -279 289
> email: stefano.centineo@amapspa.it
> ________________________________
>
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List