Re: R: [ml] due firewall diversi è meglio di due uguali

Massimo Baschieri wrote:
>> - un sistema compromesso sulla DMZ non si trova sulla sottorete
>> posta fra la rete aziendale e Internet;
> 
> Intendi dire che c'è la possibilità teorica di sniffare il traffico
> lan-to-internet da una macchina compromessa in dmz?

Almeno allora era tutt'altro che teorica, sia di sniffare che di
falsificare, che di praticare il man in the middle. Anche adesso
l'unica cosa che impedisce il tutto è una configurazione molto
accorta dello switch (che allora era solo un bridge), cosa che in
molti contesti non è nelle capacità del sistemista.

> Quasi sempre lo puoi fare comunque, visto che è pratica diffusa (oltre che
> sacrosanta) passare dal proxy che sta in dmz e non consentire l'accesso
> diretto ad internet dalla lan.

È pratica sacrosanta di passare dal proxy. Potremmo discutere su
quanto sia sacrosanto mettere il proxy per il traffico uscente sulla
dmz anziché sulla rete interna, anche per il problema che dici tu.
Da un punto di vista generale, i server che più normalmente si
trovano in DMZ (es. server Web), il proxy e la connessione con
Internet hanno requisiti e in generale caratteristiche di sicurezza
diverse (vedi vulnerabilità del server web) e quindi casomai
dovresti dirmi qual'è il vantaggio nel metterli nello stesso contesto.

> 
>> - il traffico su una terza scheda è molto più controllabile,
>> eventuali anomalie sono più riconoscibili e rilevabili che nella DMZ
>> classica.
> 
> Qui non ti seguo, a che tipo di anomalie ti riferisci?

Il primo esempio che mi viene in mente (forse banale) è che uno scan
fatto da un server web compromesso in dmz non può farsi passare per
uno scan proveniente da Internet, cosa che nella versione interposta
è più semplice. Su una dmz sulla terza scheda un sistema compromesso
è praticamente forzato a usare un indirizzo IP credibile per la dmz,
e se genera traffico diverso da quello che normalmente c'è sulla dmz
è più semplice da riconoscere rispetto all'essere su un segmento dal
quale al firewall arriva tutto il traffico di Internet. Allo stesso
modo, non può generare con facilità traffico verso Internet che non
sia quello previsto dalla DMZ, mentre se è interposto i controlli
sul traffico che genera verso Internet sono limitati. Naturalmente
mi puoi dire che il router esterno controlla già che il traffico
entrante sia solo verso i sistemi della dmz (proxy compreso), ma
questa è proprio una configurazione in cui crei una dipendenza fra
le configurazioni del firewall e del router, anziché una ridondanza.
Di nuovo, dovresti spiegarmi qual'è il vantaggio.

> Non sono sicuro che i tuoi punti abbiano giocato un ruolo importante nella
> proliferazione dei prodotti con 3 o più schede, quello che so è che è stato
> determinante il fattore economico (una scheda in più costa molto meno di un
> hardware aggiuntivo) e la maggiore semplicità di
> installazione/configurazione, che si traduce in una minore possibilità di
> errori e quindi in una maggiore sicurezza intrinseca.

Certo che il fattore economico è stato determinante nella
proliferazione. Per il resto, non so che dirti. Ho provato a
guardare ad esempio "Building Internet Firewalls" 2nd ed., che è del
2000 (e che comunque quando è uscito ricordo che è stato un po' una
delusione). Ci sono già i firewall con tre schede e la dmz sulla
terza scheda. Tuttavia li considera come "collassamento di external
e internal router" di un'architettura belt and suspenders, e quindi
un single point of failure, per quanto accettabile. Per quanto mi
riguarda, considero il passaggio alla terza scheda uno dei casi in
cui economicità si unisce a maggiore sicurezza, se non si considera
il fatto che nella pratica ha anche voluto dire che molti hanno
smesso di mettere ACL sul router esterno, o lo hanno elimiato del
tutto come dice Chapman. Il discorso delle "più schede" è un po' più
complicato, perché vuole dire che una sola dmz non ti basta e quindi
la soluzione interposta così com'è non è comunque praticabile.

> Per il resto non vedo differenze eclatanti tra le due soluzioni, almeno per
> quanto riguarda scenari comuni dove le risorse pubblicate sono tutte in dmz
> e la lan non accede direttamente ad internet.

Tu stesso hai citato un vantaggio non da poco, ovvero la minore
possibilità di errori, che per un firewall non è poco. Magari le
differenze non saranno eclatanti, ma non ne vedo nessuna a favore
della dmz interposta.

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org