Re: Soluzione ottimale x LAN

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2002 ml@sikurezza.org
Soggetto: Re: Soluzione ottimale x LAN
Mittente: ..:: SNHYPER ::..
Data: 23 Jul 2002 17:15:17 -0000

>data una piccola lan (10/15 postazioni) ed un router DSL,
>sto cercando la situazione ottimale per farli uscire in rete.
[snip]
>E' meglio delgare questi compiti al router o ad una box a parte?

Nel caso in cui volessi delegare tutti i compiti (firewalling,nat etc..) 
singolarmente al router.. si, avresti il risparmio di una macchina ma 
andresti altresi' in contro al problema di "single point of 
failure"...ovvero se dovessi avere problemi col router daresti accesso 
all'intera lan.

Per quello che riguarda il mio parere.. (supponendo che tu abbia servizi da 
rendere pubblici e voglia un medio livello di security) potresti adottare la 
seguente conf:

- router adsl con acl settate con possibilita' di configurazione solo da 
seriale
- gateway/firewall dedicato (una macchina solo per quello) con fw statefull 
(iptables? F-1? sta a te se stare dall'open-source o no) che natta la lan. 
Questa macchina avra' 3 NIC: 1->router - 2->lan - 3->dmz.
-lan routata verso il gateway

                       ---------
                       | router|
                       ---------
                           |
                       ---------
                       |   FW  |
                       ---------\
                           |     \-----DMZ---
                           |
                          LAN

E' chiaro che la dmz si rende necessaria nel caso in cui tu voglia
rendere pubblico un servizio (httpd? ftpd? ...)

Quindi in questo caso mi ritrovo in parte nella tua configurazione 3..
Poi se hai il problema di gestire navigazione web da parte dei dipendenti e 
filtrarla... un application proxy in dmz non starebbe male.. in modo da 
routare le connessioni da/verso porta 80/443 (http/https) al proxy.
Poi dipende tutto da quello che intendi fare e da che servizi vuoi 
offire/rendere disponibili.

Spero di esserti stato utile


Regards,
..::SNHYPER::..
"Security developer"
Linux registered { user #249109, machine #133922 };
Security Checkpoint -> http://snhyper.owns.it
PGP Key Fingerprint= CB BB FC B2 43 69 2E 9C 27 9F C5 40 C3 F3 18 1A


_________________________________________________________________
MSN Hotmail è il provider email più grande al mondo… cosa aspetti a farti un 
account? http://www.hotmail.it


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: Soluzione ottimale x LAN, Zen
- successivo: Re: porte UDP un ascolto, Fabio Pietrosanti (naif)
- indice

Argomento:
- precedente: Re: Soluzione ottimale x LAN, walter valenti
- successivo: R: SOS UPS!!!!, Valerio Bellizzomi
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005