[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Luglio 2005 ml@sikurezza.org Soggetto: Re: [ml] Doppia sicurezza o doppie vulnerabilità? - (Controllo Antivirus Superato) Mittente: Claudio Telmon Data: Thu, 7 Jul 2005 16:28:53 +0200 (CEST)
Visto che non ha risposto nessuno provo a rispondere io, anche se bisognerebbe entrare nel merito dei singoli tool più di quanto io sappia fare. Cristian Manfredini wrote: > salve a tutti, > > ho pensato di implementare un reverse proxy con la seguente architettura: > > squid risponde sulla porta 80 e si comporta fondamentalmente da firewall > applicando le ACL ed eseguendo URL filtering per escludere gli attacchi più > noti di warm o più in generale esecuzione di comandi da remoto. > > In seconda istanza squid redirige la connessione su una porta alta di > localhost dove c'è apache in ascolto configurato come reverse proxy che > utilizza il mod_security con le regole specifiche per prevenire gli attacchi > ai i vari servisi proxati bassati su PHP, ASP, Domino ecc.. > Niente caching nei reverse. > Reverse Proxy in DMZ e HTTP Server in LAN. ... > La considerazione però che mi ha portato a implementare questa soluzione è il > fatto che proteggere un server apache con un reverse proxy della stessa > tecnologia i sembra poco utile (si sfrutterebbero le stesse vulnerabilità per > bucarlo). Allo stesso tempo squid non mi sembra sufficientemente flessibile > ed estendibile per fare il lavoro di reverse. ... > La domanda è come da oggetto. La domanda che ti dovresti porre è: gli eventuali attacchi portati ad Apache+mod_security verrebbero evitati da Squid? Se hai bisogno di mettere il mod_security, la risposta è probabilmente no, e quindi Squid ti serve a poco (a parte ripulire ma anche incasinare i log). Se la tua preoccupazione è la vulnerabilità del proxy fatto con Apache+mod_security, ti puoi chiedere quanti degli attacchi recenti avrebbero avuto effetto su un Apache+mod_security in ambiente chroot minimo, senza altri moduli se non quelli che ti servono per fare da proxy, ma sarebbero stati realmente bloccati da Squid (c'è un https che deve terminare da qualche parte? Probabilmente non sull'Apache destinatario, se no il reverse proxy ti protegge poco...). Il discorso della doppia vulnerabilità naturalmente vale. Il problema è il solito: più è complicato il sistema di difesa, più rischi che introduca lui delle nuove vulnerabilità. ciao - Claudio -- Claudio Telmon claudio@xxxxxxxxxx http://www.telmon.org
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005