Re: [ml] Server virtuali e loro sicurezza

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2006 ml@sikurezza.org
Soggetto: Re: [ml] Server virtuali e loro sicurezza
Mittente: Gelpi Andrea
Data: Mon, 18 Sep 2006 18:36:44 +0200 (CEST)

Emiliano Gabrielli wrote:

On Saturday 16 September 2006 13:29, Alessandro R. wrote:

Al di là della documentazione fornita con xen, che comunque a mio avviso
è un po' carente, mi sapreste indicare qualche sito dove trovare
informazioni?


La ml, sezione developer, contiene molti messaggi relativi al quisito
"quanto sono sicuri sti vserver".
IHMO sono convinto che hardenizzando con un firewall il Dom0 puoi
stare ben tranquillo con i server in DomU.

Anche io sposo questa tesi...

Nelle mie configurazioni accedo via ssh tramite cert e da un solo IP solo a dom0, sul quale implemento il routing ed il firewalling delle domU ...


Per via dell'accesso a certe periferiche sono costretto a fare viceversa.
Accesso da Internet solo a una Domu (Firewall) e da lì accesso ai server in DMZ.

Il sistema in Dom0 è il server interno aziendale. Ripeto che per problemi con le periferiche non riesco a fare altrimenti (Così mi hanno consigliato gli sviluppatori di Xen).

La configurazione bridged che viene proposta come default non l'ho trovata ne semplice ne particolarmente efficace ...

Difficile non mi è sembrata. C'è lo script che ti permette di aggiungere e togliere, creare e disfare tutto ciò che serve nei vari bridge. Aggiungi i comandi che servono in /etc/network/interfaces e fine. Sulla efficacia non so, mi sto ponendo molte domande.

in ogni caso do alle domU degli IP rfc1918 che poi masquero ..

Nel mio caso una DomU deve avere almeno un IP pubblico, anzi, in realtà deve rispondere a ben 5 IP pubblici, di cui uno suo e gli altri di sistemi in DMZ, che quindi posso mascherare con IP rfc1918. Ma il problema non è a livello 3, dove basta non asseganre IP alle schede in dom0, ma a livello 2 dentro il dom0.

Ad oggi non ho potuto constatare chevantaggi in questa configurazione, che ha tra i maggiori pregi quella di centralizzare il controllo della rete e del FW in dom0 ..


P.S.: per chi lo aveva chiesto, come sistema utilizzo Debian stable.

--
ing. Andrea Gelpi
***************************************************
La Terra non la abbiamo ereditata dai nostri avi,
ma la abbiamo presa in prestito dai nostri bambini.
***************************************************

Messaggi successivi:
- Re: [ml] Server virtuali e loro sicurezza, Emiliano Gabrielli

In risposta a:
- [ml] Server virtuali e loro sicurezza, Gelpi Andrea
- Re: [ml] Server virtuali e loro sicurezza, Alessandro R.
- Re: [ml] Server virtuali e loro sicurezza, Emiliano Gabrielli

Data:
- precedente: Re: [ml] protocollo RDP 5.2 e SSL, Mailing List Manager
- successivo: Re: [ml] SELinux vs RSBAC, Claudio
- indice

Argomento:
- precedente: Re: [ml] Server virtuali e loro sicurezza, Emiliano Gabrielli
- successivo: Re: [ml] Server virtuali e loro sicurezza, Emiliano Gabrielli
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005