Re: Implementazione DMZ

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2003 ml@sikurezza.org
Soggetto: Re: Implementazione DMZ
Mittente: Dario Lombardo
Data: 8 Dec 2003 16:27:08 -0000

1)
Normalmente le policy per una struttura lan+internet+dmz sono queste

lan->internet: tutto permesso
lan ->dmz: permessi solo i protocolli voluti (per es. 110/tcp)
internet -> dmz: permessi solo i protocolli voluti (per es. 25/tcp)
internet -> lan: tutto vietato
dmz -> internet: permessi solo i protocolli voluti (p.e. 25/tcp)
dmz -> lan: tutto vietato

Questo esempio solo nel caso in cui tu sulla dmz abbia solo il server di posta. Aggiungi delle altre direttive dove ci sono dei procolli e il gioco e' fatto. Attenzione a includere delle direttive per 53/udp (il dns) seno' non funziona poi nulla.

2) La sicurezza e' maggiore se fatta su piu' livelli. Quindi mettere iptables anche sul server mi pare una buona idea. Cosi' se dovesse essere bucato il firewall c'e' ancora una seconda protezione. Ovviamente piu' livelli di sicurezza vuol dire piu' complessita' e difficolta' nel toubleshooting.

3) Il server proxy e' un server per i pc della lan ma non per i pc di internet. Quindi se non devi farlo vedere da fuori (cosa che mi pare giusta) non hai motivo di metterlo sulla DMZ.

4) Credo sia indifferente.. secondo me puoi dargli tranquillamente un indirizzo pubblico.

Alessandro Ballestriero wrote:

Buongiorno, in azienda si sta pensando di modificare la struttura di rete,in
questo momento abbiamo un firewall tra il router e la lan. Vorrei
implementare una dmz in modo da inserire in quest'ultima il server di posta
(linux). Il mio firewall e già predisposto per la conessione dmz, inoltre e
attivo il sistema nat in modo che gli utenti interni escano con un ip solo.
Le mie domande sono:
1 come posso strutturarla in modo da renderla piu sicura possibile
2 e meglio implementare iptable sul server di posta in modo da avere una
sdadio di difesa in piu?
3 Il server proxy e meglio che stia in dmz o può stare in Lan?
4 e meglio che natto anche il server di posta in dmz o lo lascio con
indirizzo publico?

																Grazie
															     Alessandro


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List


--
Dario Lombardo

"Even if you win the rat race, you're still a rat..."


====================================================================
CONFIDENTIALITY NOTICE
This message and its attachments are addressed solely to the persons
above and may contain confidential information. If you have received
the message in error, be informed that any use of the content hereof
is prohibited. Please return it immediately to the sender and delete
the message. Should you have any questions, please contact us by
replying to MailAdmin@xxxxxxxxxx Thank you
====================================================================

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Implementazione DMZ, Michele Vetturi
- Re: Implementazione DMZ, Igor Falcomata'

In risposta a:
- Implementazione DMZ, Alessandro Ballestriero

Data:
- precedente: R: Ri-Sistemi biometrici, MultiMedia it - Claudio Caprara
- successivo: Re: Implementazione DMZ, Igor Falcomata'
- indice

Argomento:
- precedente: Implementazione DMZ, Alessandro Ballestriero
- successivo: Re: Implementazione DMZ, Igor Falcomata'
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005