[Tech] Firewall come ?

Leonardo Boselli leo@dicea.unifi.it
Mer 21 Nov 2001 11:38:35 CET 

On 21 Nov 2001, at 1:54, Christian Surchi wrote:
> On Tue, Nov 20, 2001 at 05:17:46PM +0100, Leonardo Boselli wrote:
> > Ho qui persone influenti che vorrebbero un FW.
> > Io ho qualche perplessità in quanto ritengo che crei solo svantaggi 
> > e nessun vantaggio, se non quello di aumentare il potere 
> > dell'amministratore.
> Dipende soprattutto dalle politiche che hai per quanto riguarda le
> macchine piazzate all'interno, visto che molto probabilmente e molto
> inutilmente (nella maggior parte dei casi) avranno indirizzi pubblici.
Vedi oltre ....
 
> > In particolare che vantaggio mi porta se:
> >   1. non ci sono politiche di restrizione negli accessi verso l'esterno 
> > (ossia tutti possono andare dappertutto)
> Ok.
Come già detto le macchine sono divise in 6 gruppi
 A) Server, debbono essere accessibili da tutti e sono da 
considerarsi sicure in quanto ben gestite
 b1) Macchine i cui amministratori sono "affidabili" non hanno 
restrizioni sul traffico
 b2)  Macchine i cui amministratori sono "inaffidabili" non hanno 
restrizioni sul traffico
 c1) Macchine che debbono essere accessibili in modo server solo dall'interno 
 c2) Macchine che debbono essere accessibili in modo server solo 
dall'interno ma che come client possono uscire
 D) macchine i cui utenti non sono affidabili che non possono 
uscire dal proprio gruppo se non per andare verso il gruppo A e 
solo su alcune porte

Il gruppo D e`già dietro un FW "virtuale" (ossia ha collegamento 
solo verso i server che sono dual hosted e solo alcuni servizi 
accettano connessioni dalla seconda porta)
per le macchine C2 il filtraggio e`fatto a liverllo di router e escono 
usando un proxy

> >   2. si assume che tutte le macchine siano configurate 
> > correttamente e non vi siano porte aperte per exploit vari
> Come lo controlli questo?
Per alcune macchine del gruppo b1 ci metto la mano sul fuoco, su 
quelle del gruppo A ... e` la stessa persona [IO] che gestirà il FW
Per le altre del gruppo b1 si deve vedere se passarle in B2 o 
cambiare amministratore 
   
> > Lo scopo sarebbe di evitare ingresso di virus come nimda e sircam 
> > e accessi indesiderati su macchine 98 e RH . e basta.
> Non mi pare poco... e magari anche quello di evitare che gli utenti
> installino monnezza di vario genere... bouncer o affini, o servizi
> sconosciuti...
Per questo non ci sono problemi: per il Gruppo A e B gli 
amministratori sono pochissimi e estremamente fidati.

> QUELLE macchine sono gia`dietro un fw che fa passare SOLO il 
> traffico ENTRANTE dall'esterno via SSH .
prima hai chiesto di un firewall e non di un firewall davanti ad un
altro.
Ho detto che ho circa 250 macchine, il gruppo D e`gia`chiamato 
fuori.
 
> Infatti dovresti se installi un fw dovresti chiederti cosa devi far
> passare e non il contrario. Io prima chiudo tutto e poi apro quello che
> serve.
Si puo`benissimo fare questo ragionamento. 

> > Qualcuno può confermarmi quanto sopra ?
> > Ossia se i miei pensieri sono buoni ?
> Dipende.

Allora la idea sarebbe di mettere i gruppi A e B1 fuori del FW, Il 
gruppo B2 dietro una macchina che fa le funzioni server per il 
gruppo e allo stesso tempo ha il masquarading, per cui all'interno 
non entra nulla, e per l'esterno installo i moduli canonici (a 
proposito: esiste il masquareade-Howto aggiornato per kernel 2.4 ?)
(in pratica come il gruppo D, solo che qui ho anche il masquarade 
per permettergli accesso diretto all'esterno)

Il problema a questo punto sono i gruppi C1-C2:
queste DEBBONO avere indirizzi pubblici, ma stare dietro un FW: 
come configuro una macchina che mi faccia da FW ma che di fatto 
sia un bridge (proxyarp ?) .
Impazzisco meno a lasciarle "aperte" e limitarmi a limitarne 
l'accesso col netmask ?  
il gruppo C1 sono tutti server di stampa dedicati [cioè le schede 
print-server, non dei PC] , per cui l'unico rischio e`che qualcuno mi 
mandi stampe "abusive" dall'esterno o che mi cambi le 
configurazioni, non vedo nulla di peggio ... voi si ?
Il gruppo C2 sono delle macchine che probabilmente posso 
passare in B2 o in D senza problemi .

Chgiedo conforto ....
Leonardo Boselli
nucleo informatico e telematico
Dipartimento Ingegneria Civile
Universita` di Firenze
V. S. Marta 3 - I-50139 Firenze
tel +39()0554796431 fax +39()055495333
http://www.dicea.unifi.it/~leo

Maggiori informazioni sulla lista flug-tech