[Tech] La mia idea del FW

Leonardo Boselli leo@dicea.unifi.it
Gio 22 Nov 2001 13:29:44 CET 

On 22 Nov 2001, at 1:10, Marco Ermini wrote:
> > A1...An sono le macchine [i cui amministratori] 
> > sono ritenute[i] affidabili. Quindi non passano 
> > attraverso alcun FW
> 
> errore gravissimo ;-)
Per quello che dicevi prima, ossia che priva vuiene l'exploit e poi il 
patch ?
guarda che tutti gli attacchi che abbiamo avuto negli ultimi 36 mesi 
sono passati per porte che avrebbero comunque dovuto restare 
aperte (25 80 139 443) , e sono sempre passati a causa di errori di 
configurazione o (ma solo su RH[una volta sola] e su win2000 ) bug 
di servizi.
> non per sfiducia intrinseca: puoi anche rendergli internet disponibile
> al 100% tramite NAT, ma un firewall glielo devi mettere davanti
> *perlomeno in ingresso*.
> > S1...Sn sono i server che si spera siano ben 
> > amministrati (altrimenti avrei altri motivi da 
> > preoccuparmi) e anch'essi sono fuori del FW
> ahi ahi ahi
Perche' ??? d'altra parte questi dovrebbero avere le porte aperte 
verso l'esterno, a questo punto tanto vale collegarli direttamente e 
piazzare una seconda NIC verso l'interno. 
> 
> > SG1...SGn Sono i server di gruppo con due porte: 
> > Una sulla rete pubblica, l'altra su un hub a cui 
> > e`collegata una sottorete privata. 
> > Ogni gruppo di lavoro avrebbe uno o piu`di 
> > questi server sul quale farebbe girare tutte le 
> > applicazioni server (principalmente file sharing 
> > /ftp/http/condivisione stampanti e qualche 
> > applicativo database). A questo punto nessuna WS 
> > avrebbe directory condivise e/o servizi 
> > accessibile dall'esterno.
> > L'accesso all'esterno avverrebbe attivando il 
> > masquerading [e cosi`recupererei anche degli 
> > indirizzi ...].
> corretto. tieni comunque presente che per recuperare indirizzi puoi
> anche usare CIDR
cosa e`il CIDR ? 
E quindi, in base a quanto tu dicevi tu questa macchine dovrebbero 
o no stare dietro un  FW ?

 
> > In questo modo la gestione delle macchine 
> > interne (indicate con xxx ... zzz) sarebbe 
> > lasciato ai singoli utenti, quelli meno 
> > affidabili, sicuri che casini non ne dovrebbero 
> > combinare.
> ...se non sulle proprie macchine. Domanda: devi essere tu a riparare
> ad eventuali casini?....
Si ... ma sanno anche che chi usa win98 non e`tutelato (la 
assistenza si fa solo su winnt, win2000 e linux)
Leonardo Boselli (NIT)
Dipartimento Ingegneria Civile
Universita` di Firenze
Via Santa Marta 3
I-50139 Firenze
+39()055-4796-431

Maggiori informazioni sulla lista flug-tech