[Tech] dentro o fuori ?

[Aldo Podavini]

Leonardo Boselli wrote:

>Il 8 Oct 2003 alle 14:50 Aldo Podavini immise in rete
>  
>
>>Ossia un utente è in giro per il mondo, vuole accedere alla sua macchina 
>>in ufficio e deve passare da questo proxy ?
>>Se l'esigenza è così come l'ho capita,  direi proprio che questo proxy 
>>deve stare dentro. Se venisse compromesso, infatti, sarebbe possibile 
>>all'attaccante avere libero accesso a tutte le macchine interne.
>>    
>>
>
>la risposta è perfettamente coerente ... salvo per un particolare:
>che siccome SSH, HTTP, HTTPS e un altro infausto protocollo 
>debbono venire esportati all'esterno , la possibilità di comprometterla 
>rimane e quindi dentro la DMZ con una porta "interna"?
>  
>

Umh... qui faccio un po' fatica a seguire...
SSH ? Ossia devi amministrare la macchina da fuori ? Seccante... Sai 
almeno da quale IP ?
HTTP/S ? Ossia sulla macchina che fa da proxy gira anche un http server 
? E questo perchè ? Non può l'http server accessibile dall'esterno 
starsene su un'altra macchina posta sulla DMZ ?

Ora, intendiamoci: il fatto stesso che nei tuoi requirements ci sia il 
fatto di rendere accessibili dall'esterno delle macchine della rete 
interna rende un po' inconsistente tutto il discorso sulla DMZ. Il punto 
è che si crea una DMZ proprio per metterci le macchine accessibili 
dall'esterno, mentre quelle della rete interna se ne stanno ben 
protette, anche dalle stesse macchine della DMZ, che non possono 
accedere a quelle della rete interna.
Punto.
Il fatto che tu voglia accedere alle macchine interne dall'esterno 
praticamente rende tutta la tua rete una grande DMZ, ossia una rete 
potenzialmente vulnerabile.
Questo è.
Devi essere particolarmente accurato con il firewalling.

Ciao
Aldo