[Tech] dentro o fuori ?
Aldo Podavini
a.podavini@ldvsrl.it
Mer 8 Ott 2003 17:34:07 CEST
Allora, scrivo anche alla luce di quanto hai scritto nell'altro messaggio.
1) Una macchina accessibile dall'esterno da IP arbitrari è - per
definizione - una macchina perimetrale
2) Il fatto che questa macchina acceda ad altre macchine rende anche
queste ultime, sempre per definizione, macchine perimetrali.
3) Ciò detto, ciò che distingue la tua DMZ dalla tua rete interna ( che
interna non è, la chiameremo DMZ_2 ) è ovviamente un firewall che starà
tra di loro.
4) Che la tua macchina in questione stia sulla DMZ o sulla DMZ_2, per
quanto detto, non è particolarmente rilevante: diventa comunque
fondamentale che si sappia difendere da sola. Più che di DMZ varie in
questo contesto direi che avrai un bastion host, ed è proprio la
macchina in oggetto.
5) Prenderei qualche precauzione in più, del tipo:
5.1) sposta il backup dell'http server su un'altra macchina, e metti
anche quella nella DMZ
5.2) idem per squid
5.3) lascia su questa macchina solo il proxaggio di 22, 135 e 139;
difendila con i denti, come sono certo saprai fare, e.... in bocca al
lupo :-)
Aldo
Leonardo Boselli wrote:
>Il 8 Oct 2003 alle 16:17 Aldo Podavini immise in rete
>
>
>>Umh... qui faccio un po' fatica a seguire...
>>SSH ? Ossia devi amministrare la macchina da fuori ? Seccante... Sai
>>almeno da quale IP ?
>>
>>
>se lo sapessi a priori non mi servirebbe .....
>
>
>
>>HTTP/S ? Ossia sulla macchina che fa da proxy gira anche un http server
>>? E questo perchè ? Non può l'http server accessibile dall'esterno
>>starsene su un'altra macchina posta sulla DMZ ?
>>
>>
>
>L'http server ufficale sta su un'altra macchina in dmz, quello sul proxy
>serve come backup .
>
>
>
>>Ora, intendiamoci: il fatto stesso che nei tuoi requirements ci sia il
>>fatto di rendere accessibili dall'esterno delle macchine della rete
>>interna rende un po' inconsistente tutto il discorso sulla DMZ. Il punto
>>è che si crea una DMZ proprio per metterci le macchine accessibili
>>dall'esterno, mentre quelle della rete interna se ne stanno ben
>>protette, anche dalle stesse macchine della DMZ, che non possono
>>accedere a quelle della rete interna.
>>Punto.
>>Il fatto che tu voglia accedere alle macchine interne dall'esterno
>>praticamente rende tutta la tua rete una grande DMZ, ossia una rete
>>potenzialmente vulnerabile.
>>
>>
>Vero ... ma essendo un prerequisito inderogabile .... intanto la
>soluzione parziale è questa ...
>
>
>>Questo è.
>>Devi essere particolarmente accurato con il firewalling.
>>
>>
>
>autoauguri.
>
>
Maggiori informazioni sulla lista
flug-tech