[Primipassi] pop interno

Aldo Podavini a.podavini@mclink.it
Gio 4 Set 2003 12:01:15 CEST 

Massimiliano Bertei wrote:

> ok grazie ma i problemi di avere una macchina con ip pubblico non ci sono,
> visto che la metterò in una DMZ, per il resto OK!
>
Ti consiglio di non poggiare in modo fideistico la tua fiducia sul fatto 
che esista un DMZ.
Per vari motivi, tra i quali:
1) la definizione stessa ("zona smilitarizzata") sta a significare che 
si considera la  DMZ attaccabile con relativa facilità (in 
contrapposizione alla rete interna, che invece è "militarizzata"); e 
quindi - a parte le considerazioni di cui al §2 - la tua preoccupazione 
per la macchina in questione deve sussistere, eccome.
2) esistono in letteratura innumerevoli casi di permeazione tra DMZ e 
rete interna, anche in presenza di firewalls con i controfiocchi. A 
proposito: quale tipo di firewall hai previsto tra le due zone ? filtro 
di pacchetti semplice, filtro di pacchetti "stateful" o proxy 
applicativo ? E quali servizi lascerai passare ? La faccenda ha tante 
sfaccettature, e a ciascuna corrispondono tante possibili falle di 
sicurezza...
3) come minimo dovrai lasciare che sulla tua macchina ci sia un server 
in ascolto sulla porta 25 su internet; già questo ti creerà parecchi 
grattacapi.
4) se prima o poi a qualcuno dei tuoi utenti verrà voglia di consultarsi 
la sua posta da fuori ufficio (il che - per ora - mi dici non essere un 
requisito, ma chissà domani...) dovrai aprire anche altre porte (110 e/o 
143 e/o 80 e/o 443, ad esempio), e i grattacapi aumenteranno (*)
5) anche ammettendo che tu filtri molto bene ciò che bussa alla tua 
porta (ad esempio tutti i tentativi di parassitismo del tuo relay), non 
potrai impedire che questo traffico occupi la tua banda (e magari la 
paghi pure, dipende dal contratto che hai)

Insomma, non dico che non lo puoi fare. Dico solo di pensarci bene, e di 
non cullarti troppo nella convinzione che "i problemi di avere una 
macchina con ip pubblico non ci sono,visto che la metterò in una DMZ".

Ciao
Aldo

(*): mi si obietterà che per offrire un tale servizio occorrerebbe 
comunque un IP pubblico, anche se il server ufficiale di posta sta 
fuori. Questo è "quasi" vero (dico "quasi" perchè si possono inventare 
modi per far sì che quando un utente, per esempio sta fuori una 
settimana, la sua posta non venga scaricata e quindi lui se la possa 
leggere dal server esterno, ma ammetto che sarebbe un po' un 
accrocchio), ma è pur sempre meglio che avere un IP pubblico puntato dai 
dns.
Ciao.

Maggiori informazioni sulla lista primipassi