[security] Quali servizi?

[Marco Scandaletti]

 Ciao a tutta la lista,

 sto buttando giù alcune idee per la
 nuova rete internet aziendale e mi
 sono trovato a farmi qualche domanda
 a cui non so darmi una risposta decisa.
 Quali sono i servizi, o comunque le porte,
 che devono essere assolutamente accessibili
 dall'esterno? Sto parlando di un firewall con
 ip alias ( almeno 3 ip statici ) che fa DNAT
 con un web/ftp server, un mail server ed un ip
 di scorta per un eventuale attacco al volo di una
 macchina temporanea. queste tre macchine hanno
 naturlamente ip privati.
 La struttura è la classica intranet/DMZ/internet.
 Questa struttura mi permetterebbe modifiche
 al volo invisibili ai client e tutto lavorando
 con il firewall via ssh sull'interfaccia della intranet.
 Cosa pensate di questa struttura? che vantaggi
 e che svantaggi? problemi architetturali?
 Ritornando alla domanda principale:
 che servizi è opportuno rendere visibili all'esterno?
 Lasciando stare i casi particolari, quali sono i servizi
 che ci devono essere? Quali protocolli?
 Tempo fa si parlava se è il caso di filtrare l'icmp
 o di tenerlo per i test.
 Tenere una porta per l'accesso di amministrazione
 da internet in caso di evenienza è un azzardo?
 o è meglio un bel ras server sulla intranet?
 So che qui si spazia in un campo immenso
 ma può essere l'occasione per aprire una
 fruttuosa discussione.
 Non ho menzionato i sensori (IDS - NIDS),
 meglio sul firewall? oppure un bello switch
 che permette reti virtuali e che manda tutto
 il traffico su una porta dedicata per l'IDS?

 scusate il post very long :))
 bye, scanda