[security] Quali servizi?

michel a ziobudda.net michel a ziobudda.net
Mer 15 Ott 2003 10:46:05 CEST 

On Tue, 14 Oct 2003, Marco Scandaletti wrote:

> 
>  Ciao a tutta la lista,
> 
>  sto buttando giù alcune idee per la
>  nuova rete internet aziendale e mi
>  sono trovato a farmi qualche domanda
>  a cui non so darmi una risposta decisa.
>  Quali sono i servizi, o comunque le porte,
>  che devono essere assolutamente accessibili
>  dall'esterno?

Tutte e nessuna.
Dipende da cosa hai al tuo interno.

> Sto parlando di un firewall con
>  ip alias ( almeno 3 ip statici ) che fa DNAT
>  con un web/ftp server, un mail server ed un ip
>  di scorta per un eventuale attacco al volo di una
>  macchina temporanea. queste tre macchine hanno
>  naturlamente ip privati.

Allora. 
20-21 (ftp)
110 (poop3)
80 e 443 (http/s)
25 (smtp)

>  La struttura è la classica intranet/DMZ/internet.
>  Questa struttura mi permetterebbe modifiche
>  al volo invisibili ai client e tutto lavorando
>  con il firewall via ssh sull'interfaccia della intranet.
>  Cosa pensate di questa struttura?

l'ho fatto un po' di tempo fa per un cliente.
Funziona ed è utile se vuoi avere le macchine all'interno della tua rete e 
non da un ISP.

> che vantaggi

Hai le tue macchine sotto controllo.

>  e che svantaggi?

Se la tua rete (internet) viene meno ne risentono anche queste macchine. 
Inoltre devi premunirti di UPS.

> problemi architetturali?

Non ne vedo.

>  Ritornando alla domanda principale:
>  che servizi è opportuno rendere visibili all'esterno?

Tutti quelli che ti servono.

>  Lasciando stare i casi particolari, quali sono i servizi
>  che ci devono essere? Quali protocolli?

Dipende sempre da che server metti in questa DMZ.

>  Tempo fa si parlava se è il caso di filtrare l'icmp
>  o di tenerlo per i test.

Tienilo (ero io che avevo fatto la domanda) aperto.

>  Tenere una porta per l'accesso di amministrazione
>  da internet in caso di evenienza è un azzardo?

Si. Meglio se la lasci aperta solo da IP fissi.

>  o è meglio un bel ras server sulla intranet?
>  So che qui si spazia in un campo immenso
>  ma può essere l'occasione per aprire una
>  fruttuosa discussione.
>  Non ho menzionato i sensori (IDS - NIDS),
>  meglio sul firewall? oppure un bello switch
>  che permette reti virtuali e che manda tutto
>  il traffico su una porta dedicata per l'IDS?

Quest'uultima, ma ti costa un bel po' quello switch.

>  scusate il post very long :))

meglio long e sensato che short e senza senso.

ciao

-- 
Morelli Michel
ZioBudda.net Coordinator
michel a ziobudda.net

Maggiori informazioni sulla lista security