[Linuxtrent] Re: sicurezza DMZ (era switch vlan router linux)
- From: Andrea Ghirardini <pila@xxxxxxxxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Fri, 4 Apr 2003 12:47:02 +0200
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Venerdì, 4 apr 2003, alle 12:35 Europe/Rome, Zen ha scritto:
On Fri, Apr 04, 2003 at 08:24:46AM +0200, Andrea Ghirardini wrote:
Cosa no! e perchè? L'unica cosa che fa il firewall è semplicemente
fare
il routing tra internet e le singole macchine. Le macchine in DMZ non
ma per vedere le singole macchine, se queste stanno ognuna su
una vlan diversa, il firewall deve avere la porta collegata allo
switch in trunk, no?
Dunque. Io configuro la DMZ con gli indirizzi pubblici che mi assegna
il provider. Poi setto lo switch (uso quasi solo D-LINK) per la
creazione di VLAN "by port". Se ad esempio ho tre server e il firewall
sulla prima porta, creo le vlan con le porte:
1- 1-2
2- 1-3
3- 1-4
That's all e funziona. Non ci sono ne' arp poisoning ne altri cavoli
che tengano, l'unica macchina che tutti vedono è il firewall.
Perche` se in base alla netmask la macchina pensa che quella con
cui deve parlare sia sulla rete locale non manda mica il
pacchetto al firewall -- o fai proxy arp?
No perchè le macchine NON devono parlarsi tra loro. Punto. Tutti i miei
clienti hanno il DB server nella LAN Interna e questo è uno dei motivi
di questa configurazione. Non voglio che venga evidenziato il traffico
che entra nella LAN interna
Se ti bucano poi una macchina, per sniffare la rete devono
mettere l'interfaccia in promiscuo: se e` uno switch, vedranno
solo il traffico di broadcast -- per vedere l'altro devi fare
spoofing sul mac-address, e sono d'accordo che se tutte le
macchine sono separate e` una tecnica inutile.
Appunto e per far spoofing non è che serva un genio, vedi ettercap di
quel malandrino di Alberto Ornaghi e del suo compagno di merende...
D'altra parte, se in dmz hai due macchine che per caso devono
parlare tra loro (un'application server e un db, per esempio),
allora tutto il traffico deve transitare per il fw , cosa che a
volte penso possa essere un bel collo di bottiglia.
Come dicevo sopra si ciucciano tra loro non hanno bisogno di parlare,
almeno per le realtà che gestisco io.
############################
Andrea "Pila" Ghirardini
############################
CEO Pila's Security Services
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (Darwin)
iEYEARECAAYFAj6NYqsACgkQ99/KQPj2cRNM9gCfQY8HpOTi+XTj5GKBnLPcIqka
Y+UAmwUrODamMq0eUmQKRG4CLff848o9
=KTQ4
-----END PGP SIGNATURE-----
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: