[PLUTO-security] Web Server su indirizzi privati

Beppe beppebz at tin.it
Wed Jun 4 14:43:24 CEST 2003


Parlando di "[PLUTO-security] Web Server su indirizzi privati" Giuseppe ha 
scritto:
> Buongiorno a tutti,

Ciao anche a te ! 

<...cut...>

> Dovrei rendere visibile al mondo esterno il servizio web presente su
> questa. La macchina e' dietro un firewall quindi con un port-forward
> posso redirigere solo il traffico web verso quest'ultima.
> Tutti gli altri servizi sono naturalmente disabilitati al mondo esterno.
>
> E' accettabile come soluzione oppure debbo necessariamente ricorrere
> ad una macchina in DMZ su cui installare SOLO il web e permettere
> la consultazione solo su quest'ultima ??

E' comunque consigliabile installare la macchina in un DMZ. Sicuramente per 
dare una netta separazione fra quelli che sono i servizi pubblici quindi 
ragiungibili dall'esterno e quello che è l'aspetto diciamo (scusa la parola) 
privato: la LAN. 
Sicurmente in tutto questo ne ottieni una migliore gestione della rete
e soprattutto delle policy di sicurezza.
Anche nell'ipotesi di una corruzione del server la stessa dovrebbe essere 
circostritta alla sola DMZ, e non propagarsi anche verso la LAN ove magari 
hai dati importanti.
Dico ..." dovrebbe " perchè spostare la macchina in DMZ non vuol dire problemi 
risolti.
IMHO andrebbero ancora riviste le policy sul firewall per discriminare il 
traffico fra LAN e DMZ... e qualche limatata di qua e di la (ove possibile)
sul server stesso.
Insomma in DMZ ho un webserver; allora concedo solo il traffico sulla 80 e 
eventuale servizio per traferire i lavori: nulla di piu !!!

> La mia paura deriva dal fatto che sulla macchina in LAN sono anche presenti
> altri dati come ad esempio i sorgenti che usiamo per lo sviluppo di sw...
> Quanto e' alto il rischio di compromissione con il solo APACHE
> raggiungibile dall'esterno ?

Beh se viene scoperta qualche vulnerabilità su APACHE sicuramente la cosa non 
è piu' sicura, anche se direi che questo sia molto influenzato dal tipo di 
BUG, probabilmente in lista c'è qualcuno che potra risponderti con piu'
precisione, cio non toglie che indipendentemente da dove venga installata la 
macchina (DMZ o LAN), un buon punto di partenza sarebbe eliminare tutto cio' 
che ritieni importante e metterlo altrove.

> Saluti a tutti...

Ciao
Beppe!
> _______________________________________________
> pluto-security mailing list
> pluto-security at lists.pluto.linux.it
> http://lists.pluto.linux.it/mailman/listinfo/pluto-security

-- 
GnuPG Public KEY: 
--->[http://www.bpnets.org/beppe.asc]


More information about the pluto-security mailing list