Discussione:
isa 2004 e struttura rete
(troppo vecchio per rispondere)
a***@gmail.com
2006-09-19 12:39:03 UTC
Permalink
salve a tutti,
avrei bisogno di un vostro consiglio su come organizzare la sicurezza
all'interno di un istituto tecnico superirore.
Si vorrebbe riuscire ad ottenere il livello di sicurezza + alto
possibile.

Nella rete interna ci sono i seguenti server:
DC, DNS, DHCP, WSUS, Antivirus (Sophos), File Server tutti su macchine
win 2003 sp1


C'è inoltre un web server (e ftp) sviluppato con IIS (sempre su win
2003) che dovrà essere pubblicato verso l'esterno (oltre ad essere
visibile dalla rete interna)

Per quanto riguarda le protezioni ci sono disponibili un server (win
2003) con installato ISA 2004 e un fw linux (iptables).

Che configurazione mi consigliate?

- Isa server in configurazione 3homed DMZ ( Isa server con 3 schede di
rete evitando quindi di usare iptables ) .
- Isa server in configurazione Back-to-back DMZ ( 1 isa server e 1 il
firewall linux verso la rete esterna ).

Le regole in isa server devono poter essere scritte basandosi sui
gruppi di Active directory (deve per forza appartenere al dominio?).
A livello di sicurezza mi sembrava migliore quella la configurazione
Back-to-back ma, in questo modo, non potrei + sfruttare i filtri di isa
per pubblicare server web e ftp (dite di mollare IIS e passare ad
apache?) e in un futuro OWA

E' graditissimo qualsiasi consiglio.
Ringrazio per l'attenzione.
Andrea
Edoardo Benussi [MVP]
2006-09-19 13:04:13 UTC
Permalink
Post by a***@gmail.com
salve a tutti,
avrei bisogno di un vostro consiglio su come organizzare la sicurezza
all'interno di un istituto tecnico superirore.
Si vorrebbe riuscire ad ottenere il livello di sicurezza + alto
possibile.
DC, DNS, DHCP, WSUS, Antivirus (Sophos), File Server tutti su macchine
win 2003 sp1
C'è inoltre un web server (e ftp) sviluppato con IIS (sempre su win
2003) che dovrà essere pubblicato verso l'esterno (oltre ad essere
visibile dalla rete interna)
Per quanto riguarda le protezioni ci sono disponibili un server (win
2003) con installato ISA 2004 e un fw linux (iptables).
Che configurazione mi consigliate?
- Isa server in configurazione 3homed DMZ ( Isa server con 3 schede di
rete evitando quindi di usare iptables ) .
- Isa server in configurazione Back-to-back DMZ ( 1 isa server e 1 il
firewall linux verso la rete esterna ).
Le regole in isa server devono poter essere scritte basandosi sui
gruppi di Active directory (deve per forza appartenere al dominio?).
si, isa dev'essere member server.
Post by a***@gmail.com
A livello di sicurezza mi sembrava migliore quella la configurazione
Back-to-back ma, in questo modo, non potrei + sfruttare i filtri di
isa per pubblicare server web e ftp (dite di mollare IIS e passare ad
apache?) e in un futuro OWA
proprio per questo io userei la prima delle due configurazioni.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Andrea
2006-09-19 13:46:39 UTC
Permalink
grazie per l risposta
Post by Edoardo Benussi [MVP]
si, isa dev'essere member server.
perfetto
Post by Edoardo Benussi [MVP]
proprio per questo io userei la prima delle due configurazioni.
ciao.
ma pubblicare isa diretta su internet non è una cosa un po' rischiosa?
dato che sarà anche membro del dominio?

Non vorrei sembrare paranoico, ma se un attaccante dovesse "fregare"
isa avrebbe libero accesso a tutto. Cosa che non potrebbe accadere (o
per lo meno non in modo così diretto) nel caso ci siano da superare 2
firewall con magari un ids nella dmz.

leggendo nei vari gruppi parlavano molto bene (a livello di sicurezza)
della configurazione Back-to-back pur essendo + dispendiosa a livello
di risorese e di amministrazione.
Tu non sei di questa idea?

Lo so che mi hai gia consigliata l'altra, ma vorrei cercare di capire a
fondo quali potrebbero essere i fantaggi/svantaggi di una rispetto
l'altra.
Si potrebbe eventualmente disporre di altri server per gestire in modo
attimale il sistema (per es nel caso di exchange server di BE e FE)

grazie
Andrea
Edoardo Benussi [MVP]
2006-09-19 17:40:35 UTC
Permalink
Post by Andrea
Lo so che mi hai gia consigliata l'altra, ma vorrei cercare di capire
a fondo quali potrebbero essere i fantaggi/svantaggi di una rispetto
l'altra.
L'analisi che ha fatto Alesssandro qui sotto
non fa una grinza dal punto di vista della sicurezza
e la condivido pienamente,
purtroppo io ho il difetto di guardare
spesso al portafoglio sia come euro
sia come ore/uomo per il lavoro
e poi valuto il costo/opportunità di una
determinata soluzione.
Tu spenderesti 10.000 euro per una porta
blindata con serratura speciale e chiave non
duplicabile e poi altri 5000 euro per una sorta
di cassaforte da applicare sopra alla serratura
della porta blindata ?
Io si se abitassi a Fort Knox ...
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Andrea
2006-09-19 19:51:32 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by Andrea
Lo so che mi hai gia consigliata l'altra, ma vorrei cercare di capire
a fondo quali potrebbero essere i fantaggi/svantaggi di una rispetto
l'altra.
L'analisi che ha fatto Alesssandro qui sotto
non fa una grinza dal punto di vista della sicurezza
e la condivido pienamente,
purtroppo io ho il difetto di guardare
spesso al portafoglio sia come euro
sia come ore/uomo per il lavoro
e poi valuto il costo/opportunità di una
determinata soluzione.
Tu spenderesti 10.000 euro per una porta
blindata con serratura speciale e chiave non
duplicabile e poi altri 5000 euro per una sorta
di cassaforte da applicare sopra alla serratura
della porta blindata ?
Io si se abitassi a Fort Knox ...
--
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Si hai ragione, probabilmente per il tipo di sistema che deve essere
protetto, isa con tre schede sarebbe stato + che sufficiente.
Ma la sicurezza non è mai troppa ;)
No, a parte gli scherzi, si voleva cercare di raggiungere il livello di
sicurezza + alto possibile con i mezzi a nostra disposizione
Alessandro Perilli [False Negatives]
2006-09-19 15:09:13 UTC
Permalink
Post by a***@gmail.com
Che configurazione mi consigliate?
- Isa server in configurazione 3homed DMZ ( Isa server con 3 schede di
rete evitando quindi di usare iptables ) .
- Isa server in configurazione Back-to-back DMZ ( 1 isa server e 1 il
firewall linux verso la rete esterna ).
Decisamente la seconda.

Una vera DMZ (due firewall dual-homed) è molto più sicura di una screened
subnet (singolo firewall di perimetro three-homed), quando i due firewall
siano basati su tecnologie e piattaforme differenti.

Per motivi di performance e di design (la rulebase di ISA è vincolata allo
schema di Active Directory) è sempre consigliato porre come front-end una
soluzione relativamente meno sicura e più veloce.

Io personalmente suggerisco sempre m0n0wall (m0n0.ch/wall/), che non è
Linux ma una distribuzione customizzata FreeBSD, distribuita come LiveCD.
O alternativamente il suo fork evoluto, pfSense (http://www.pfsense.com),
che però al momento non ha ancora raggiunto una release stabile (siamo alla
RC2 ed è questione di settimane comunque).

Su back-end ha perfettamente senso collocare un firewall più complesso e
più lento, come ISA Server, che può raggiungere direttamente il domain
controller o altri servizi collocati nella server farm, come il WSUS o un
Network Time Server interno.

Un possibile svantaggio in questa architettura è il degrado delle
performance di rete, se non si è accorti e si configurano entrambi i
firewall per nattare il traffico (il firewall di back-end non dovrebbe
nattare mai il traffico diretto verso la DMZ).

La stessa configurazione mettendo ISA come front-end avrebbe obbligato ad
aprire sul firewall di back-end le porte necessarie ai protocolli NetBIOS e
LDAP. Un rischio ingiustificabile.

Allo stesso modo, disponendo di competenze e risorse necessarie per
l'implementazione e la gestione di 2 firewall diversi, è un rischio inutile
optare per la prima soluzione proposta dove chi attacca la rete
dall'esterno deve confrontarsi con una sola tecnologia di difesa e non con
due totalmente differenti.
--
Alessandro Perilli, CISSP, MVP
IT Security and Virtualization Technology Analyst
http://www.alessandroperilli.com

LinkedIn: https://www.linkedin.com/in/alessandroperilli

Blogging about IT Security on http://www.securityzero.com
Blogging about Virtualization on http://www.virtualization.info
Andrea
2006-09-19 19:45:14 UTC
Permalink
Post by Alessandro Perilli [False Negatives]
Post by a***@gmail.com
Che configurazione mi consigliate?
- Isa server in configurazione 3homed DMZ ( Isa server con 3 schede di
rete evitando quindi di usare iptables ) .
- Isa server in configurazione Back-to-back DMZ ( 1 isa server e 1 il
firewall linux verso la rete esterna ).
Decisamente la seconda.
Una vera DMZ (due firewall dual-homed) è molto più sicura di una screened
subnet (singolo firewall di perimetro three-homed), quando i due firewall
siano basati su tecnologie e piattaforme differenti.
Per motivi di performance e di design (la rulebase di ISA è vincolata allo
schema di Active Directory) è sempre consigliato porre come front-end una
soluzione relativamente meno sicura e più veloce.
Io personalmente suggerisco sempre m0n0wall (m0n0.ch/wall/), che non è
Linux ma una distribuzione customizzata FreeBSD, distribuita come LiveCD.
O alternativamente il suo fork evoluto, pfSense (http://www.pfsense.com),
che però al momento non ha ancora raggiunto una release stabile (siamo alla
RC2 ed è questione di settimane comunque).
Su back-end ha perfettamente senso collocare un firewall più complesso e
più lento, come ISA Server, che può raggiungere direttamente il domain
controller o altri servizi collocati nella server farm, come il WSUS o un
Network Time Server interno.
Un possibile svantaggio in questa architettura è il degrado delle
performance di rete, se non si è accorti e si configurano entrambi i
firewall per nattare il traffico (il firewall di back-end non dovrebbe
nattare mai il traffico diretto verso la DMZ).
La stessa configurazione mettendo ISA come front-end avrebbe obbligato ad
aprire sul firewall di back-end le porte necessarie ai protocolli NetBIOS e
LDAP. Un rischio ingiustificabile.
Allo stesso modo, disponendo di competenze e risorse necessarie per
l'implementazione e la gestione di 2 firewall diversi, è un rischio inutile
optare per la prima soluzione proposta dove chi attacca la rete
dall'esterno deve confrontarsi con una sola tecnologia di difesa e non con
due totalmente differenti.
--
Alessandro Perilli, CISSP, MVP
IT Security and Virtualization Technology Analyst
http://www.alessandroperilli.com
LinkedIn: https://www.linkedin.com/in/alessandroperilli
Blogging about IT Security on http://www.securityzero.com
Blogging about Virtualization on http://www.virtualization.info
grazie per questa risposta molto precisa
Alla fine penso che opteremo per la configurazione Back-to-back ma
avrei da chiederti ancora alcune informazioni..

facendo questa configurazione non si potranno sfruttare i filtri di isa
per pubblicare i servizi pubblici (web server, ftp ecc), dici che
potrebbe essere un problema? (viene usato IIS)

Nella rete c'è la gestione dell'antivirus centralizzata(sophos), i
server nella dmz non potranno + essere gestiti in questo modo giusto?
se no bisognerebbe tenere aperte tutte le porte necessarie che non sono
poche. LA stessa cosa per il WSUS, i server della DMZ si aggiorneranno
direttamente dal sito MS ?

grazie davvero
Andrea
Alessandro Perilli [False Negatives]
2006-09-19 21:01:54 UTC
Permalink
Post by Andrea
acendo questa configurazione non si potranno sfruttare i filtri di isa
per pubblicare i servizi pubblici (web server, ftp ecc), dici che
potrebbe essere un problema? (viene usato IIS)
Non c'è nessun problema in questo senso ma è concettualmente un approccio
sbagliato: quando si crea una architettura DMZ si fa per tenere a regime di
stretto controllo i servizi che sono acceduti pubblicamente.

Se questi si trovano dietro ISA (che abbiamo detto posizionato come
back-end), l'uso della DMZ è inutile.
Post by Andrea
Nella rete c'è la gestione dell'antivirus centralizzata(sophos), i
server nella dmz non potranno + essere gestiti in questo modo giusto?
se no bisognerebbe tenere aperte tutte le porte necessarie che non sono
poche.
In nessun caso, indipendentemente dalla configurazione o dalla architettura
adottata, un server aziendale dovrebbe avere installato un antivirus.

Avere un AV implica che il server in questione possa interagire con
sorgenti di rischio (come Internet) o, molto più raramente, che possa
essere attaccato direttamente.

Il primo caso non è possibile, o quantomeno non dovrebbe esserlo: nessun
server dovrebbe mai essere usato anche come workstation da lavoro (per
esempio per navigare, scaricare la posta, ecc.)

Il secondo caso deve essere reso altamente improbabile, proteggendo i
server aziendali dietro un firewall.
Nello scenario finora descritto questa protezione è garantita da ISA (ìn
posizione di back-end) contro le minacce provenienti dall'esterno, ma non
c'è protezione contro le minacce provenienti dalla rete interna, i client
aziendali.

Per evitare attacchi direttamente dai client si scelgono usualmente 2
soluzioni alternative:

1) un router, dopo il firewall di backend, che separi la subnet dedicata ai
server aziendali (Server Farm) dalla subnet dedicata ai client aziendali
(Client Area)

2) il firewall di back-end stesso che, dotato di 3 schede di rete (3homed),
routi il traffico tra Server Farm e Client Area

Ci sono varianti più complesse che, come ha detto Edoardo, possono aver
senso quando il valore del dato da proteggere è tale da giustificare
l'infrastruttura atta alla sua protezione, ma in ogni caso l'installazione
di un AV sui server è qualcosa da evitare.

Fa eccezione il solo SharePoint o equivalente Content Management System
(CMS) poichè ospita dei documenti che vengono ridistribuiti tra le
postazioni, diventando vettori di infezione, e il mail server.

Ma in entrambi i casi ci sono antivirus specifici, come Antigen che
Microsoft sta per rilasciare.
Post by Andrea
LA stessa cosa per il WSUS, i server della DMZ si aggiorneranno
direttamente dal sito MS ?
Non è la soluzione più sicura.
WSUS permette di realizzare una infrastruttura complessa composta di server
primari e secondari.

L'approccio migliore in genere è quello di configurare un WSUS primario
nella Server Farm, in grado di aggiornare gli altri server nella subnet e i
client della Client Area, e un WSUS secondario collocato nella DMZ e atto
all'aggiornamento dei soli server in quest'area.

Il WSUS primario si sincronizzerà direttamente con il sito Windows Update,
passando entrambi i firewall della DMZ e le loro regole, mentre il WSUS
secondario si sincronizzerà con il primario, evitando un esposizione
diretta ad Internet (volontariamente impedita dal firewall di front-end).
--
Alessandro Perilli, CISSP, MVP
IT Security and Virtualization Technology Analyst
http://www.alessandroperilli.com

LinkedIn: https://www.linkedin.com/in/alessandroperilli

Blogging about IT Security on http://www.securityzero.com
Blogging about Virtualization on http://www.virtualization.info
Gabriele Del Giovine [SPS MVP]
2006-09-19 21:58:42 UTC
Permalink
Post by Alessandro Perilli [False Negatives]
In nessun caso, indipendentemente dalla configurazione o dalla
architettura adottata, un server aziendale dovrebbe avere installato
un antivirus.
Mi sembra un poco troppo forte come affermazione :-)
L'antivirus servirebbe non tanto per proteggere il server ma per impedire di
memorizzare contenuti infetti che poi verranno usati dagli utenti.

Saluti.
Alessandro Perilli [False Negatives]
2006-09-19 22:42:36 UTC
Permalink
Post by Gabriele Del Giovine [SPS MVP]
Mi sembra un poco troppo forte come affermazione :-)
Sono scuole di pensiero.

Installare un AV su un server è come ammettere che gli strumenti di
sicurezza che ne limitano l'accesso (locale o remoto) e ne garantiscono
l'integrità non sono sufficientemente affidabili, paragonando una server
farm all'ambiente di una workstation.

Sulla base di questa convinzione si dovrebbe quindi procedere anche
all'installazione di un firewall locale, di un antispyware locale, e tutti
gli anti-qualcosa che l'industria della sicurezza riterrà opportuno
propinare.

Non sono questo approccio non è assolutamente scalabile e impatta
sensibilmente sulle performance del datacenter, ma non rappresenta nemmeno
una soluzione più efficace dell'uso combinato di firewall+sistema di
patching.
--
Alessandro Perilli, CISSP, MVP
IT Security and Virtualization Technology Analyst
http://www.alessandroperilli.com

LinkedIn: https://www.linkedin.com/in/alessandroperilli

Blogging about IT Security on http://www.securityzero.com
Blogging about Virtualization on http://www.virtualization.info
Gabriele Del Giovine [SPS MVP]
2006-09-20 06:58:40 UTC
Permalink
Post by Alessandro Perilli [False Negatives]
Post by Gabriele Del Giovine [SPS MVP]
Mi sembra un poco troppo forte come affermazione :-)
Sono scuole di pensiero
Questo mi pare ovvio. A mio avviso quando si parla di sicurezza non bisogna
considerare
solo gli aspetti infrastrutturali "esogeni", che si concretizzano di fatto
con la protezione del perimetro esterno ma anche con la protezione ed il
mantenimento delle aere interne reputate (in maniera erratta IMHO) come
sicure. Per analogia sarebbe come se un reparto di malattie infettive (o un
laboratorio di virologia) fosse perfettamente isolato dal mondo esterno ma
al suo interno nessuno si curasse di custodire i malati/colture di virus in
ambienti separati ma semplicemente tutti nella stessa stanza.

Tutto qua.

Salui.
ParadoxEngine
2006-09-19 23:19:23 UTC
Permalink
Post by Gabriele Del Giovine [SPS MVP]
Mi sembra un poco troppo forte come affermazione :-)
L'antivirus servirebbe non tanto per proteggere il server ma per impedire
di memorizzare contenuti infetti che poi verranno usati dagli utenti.
A dirla tutta, ma proprio tutta, già l'uso di un firewall davanti ad un
server è demenziale nell 99% dei casi, dato come viene usato. Figuratevi un
antivirus.
Tanto varrebbe mettere un casello sulla scheda di rete.

In architetture che abbiano un minimo di complessità, è impensabile avere
server "multiuso".

Tutto quanto concerne il mondo dell'anti* deve per sua stessa natura avere
una propria dimensione. Parliamo di performance, di separazione dei
privilegi e dei ruoli, di progettazione logica infrastrutturale.
Installare un AV su un file server che è quanto, mi sembra di intravvedere
tra le righe, sta suggerendo di fare, significa assegnarli il compito di
analizzare TUTTI i dati che gestisce. In tempo quasi-reale. Si potrebbe
anche chiedergli di fare il caffè, tanto perso per perso...

Se le organizzazioni dotate di raziocinio vanno verso architetture
multistrato in cui anche per il processing della posta interna ci sono 4-5
passaggi, forse un motivo ci sarà.

SE POI ci stiamo riferendo SOLO ad una struttura di piccole dimensioni,
magari "attenta al budget" e quant'altro, ritiro tutto e chiedo scusa. MA
mi permetto di mettere in discussione alle fondamenta tutto ciò, dato che
esistono - come si faceva già notare- alternative gratuite e, sempre in
piccole realtà, altrettanto valide.

Però, ma forse ho travisato, mi sembrava si parlasse di un'architettura con
DMZ dotata di 2 firewall. Non proprio 1 server e 10 client.
--
NMLI
Gabriele Del Giovine [SPS MVP]
2006-09-20 06:50:05 UTC
Permalink
Post by ParadoxEngine
Post by Gabriele Del Giovine [SPS MVP]
Mi sembra un poco troppo forte come affermazione :-)
L'antivirus servirebbe non tanto per proteggere il server ma per
impedire di memorizzare contenuti infetti che poi verranno usati
dagli utenti.
A dirla tutta, ma proprio tutta, già l'uso di un firewall davanti ad
un server è demenziale nell 99% dei casi, dato come viene usato.
Figuratevi un antivirus.
Tanto varrebbe mettere un casello sulla scheda di rete.
In architetture che abbiano un minimo di complessità, è impensabile
avere server "multiuso".
Tutto quanto concerne il mondo dell'anti* deve per sua stessa natura
avere una propria dimensione. Parliamo di performance, di separazione
dei privilegi e dei ruoli, di progettazione logica infrastrutturale.
Installare un AV su un file server che è quanto, mi sembra di
intravvedere tra le righe, sta suggerendo di fare, significa
assegnarli il compito di analizzare TUTTI i dati che gestisce. In
tempo quasi-reale. Si potrebbe anche chiedergli di fare il caffè,
tanto perso per perso...
Questa interpretazione a mio avviso è frutto di una visione parziale delle
architetture
applicative e di comunicazione. La mia osservazione era relativa ad un
tipologia di server ben definita, intesa non tanto come macchina ma come
servizio applicativo specifico. Un sistema (perchè parliamo di sistema) di
archiviazione delle informazioni come un file server o un DB (come sono
Sharepoint o Exchange) hanno bisogno di un meccanismo incorporato di
controllo dei propri contenuti finalizzato a impedire loro di memorizzare e
distribuire oggetti con contenuti malevoli. Questo può essere fatto con
strumenti chiamiamoli "anti-virus" specifici. Non è detto che sia per forza
necessario monitorare tutto il traffico di rete, le interfacce legate al
file-system o ai sistemi di storage di Sharepoint ed Exchange hanno degli
hook appositi che notificano le richieste di scrittura/lettura di un singolo
file solo quando questo è stato ricevuto nella sua interezza.

Saluti.
Post by ParadoxEngine
Se le organizzazioni dotate di raziocinio vanno verso architetture
multistrato in cui anche per il processing della posta interna ci
sono 4-5 passaggi, forse un motivo ci sarà.
SE POI ci stiamo riferendo SOLO ad una struttura di piccole
dimensioni, magari "attenta al budget" e quant'altro, ritiro tutto e
chiedo scusa. MA mi permetto di mettere in discussione alle
fondamenta tutto ciò, dato che esistono - come si faceva già notare-
alternative gratuite e, sempre in piccole realtà, altrettanto valide.
Però, ma forse ho travisato, mi sembrava si parlasse di
un'architettura con DMZ dotata di 2 firewall. Non proprio 1 server e
10 client.
ParadoxEngine
2006-09-20 15:14:33 UTC
Permalink
Gabriele Del Giovine [SPS MVP]
2006-09-20 17:59:41 UTC
Permalink
Questa mi pare del tutto gratuita e fuori bersaglio.
La verifica si può fare ad un gran numero di livelli, compreso quelli
dei filtri del file system. Perché allora si è scelto di usare la
rete oppure server dedicati, fino ad ora? Trai vari motivi, anche
perché gli hook applicativi sono soggetti a creare problemi,
implicano la modifica del server (vedi sopra) e da ultimo rendono non
portabile l'applicazione.
Nel caso degli applicaton server citati le funzioni di controllo sono
funzioni intrinsche
dell'architettura dell'application sever per cui non incidono nella
portabilità dello stesso.


Saluti.
ParadoxEngine
2006-09-21 07:41:27 UTC
Permalink
Gabriele Del Giovine [SPS MVP]
2006-09-21 21:13:23 UTC
Permalink
Ti posso citare almeno tre casi in cui le API sono cambiate, per
quanto di poco, rendendo del tutto inutile il lavoro fatto a seguito
di un upgrade. Ma dato che hai avuto il bonton di rispondere a
tutt'altra questione rispetto a quella, già ai margini del topic, che
stavamo discutendo, perdo decisamente interesse nella conversazione.
Vorrà dire che le imparerai da solo le cose che tentavo di spiegarti
:)
Grazie per lezione.
Andrea
2006-09-20 12:56:21 UTC
Permalink
grazie ancora per le risposte :)
Post by Alessandro Perilli [False Negatives]
In nessun caso, indipendentemente dalla configurazione o dalla architettura
adottata, un server aziendale dovrebbe avere installato un antivirus.
Avere un AV implica che il server in questione possa interagire con
sorgenti di rischio (come Internet) o, molto più raramente, che possa
essere attaccato direttamente.
Il primo caso non è possibile, o quantomeno non dovrebbe esserlo: nessun
server dovrebbe mai essere usato anche come workstation da lavoro (per
esempio per navigare, scaricare la posta, ecc.)
per quanto riguarda la truttura adottata è la seguente

FW linux (o simili)
|
DMZ
|
--------------------- ISA ----------------- rete segreteria
| |
accesso LAN
da wireless interna (i server sono qui)


i server non verranno usati come workstation e non avranno l'accesso a
internet tranne il server WSUS e il server Antivirus (che sono 2
macchine indipendente).
Sui server interni verrà però installato l'av client (che si aggiorna
tramite il server AV - lo so che non sei di questa idea ma sul file
server e sul server che mantiene i profili, che ricevono file dai
client, preferiamo che siano controllati da av)
Non saranno permesse comunicazioni da dmz (e dall'esterno) verso
nessuna delle reti dietro ad ISA ma solo il contrario.
Post by Alessandro Perilli [False Negatives]
Il secondo caso deve essere reso altamente improbabile, proteggendo i
server aziendali dietro un firewall.
Nello scenario finora descritto questa protezione è garantita da ISA (ìn
posizione di back-end) contro le minacce provenienti dall'esterno, ma non
c'è protezione contro le minacce provenienti dalla rete interna, i client
aziendali.
Per evitare attacchi direttamente dai client si scelgono usualmente 2
1) un router, dopo il firewall di backend, che separi la subnet dedicata ai
server aziendali (Server Farm) dalla subnet dedicata ai client aziendali
(Client Area)
2) il firewall di back-end stesso che, dotato di 3 schede di rete (3homed),
routi il traffico tra Server Farm e Client Area
Per evitare attacchi dai client purtroppo dei delle limitazioni
economiche. L'unica cosa che verrà fatta è la divisione tramite vlan
della server farm e dei singoli laboratori. In questo modo i singoli
laboratori non potranno parlare fra di loro ma tutti potranno parlare
con la Server Farm. L'inter vlan routing verrà permesso da switch di
layer 3 della cisco (3550 o 3560) e si sfrutteranno le acl impostabili
per permettere vegli ogni server solo il traffico "corretto", in base
al servizio attivo.
Post by Alessandro Perilli [False Negatives]
Fa eccezione il solo SharePoint o equivalente Content Management System
(CMS) poichè ospita dei documenti che vengono ridistribuiti tra le
postazioni, diventando vettori di infezione, e il mail server.
Ma in entrambi i casi ci sono antivirus specifici, come Antigen che
Microsoft sta per rilasciare.
Per ora veiene usato il client sophos per tutti i server interni tranne
per ISA che si utilizza GFI web monitor (lo conosci? mi dai un tuo
parere? in questo modo dovrebbe dare un migliore controllo e si può
evitare di installare il client sophos) e per exchange che quando
diventerà operativo si utilizzerà AV specifico.
Post by Alessandro Perilli [False Negatives]
Post by Andrea
LA stessa cosa per il WSUS, i server della DMZ si aggiorneranno
direttamente dal sito MS ?
Non è la soluzione più sicura.
WSUS permette di realizzare una infrastruttura complessa composta di server
primari e secondari.
L'approccio migliore in genere è quello di configurare un WSUS primario
nella Server Farm, in grado di aggiornare gli altri server nella subnet e i
client della Client Area, e un WSUS secondario collocato nella DMZ e atto
all'aggiornamento dei soli server in quest'area.
Il WSUS primario si sincronizzerà direttamente con il sito Windows Update,
passando entrambi i firewall della DMZ e le loro regole, mentre il WSUS
secondario si sincronizzerà con il primario, evitando un esposizione
diretta ad Internet (volontariamente impedita dal firewall di front-end).
se serà possibile (a livello di risorse) si cercherà di
implementarla.


Per ora la connettività internet è data da una normale adsl (4mb) con
un solo ip pubblico statico. Entrambi i FW dovranno quindi fare NAT (o
PAT per la precisione). Per quanto rigurda le prestazioni è molto
sconvegnente?
Alessandro Perilli [False Negatives]
2006-09-21 12:03:46 UTC
Permalink
Post by Andrea
FW linux (o simili)
|
DMZ
|
--------------------- ISA ----------------- rete segreteria
| |
accesso LAN
da wireless interna (i server sono qui)
Dallo schema non è chiaro se i client wireless e la subnet della segreteria
sono attestate su una scheda di rete dedicata (quindi con un ISA four
homed).

Se non fosse così (cioè se quelle disegnate sono semplicemente diverse VLAN
di uno stesso switch), io ritengo ci sia un fondamentale errore [OT, ma
siamo OT già da tempo ormai]: i client wireless non dovrebbero mai arrivare
direttamente sulla rete interna, ma essere trattati da client Internet.

Questo perchè la rete wireless, per quanto protetta (encryption
WEP/WAP/WPA2, non broadcast del SSID, MAC address filtering) è comunque una
rete pubblicamente accessibile.

Usualmente per attestare l'accesso wireless sul perimetro si aggiunge una
scheda di rete dedicata sul firewall di front-end che direttamente
all'access point.
Post by Andrea
Per evitare attacchi dai client purtroppo dei delle limitazioni
economiche. L'unica cosa che verrà fatta è la divisione tramite vlan
della server farm e dei singoli laboratori. In questo modo i singoli
laboratori non potranno parlare fra di loro ma tutti potranno parlare
con la Server Farm. L'inter vlan routing verrà permesso da switch di
layer 3 della cisco (3550 o 3560) e si sfrutteranno le acl impostabili
per permettere vegli ogni server solo il traffico "corretto", in base
al servizio attivo.
Personalmente mi pare che la manutenzione delle VLAN sia economicamente
molto meno vantaggiosa di aggiungere una scheda di rete da 50 euro su ISA,
dove attestare la sola server farm.

Tra l'altro gli switch possono essere sempre soggetti ad attacchi VLAN
Hopping.
Post by Andrea
Per ora veiene usato il client sophos per tutti i server interni tranne
per ISA che si utilizza GFI web monitor (lo conosci? mi dai un tuo
parere? in questo modo dovrebbe dare un migliore controllo e si può
evitare di installare il client sophos)
Lo conosco ma è impossibile dare un parere senza avere una reale cognizione
della dimensione della rete dove sarà collocato e del tipo di traffico che
dovrà controllare.
Post by Andrea
Per ora la connettività internet è data da una normale adsl (4mb) con
un solo ip pubblico statico. Entrambi i FW dovranno quindi fare NAT (o
PAT per la precisione). Per quanto rigurda le prestazioni è molto
sconvegnente?
Non vedo come l'avere 1 singolo IP pubblico possa obbligare a "pattare" su
entrambi i firewall.
Se il firewall di front-end applica la traslazione perchè mai dovrebbe
farlo anche quello di back-end?

Quanto alle prestazioni, ancora una volta dipende dalla quantità di
macchine nella rete e dal tipo di traffico.
In reti molto piccole una doppia traslazione implca un degrado delle
performance non necessariamente apprezzabile.
--
Alessandro Perilli, CISSP, MVP
IT Security and Virtualization Technology Analyst
http://www.alessandroperilli.com

LinkedIn: https://www.linkedin.com/in/alessandroperilli

Blogging about IT Security on http://www.securityzero.com
Blogging about Virtualization on http://www.virtualization.info
Andrea
2006-09-21 14:38:07 UTC
Permalink
Post by Alessandro Perilli [False Negatives]
Dallo schema non è chiaro se i client wireless e la subnet della segreteria
sono attestate su una scheda di rete dedicata (quindi con un ISA four
homed).
Se non fosse così (cioè se quelle disegnate sono semplicemente diverse VLAN
di uno stesso switch), io ritengo ci sia un fondamentale errore [OT, ma
siamo OT già da tempo ormai]: i client wireless non dovrebbero mai arrivare
direttamente sulla rete interna, ma essere trattati da client Internet.
Isa ha 4 schede (lan - wireless - segreteria - ext).
La segreteria dispone di uno switch indipendente quindi è a tutti gli
effetti separata dalla rete locale. Gli access point purtroppo non
possono esse messi su uno switch indipendente in quando sono sparsi per
l'edificio e i cablaggi esistono gia. La soluzione migliore che si
pensava di adottare era quindi di raggruppare le porte degli switch
collegate agli AP (e quella collegata alla scheda di isa) in una vlan.
Eventualmente si può fare in modo che questa vlan sia con una scheda
del firewall di front-end anzichè con quella di ISA. Ma rimane cmq il
prob di non poter utilizzare uno switch dedicato.
Post by Alessandro Perilli [False Negatives]
Personalmente mi pare che la manutenzione delle VLAN sia economicamente
molto meno vantaggiosa di aggiungere una scheda di rete da 50 euro su ISA,
dove attestare la sola server farm.
Tra l'altro gli switch possono essere sempre soggetti ad attacchi VLAN
Hopping.
Si preferiva non mettere la server farm su un'interfaccia di isa per
una questione di prestazioni. I server sono collegati tramite più link
a 1gb.

Per quanto riguarda il VLAN hopping si rispetteranno le best parctices
per una configurazione "ottimale".
Post by Alessandro Perilli [False Negatives]
Lo conosco ma è impossibile dare un parere senza avere una reale cognizione
della dimensione della rete dove sarà collocato e del tipo di traffico che
dovrà controllare.
Lo so che è difficile dare un'idea di una struttura.. posso indicarti
che i client sono circa 250
Post by Alessandro Perilli [False Negatives]
Non vedo come l'avere 1 singolo IP pubblico possa obbligare a "pattare" su
entrambi i firewall.
Se il firewall di front-end applica la traslazione perchè mai dovrebbe
farlo anche quello di back-end?
Scusa, ma mi sono perso un attimo.. quindi mi consigli di non far fare
nat anche ad isa ma sono al firewall di front-end? Quindi quella che
isa chima "Network Relationship" dalle reti interne verso l'esterno
dovrei impostare "route", facendo così pattare tutto al fw di
front-end?


non so proprio come ringraziarti.
Se ti conoscessi di persona ti offrirei una cena! :)
Alessandro Perilli [False Negatives]
2006-09-22 00:05:41 UTC
Permalink
Post by Andrea
Scusa, ma mi sono perso un attimo.. quindi mi consigli di non far fare
nat anche ad isa ma sono al firewall di front-end? Quindi quella che
isa chima "Network Relationship" dalle reti interne verso l'esterno
dovrei impostare "route", facendo così pattare tutto al fw di
front-end?
Esatto.
Lo consiglio caldamente (nonostante questo poi implichi un'attenzione
particolare sulle tabelle di routing di ogni server che si trova in DMZ).
Post by Andrea
non so proprio come ringraziarti.
Se ti conoscessi di persona ti offrirei una cena! :)
Facciamo sempre in tempo...
--
Alessandro Perilli, CISSP, MVP
IT Security and Virtualization Technology Analyst
http://www.alessandroperilli.com

LinkedIn: https://www.linkedin.com/in/alessandroperilli

Blogging about IT Security on http://www.securityzero.com
Blogging about Virtualization on http://www.virtualization.info
Andrea
2006-09-22 10:56:03 UTC
Permalink
Post by Alessandro Perilli [False Negatives]
Esatto.
Lo consiglio caldamente (nonostante questo poi implichi un'attenzione
particolare sulle tabelle di routing di ogni server che si trova in DMZ).
non ho chiaro una cosa.. con la presenza di proxy per quanto riguarda
la navigazione teoricamente non dovrebbe essere isa ad uscire e non il
client?
Mi spiego meglio, il client fa una richesta ad isa di un sito; a questo
punto sarà preoccupazione di isa per reperire il sito (in cache o sul
web) e mandarlo al client.
Con entrambe le impostazioni (nat piuttosto che route) il clinet
uscirebbe su internet ?
Cmq oggi volevo provare a sniffare un po' di traffico dopo isa
impostandola prima su nat e poi su route..
Post by Alessandro Perilli [False Negatives]
Facciamo sempre in tempo...
volenieri! di che zona sei tu?


ciao
Andrea
Alessandro Perilli [False Negatives]
2006-09-22 11:40:23 UTC
Permalink
Post by Andrea
con la presenza di proxy per quanto riguarda
la navigazione teoricamente non dovrebbe essere isa ad uscire e non il
client?
Mi era sfuggito il fatto che ISA stesse agendo anche da proxy.

In ogni caso non può fare da proxy per tutti i protocolli: lasciare che ISA
faccia tutte le richieste HTTP mentre i client facciano da soli le
richieste per gli altri protocolli è perfettamente lecito.
--
Alessandro Perilli, CISSP, MVP
IT Security and Virtualization Technology Analyst
http://www.alessandroperilli.com

LinkedIn: https://www.linkedin.com/in/alessandroperilli

Blogging about IT Security on http://www.securityzero.com
Blogging about Virtualization on http://www.virtualization.info
Continua a leggere su narkive:
Loading...