Salve a tutti!
Arrivo subito al punto.
In azienda abbiamo un router Cisco 1701 per la connessione ad una linea ATM. Il router fa da access point ai dipendenti e forwarda il traffico ad una DMZ con Server web, posta ecc.
Circa due settimane fa abbiamo avuto riprova di un information leak di dati che sarebbero dovuti finire in un'altra sede tramite una VPN.
Com'è possibile? Il 1701 si occupa anche della creazione della VPN e non abbiamo notato security alerts di recente.
Non chiedo la soluzione del problema, ma non riesco nemmeno a figurarmi dove andare a cercare...
Grazie per l'attenzione
Cisco 1701 e DMZ - URGENTE
Moderatore: Federico.Lagni
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
ciao!
Francamente le informazioni a nostra disposizione sono un po' poche. Nel tema della sicurezza, le variabili tendono a +infinito.
Assumendo una corretta configurazione del router, non rimane che esaminare la configurazione dei server e la topologia della rete stessa (argomento spesso erroneamente sottovalutato in ambito di sicurezza).
Puoi fornire qualche informazione aggiuntiva?
Francamente le informazioni a nostra disposizione sono un po' poche. Nel tema della sicurezza, le variabili tendono a +infinito.
Assumendo una corretta configurazione del router, non rimane che esaminare la configurazione dei server e la topologia della rete stessa (argomento spesso erroneamente sottovalutato in ambito di sicurezza).
Puoi fornire qualche informazione aggiuntiva?
-
Asimov
- Cisco fan
- Messaggi: 39
- Iscritto il: lun 22 mar , 2004 11:22 am
- Località: Cividale
hai ragione. sono stato parecchio vago.
Allora, nella DMZ ci sono:
- una macchina dedicata al server web apache e file server
- una macchina dedicata a server di posta (sendmail) e dns
- una macchina per gli share di windows server 2003
tutte collegate ad uno switch che va a finire nel router.
Un'altra porta del router è collegata ad un altro switch dedicato ai client.
Allora, nella DMZ ci sono:
- una macchina dedicata al server web apache e file server
- una macchina dedicata a server di posta (sendmail) e dns
- una macchina per gli share di windows server 2003
tutte collegate ad uno switch che va a finire nel router.
Un'altra porta del router è collegata ad un altro switch dedicato ai client.
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Allora...
beh, ci sono alcune cose un po' fuori posto.
1. i 2 servizi più vulnerabili di una rete si trovano nella stessa macchina (posta e dns)
2. perché gli share si trovano nella dmz?
3. non è una buona idea avere un dns che lavori sia per internet che per la lan.
3. se quello è l'unico server di posta, significa che il firewall gli permette di uscire autonomamente sia verso la lan che verso internet. questo è tecnicamente pericoloso in quanto la dmz diventa semplicemente un altro ramo della rete e può accedere a tutte le macchine. Al contrario i bastion hosts nella dmz dovrebbero solamente uscire in risposta ad una richiesta. Come far funzionare la posta, quindi? Hai bisogno di un altro ramo della rete, collegato al router, che faccia da SMTP Gateway e si occupi solo dell'invio.
A questo punto, la policy di forward dmz->internet e dmz->lan devono essere poste a drop, accettando solo il caso in cui la connessione sia stata stabilita dall'esterno.
Beh, non mi rimane che augurarti buon lavoro!
beh, ci sono alcune cose un po' fuori posto.
1. i 2 servizi più vulnerabili di una rete si trovano nella stessa macchina (posta e dns)
2. perché gli share si trovano nella dmz?
3. non è una buona idea avere un dns che lavori sia per internet che per la lan.
3. se quello è l'unico server di posta, significa che il firewall gli permette di uscire autonomamente sia verso la lan che verso internet. questo è tecnicamente pericoloso in quanto la dmz diventa semplicemente un altro ramo della rete e può accedere a tutte le macchine. Al contrario i bastion hosts nella dmz dovrebbero solamente uscire in risposta ad una richiesta. Come far funzionare la posta, quindi? Hai bisogno di un altro ramo della rete, collegato al router, che faccia da SMTP Gateway e si occupi solo dell'invio.
A questo punto, la policy di forward dmz->internet e dmz->lan devono essere poste a drop, accettando solo il caso in cui la connessione sia stata stabilita dall'esterno.
Beh, non mi rimane che augurarti buon lavoro!
