Salve a tutti,
mi chiedevo come poter realizzare una rete locale il piu' possibile
sicura... ok tralasciamo il fatto che la sicurezza assoluta non esiste,
quindi diciamo il piu' sicura possibile... Pensavo di utilizzare una
macchina
firewall/bridge con 3 NIC (1 al modem ADSL, 1 alla "greenzone" e 1
alla "redzone"). In redzone (che si dovrebbe chiamare anche DMZ?
non vorrei dire baggianate, in caso vi prego perdonatemi e correggetemi)
vorrei mettere una macchina con i servizi offerti a internet (HTTP, FTP)
e una macchina che faccia da honeypot.
Nella green zone i client (notebook mio, client di mio padre, eventuali pc
di amici) che ovviamente devono poter vedere la DMZ e devono
poter uscire su internet. La DMZ al contrario non deve vedere
i client. Per far questo devo ovviamente mettere red e green zone su due
sottoreti differenti (Rete pubblica e Rete privata).

Tuttavia pensavo questo: Se un intruso compromettesse la DMZ... non dovrebbe
vedrebbe i client... ma potrebbe attakkare il bridge/firewall,
comprometterlo e
quindi da li raggiungere i client?
Dovrei fare in modo che il bridge/firewall fosse invisibile... ho lettoche
il bridge lavora a livello dei MAC address delle schede di rete, quindi non
dovrebbe avere IP essendo cosi' invisibile? Insomma voglio ridurre le strade
che potrebbero portarlo alla rete interna...

Ma come? mi aiutate?

thx,
imiko.

ma questa cosa la devi fare per casa tua o per un'azienda?

Originariamente inviato da gohan
ma questa cosa la devi fare per casa tua o per un'azienda?

Per puro "sfacinnamento" personale.... insomma va... per passare tempo e per voglia di imparare qualcosa di nuovo...

e.

Originariamente inviato da imikohiei
Per puro "sfacinnamento" personale.... insomma va... per passare tempo e per voglia di imparare qualcosa di nuovo...

e.


Sfacinnati un po' con i motori di ricerca

avevo raggiunto con go-ooogle quelle conclusioni....
volevo un parere qui.... tutto qui.

imiko.

Scusa l'ignoranza, ma cos'é un "honeypot"? :what:

Per la tua questione cocncordo che un routerino con Firewall interno e possibilità di impostare una DMZ sia molto + semplice e + che sufficiente per una utenza SOHO. ;)

Se poi vuoi costruire una cosa + complessa per il piacere accademico di imparare smanettando ti capisco, purtroppo non so aiutarti ma ti auguro buone nottate ... :D
In ogni caso, cercando nei link in rilievo, trovi molte pagine esplicative che possono essere utili ...

Ciao :) :)

un honeypot è un pc "esca" (e quindi "sacrificabile" :D ) che serve per attirare un possibile malintenzionato che è riuscito ad entrare nella rete e subirne gli attacchi al posto di un server vero e proprio.

Ciumbia, roba da Pentagono o da Banca d'Italia :sofico:
A casa, mi sembra 1 pò eccessivo ...

Grazie per la delucidazione

Ciao :) :)

OK, penso che faro' cosi'.... tuttavia pensavo di loggare la honeypot su di un server remoto... in modo da evitare che l'intruder possa contraffare i log... magari lascio li i classici log che lui potra' contraffare, ma intanto avro' sull'altra makkina i veri log.
E' possibile fare una rete via seriale? cioe' per evitare che venga attakkato il log server posso mettere in comunicazione (solo per sendare i log) honeypot e logserver via seriale?

imiko.

Originariamente inviato da imikohiei
Dovrei fare in modo che il bridge/firewall fosse invisibile... ho lettoche
il bridge lavora a livello dei MAC address delle schede di rete, quindi non
dovrebbe avere IP essendo cosi' invisibile? Insomma voglio ridurre le strade
che potrebbero portarlo alla rete interna...

Ma come? mi aiutate?

thx,
imiko.
si, si può fare con openbsd un bridge ipless (su google trovi info)
X la rete via seriale: c'e' un protocollo apposta, si chiama SLIP

Originariamente inviato da BeBrA
si, si può fare con openbsd un bridge ipless (su google trovi info)
X la rete via seriale: c'e' un protocollo apposta, si chiama SLIP

Si grazie! mi ero proprio orientato su openbsd .... per SLIP daro' un occhio quanto prima!

Grazie ancora.

imiko.

Originariamente inviato da imikohiei
Si grazie! mi ero proprio orientato su openbsd .... per SLIP daro' un occhio quanto prima!

Grazie ancora.

imiko.

Prego!
purtroppo per la soluzione con openbsd non posso molto aiutarti, visto che non ho provato in prima persona.
X lo SLIP invece ho ho fatto dei test qualche anno fa, mentre testavo un server http basato su un microcontrollore, che usavo proprio lo SLIP per comunicare con il resto della rete.
ciao