Quote:
Originariamente inviato da nightfly
Per farla breve, un demone è solitamente un programma eseguito in background che si pone in ascolto su una determinata porta (attraverso una socket) oppure svolge altre mansioni, ad esempio del polling su un database.
|
mi sembra di averlo già spiegato.
Quote:
|
Per quanto riguarda la DMZ essa ha come scopo quello di "isolare" gli host esposti direttamente su Internet (es. webserver) dagli host della LAN. Ciò però non implica necessariamente che i dispositivi posizionati nella DMZ non possano essere raggiunti dagli host appartenenti alla LAN. In tal caso, infatti, basterebbe utilizzare un firewall da interporre tra LAN e DMZ, magari che effettui anche del NATTING e che consenta le connessioni degli host della LAN posti sull'interfaccia "trusted" e dirette verso il webserver, ma non viceversa.
|
Nessuno ha mai detto che il traffico dalla Lan verso la zona demilitarizzata debba essere negato, quello che è vero è esattamente il contrario. Dagli host (con funzione di server) non deve essere consentito accedere alla parte lan, se non su un numero ridottissimo di porte e attraverso pochi protocolli possibilmente sicuri.
Quote:
|
Ancora meglio se tra lo screened router usato come gateway per l'accesso ad Internet e la stessa DMZ vi sia un ulteriore firewall, che supporti magari le connessioni VPN da remoto (ove necessario).
|
In letterature uno screened router è un router dotato di firewall packet-inspection operante sull' edge ip-trasporto, quindi rientra perfettamente nelle tipologie di cui si parlava nei post precedenti, anche se nella tipologia con doppio firewall è possibile l' utilizzo di firewall bridge.
Quote:
|
Per quanto riguarda le porte in ascolto bisognerebbe limitarne il numero il più possibile, soprattutto se esse si riferiscono a degli applicativi che prevedono l'inserimento di opportune credenziali di acesso (soggetti a bruteforce).
|
già spiegato nei post precedenti
Quote:
|
Infine, non bisogna trascurare il fatto che gli host direttamente raggiungibili dall'esterno, ovvero da Internet, sono soggetti ad attacchi basati su buffer overflow, ovvero su vulnerabilità intrinseche relative al codice sorgente delle applicazioni in esecuzione. E' fortemente consigliabile, quindi, aggiornare continuamente i sistemi, soprattutto se le patch sono state sviluppate per arginare alcune falle relative alla sicurezza.
|
giusto, ma questo è consigliabile su qualsiasi tipologia di rete e per qualunque utilizzo se ne faccia.