Utilizzare più indirizzi IP pubblici

[Cpt.Harlock]

Salve,

nella ditta con la quale collaboro ho scoperto che hanno un contratto businness con un provider che garantisce 4 indirizzi ip pubblici (A.B.C.21 - netmask 255.255.255.252).

Ora, al momento hanno un router (A.B.C.21) con ip pubblico che fa da firewall e nat (per il sito e il mail server).

Se volessero utilizzare anche gli altri 3 indirizzi ip pubblici, come si fa ?

Ad esempio per spostare il sito web su A.B.C.22.

Grazie in anticipo.

[slowped]

Quote:

Originariamente inviato da Cpt.Harlock

Salve,

nella ditta con la quale collaboro ho scoperto che hanno un contratto businness con un provider che garantisce 4 indirizzi ip pubblici (A.B.C.21 - netmask 255.255.255.252).

Se volessero utilizzare anche gli altri 3 indirizzi ip pubblici, come si fa ?

Dipende dal router che utilizzano. Posta marca e modello e, se è un Cisco, posta la configurazione.

[Cpt.Harlock]

Scusate il ritardo.

Non è nulla di professionale: è un zyxel 660. Entrata per la wan, 4 uscite di rete. Tutto qua.

[slowped]

Quote:

Originariamente inviato da Cpt.Harlock

Non è nulla di professionale: è un zyxel 660. Entrata per la wan, 4 uscite di rete. Tutto qua.

Non conosco bene il prodotto. Ho prima approssimazione direi:

1) disabilitare il NAT;
2) assegnare al router il primo indirizzo IP;
3) assegnare agli altri PC i restanti indirizzi.

[Cpt.Harlock]

Ma in questo modo i pc sarebbero direttamente accessibili senza alcun filtro o controllo.

Non credo sia una soluzione sicura.

Un esperto mi ha parlato di un Cisco LASA, che dovrebbe essere una sorta di firewall professionale, ma non so cosa sia o cosa faccia. In rete non trovo nulla.

[slowped]

Quote:

Originariamente inviato da Cpt.Harlock

Ma in questo modo i pc sarebbero direttamente accessibili senza alcun filtro o controllo.

C'è il firewall del router. Lo avevo dato per scontato.

Quote:

Originariamente inviato da Cpt.Harlock

Un esperto mi ha parlato di un Cisco LASA, che dovrebbe essere una sorta di firewall professionale, ma non so cosa sia o cosa faccia. In rete non trovo nulla.

Forse perché il nome è sbagliato

Si chiamano ASA http://www.cisco.com/web/go/asa oppure http://www.cisco.com/en/US/products/ps6120/index.html

[nuovoUtente86]

ed inoltre esistono i firewall software.

[Cpt.Harlock]

E' vero che sono solo un programmatore e non un sistemista, ma affidare un server (web) ad un firewall software non mi sembra la cosa più sicura di questo mondo.

Ho guardato i Cisco Asa, magari chiedo di avere più info, dalla tabella comparativa non è che si capisce quale sia più adatto alle loro esigenze.

Altra domanda (chiedo perdono se sono pedante): ma se disattivo il nat, tutti i 5 pc della rete che hanno il classico 192.168.1.X che fine fanno ?

[nuovoUtente86]

le vulnerabilità derivano dai servizi (applicazioni) in ascolto, quindi non è tanto un firewall a proteggere ma la scelta di cosa lasciare attivo, quindi un firewall software non ha nulla di meno, in questo caso, di un corrispettivo hardware.

[slowped]

Quote:

Originariamente inviato da Cpt.Harlock

E' vero che sono solo un programmatore e non un sistemista, ma affidare un server (web) ad un firewall software non mi sembra la cosa più sicura di questo mondo.

A ciascuno il suo mestiere

Scherzi a parte, proprio perché si tratta di proteggere un solo server la spesa per l'acquisto di un ASA è assolutamente ingiustificata. Nella fattispece, basta tenere aperta la sola porta 80 (e la 443 nel caso si utilizzi https) e questo è un compito che qualsiasi firewall software svolge egregiamente. Inoltre, nel tuo caso, lo ribadisco, c'è a disposizione il firewall dello Zyxel 660 che, per quanto ne so io, è più che adeguato alle esigenze che hai indicato.

Quote:

Originariamente inviato da Cpt.Harlock

Altra domanda (chiedo perdono se sono pedante): ma se disattivo il nat, tutti i 5 pc della rete che hanno il classico 192.168.1.X che fine fanno ?

Utilizzando il "Full Feature NAT" il tuo router dovrebbe consentire di usare più di un indirizzo IP pubblico e, utilizzando delle appropriate "Address Mapping Rule", mappare un indirizzo pubblico verso un singolo host (one-to-one rule) e utilizzare una many-to-one rule per nattare tutti gli altri host che non necessitano di IP pubblico.

[Cpt.Harlock]

Eingrazio per le risposte.

Immagino che quelle configurazioni siano nella parte Amministrativa del Router. Ora riferirò. Anche perchè, avendo appunto ognuno il suo mestiere, non vado certo a 'trafficare' su configurazioni che non sono di mia competenza (e di cui non avrei neppure riscontro economico.

La parte più divertente sarà ritrovare la passwordi di Admin del router (che il capo non ricorda).
Nel mio a casa (Netgear) c'è un pulsantino da premere per alcuni secondi e resettare tutto, ma non credo siano molto contenti di questa opzione.

Magari ci risentiamo.

P.S:
Il Cisco Asa base costa un 500 €, non è una cifra esagerata per l'azienda.

[slowped]

Quote:

Originariamente inviato da Cpt.Harlock

(e di cui non avrei neppure riscontro economico.

Diciamo che questa è la cosa fondamentale.

Quote:

Originariamente inviato da Cpt.Harlock

Il Cisco Asa base costa un 500 €, non è una cifra esagerata per l'azienda.

Non è una cifra esagerata in assoluto, ma è comunque uno spreco visto il compito che dovrebbe svolgere (proteggere un server web e un server di posta). Il firewall dello zyxel ha tutto quanto occorre, anzi fa anche troppo visto che si tratta solo di configurare qualcosa di simile: chiudi tutto il traffico in ingresso tranne quello sulla porta 80 per il server X e quello sulla porta 25 del server Y.

[Stelix]

Quote:

Originariamente inviato da slowped

Diciamo che questa è la cosa fondamentale.



Non è una cifra esagerata in assoluto, ma è comunque uno spreco visto il compito che dovrebbe svolgere (proteggere un server web e un server di posta). Il firewall dello zyxel ha tutto quanto occorre, anzi fa anche troppo visto che si tratta solo di configurare qualcosa di simile: chiudi tutto il traffico in ingresso tranne quello sulla porta 80 per il server X e quello sulla porta 25 del server Y.

Mah, un router Zyxel 660 lo consiglierei per uso professionale e non domestico solo in caso di piccoli uffici con un paio di postazioni.
Non so di preciso di quale tipo/livello di filtering sia dotato lo Zyxel, ma l'utilizzo di firewall ideati ad hoc per un uso professionale come gli ASA, Sonicwall, Fortigate, che integrano stateful inspection, deep inspection, antivirus integrati ecc..ecc...secondo me è sempre caldamente consigliabile ad un'azienda se non rappresenta un esborso eccesivo; poi bisogna valutare la dimensione "informatica" dell'azienda, eventuali servers, postazioni ecc..

Affermare che è uno spreco ed ingiustificato investire su un apparato che aumentarebbe drasticamente la sicurezza informatica aziendale è un azzardo secondo me; certo per esaudire la richiesta fatta inizialmente non necessario alcun apparato particolare, ma vista la situazione nel suo complesso un "upgrade" ci sta eccome.

[slowped]

Quote:

Originariamente inviato da Stelix

Mah, un router Zyxel 660 lo consiglierei per uso professionale e non domestico solo in caso di piccoli uffici con un paio di postazioni.

È esattamente la situazione del nostro utente: un server web e 5 posti di lavoro.

Quote:

Originariamente inviato da Stelix

Non so di preciso di quale tipo/livello di filtering sia dotato lo Zyxel,

Abbastanza evoluto. Se dai un'occhiata la suo manuale utente te ne potrai rendere conto.

Quote:

Originariamente inviato da Stelix

secondo me è sempre caldamente consigliabile ad un'azienda se non rappresenta un esborso eccesivo;

Su questo sono d'accordo, soprattutto con la parte che ho evidenziato in grassetto. La componente antivirus costa. L'ASA più economico che ha l'antivirus costa più di 3000 (+IVA) euro (modello ASA5510CSC10K9).

Quote:

Originariamente inviato da Stelix

poi bisogna valutare la dimensione "informatica" dell'azienda, eventuali servers, postazioni ecc..

Appunto. Si sta parlando di cinque posti di lavoro con un servre web.

Quote:

Originariamente inviato da Stelix

Affermare che è uno spreco ed ingiustificato investire su un apparato che aumentarebbe drasticamente la sicurezza informatica aziendale è un azzardo secondo me;

In questo caso, a mio giudizio ovviamente, è come sparare a una mosca con un cannone.