[sicurezza] web server --> Active Directory

samu76 · 24-12-2009, 10:22

salve,

chiedo nella speranza che la mia domanda trovi risposta ad un quesito che sinceramente non saprei neanche come poter proporre ad un motore di ricerca (ci ho provato, per quello, ma senza risultato)

il problema, o meglio richiesta di chiarimenti, è molto semplice.

Ho trovato on line un semplice sito web in php per le prenotazioni di aule, sale e quant'altro, una delle sue particolarità è che si può collegare in active diretory (server window) al fine di utilizzare gli utenti in essa contenuti senza doverli ricreare in un db mysql o altro.

comodo, pratico e veloce, e soprattuto, gli utenti la password in questione la devono sapere per forza!

a seguito di richieste da parte di alcuni utenti, volevo offrire la possibilità di effettuare queste prenotazioni anche da casa loro e non solo all'interno della nostra LAN.

il farlo è molto semplice e qui non ho problemi di sorta, ma ho dubbi relativi al fatto che "aprendo" al mondo un sito web che è collegato in active directory mi apra un buco colossale nella sicurezza interna della rete.

Ovvio che se metto un web server un buco bene o male lo creo, ma collegare questo web server alla AD è potenzialmente pericoloso o di per se non corro rischi? In caso, quali precauzioni potrei prendere per limitare i rischi?

per bypassare anche alcuni scipt di exploit volevo mettere tale sito in una sotto sotto direcotory, in questo modo dovrei limitare alcuni tentativi di accesso da parte di smanettoni/script

grazie

Samuel

kingv · 24-12-2009, 10:48

- permetti l'accesso all'Active Directory all'applicazione PHP con un utente che abbia i privilegi di sola lettura sul directory
- se il software è mantenuto attivamente fai in modo di essere sempre informato sugli aggiornamenti
- cura la configurazione del webserver su cui lo installi eliminando le funzionalità non utilizzate e, anche qui, segui costantemente patch e aggiornamenti
- se sei in grado valuta l'installazione di un firewall applicativo come apache+mod_security

samu76 · 24-12-2009, 11:05

grazie per la risp.

si la connessione in AD avviene già tramite utente limitato

il "server" in questione conterrà esclusivamente sshd, apache, php e basta

del mod_security non sapevo nulla, ci darò un occhio e vedo se riesco a capirci qualcosa

Dane · 24-12-2009, 15:03

non so come funzioni AD, ma sostanzialmente gli utenti dovrebbero stare su un server LDAP (o pseudo-tale).
Come minimo dovresti controllare quello, visto che in esso ci sono tutte le autorizzazioni.

Premetto che penso lo facciano in pochissimi:
In alternativa, potresti migrare da AD a samba + ldap. Puoi mettere il webserver (apache) in dmz e tutto il resto in lan (anche se a rigore in server in dmz non dovrebbe in nessun modo poter effettuare una connessione verso la lan).
Poi con ldap (puro) puoi divertirti quanto vuoi.

eclissi83 · 25-12-2009, 11:29

potresti anche limitare l'accesso attraverso una VPN, facendo un utente per ogni persona che vuole collegarsi. in questo modo non esponi il server su internet e solo chi ha user e pass per accedere in VPN puo' usufruire del servizio.

ciao

samu76 · 25-12-2009, 23:47

la vpn era un'ipotesi che avevo preso in considerazione in effetti, di per se mi limitava il lavoro, ma essendo gli utenti molto utonti, prevedo che ci saranno sicuri casini

(inoltre gli utenti sarebbero almeno 80 se non di piu)

in ogni caso proverò anche la vpn (magari per prima), poi chissà, magari se si accorgono che possono accedere anche al server magari troveranno la cosa ancora più utilie.

i primi di gennaio vedrò di fare alcuni test tramite vpn e anche con web server e modulo security

grazie mille per le risposte

P.S.: la migrazione windows -> linux non è attuabile, però, se fosse fattibile, potrei provare a creare un ldap server sul serverino linux (in dmz) e su questo scaricare le unità organizzative (che mi interessano) del server win... in questo modo tale server risulterebbe totalmente isolato dalla rete... unica pecca è il fatto che ldap lo conosco pochissimo se non nulla

samu76 · 08-01-2010, 12:09

come da suggerimento sto provando le vpn... e forse è la via più pratica e "sicura"

inoltre, darebbe l'opportunità (al momento disabilitata) di accedere ai propi file sul server anche da casa

sto sperimentando un po di connessioni e se tutto va bene, la sett prox darò i file necessari e le istruzioni (con tanto(e) di immagini) per l'installazione di openvpn (sotto vista, su xp va benone la portable!)

24-12-2009, 10:22	#1
samu76 Senior Member Iscritto dal: Mar 2005 Città: trento Messaggi: 1318	[sicurezza] web server --> Active Directory salve, chiedo nella speranza che la mia domanda trovi risposta ad un quesito che sinceramente non saprei neanche come poter proporre ad un motore di ricerca (ci ho provato, per quello, ma senza risultato) il problema, o meglio richiesta di chiarimenti, è molto semplice. Ho trovato on line un semplice sito web in php per le prenotazioni di aule, sale e quant'altro, una delle sue particolarità è che si può collegare in active diretory (server window) al fine di utilizzare gli utenti in essa contenuti senza doverli ricreare in un db mysql o altro. comodo, pratico e veloce, e soprattuto, gli utenti la password in questione la devono sapere per forza! a seguito di richieste da parte di alcuni utenti, volevo offrire la possibilità di effettuare queste prenotazioni anche da casa loro e non solo all'interno della nostra LAN. il farlo è molto semplice e qui non ho problemi di sorta, ma ho dubbi relativi al fatto che "aprendo" al mondo un sito web che è collegato in active directory mi apra un buco colossale nella sicurezza interna della rete. Ovvio che se metto un web server un buco bene o male lo creo, ma collegare questo web server alla AD è potenzialmente pericoloso o di per se non corro rischi? In caso, quali precauzioni potrei prendere per limitare i rischi? per bypassare anche alcuni scipt di exploit volevo mettere tale sito in una sotto sotto direcotory, in questo modo dovrei limitare alcuni tentativi di accesso da parte di smanettoni/script grazie Samuel __________________ <<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo

24-12-2009, 11:05	#3
samu76 Senior Member Iscritto dal: Mar 2005 Città: trento Messaggi: 1318	grazie per la risp. si la connessione in AD avviene già tramite utente limitato il "server" in questione conterrà esclusivamente sshd, apache, php e basta del mod_security non sapevo nulla, ci darò un occhio e vedo se riesco a capirci qualcosa __________________ <<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo

24-12-2009, 15:03	#4
Dane Senior Member Iscritto dal: Jun 2001 Città: Gorizia/Trieste/Slovenia Messaggi: 4338	non so come funzioni AD, ma sostanzialmente gli utenti dovrebbero stare su un server LDAP (o pseudo-tale). Come minimo dovresti controllare quello, visto che in esso ci sono tutte le autorizzazioni. Premetto che penso lo facciano in pochissimi: In alternativa, potresti migrare da AD a samba + ldap. Puoi mettere il webserver (apache) in dmz e tutto il resto in lan (anche se a rigore in server in dmz non dovrebbe in nessun modo poter effettuare una connessione verso la lan). Poi con ldap (puro) puoi divertirti quanto vuoi. __________________ Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak)

25-12-2009, 11:29	#5
eclissi83 Senior Member Iscritto dal: Jan 2001 Messaggi: 2289	potresti anche limitare l'accesso attraverso una VPN, facendo un utente per ogni persona che vuole collegarsi. in questo modo non esponi il server su internet e solo chi ha user e pass per accedere in VPN puo' usufruire del servizio. ciao __________________ FreeBSD, OpenBSD and GNU/Linux User Free Software Foundation Associate Member proudly member of poco-serio™ team! nella foto son quello simpatico... l'altro e' \|Stan\|

25-12-2009, 23:47	#6
samu76 Senior Member Iscritto dal: Mar 2005 Città: trento Messaggi: 1318	la vpn era un'ipotesi che avevo preso in considerazione in effetti, di per se mi limitava il lavoro, ma essendo gli utenti molto utonti, prevedo che ci saranno sicuri casini (inoltre gli utenti sarebbero almeno 80 se non di piu) in ogni caso proverò anche la vpn (magari per prima), poi chissà, magari se si accorgono che possono accedere anche al server magari troveranno la cosa ancora più utilie. i primi di gennaio vedrò di fare alcuni test tramite vpn e anche con web server e modulo security grazie mille per le risposte P.S.: la migrazione windows -> linux non è attuabile, però, se fosse fattibile, potrei provare a creare un ldap server sul serverino linux (in dmz) e su questo scaricare le unità organizzative (che mi interessano) del server win... in questo modo tale server risulterebbe totalmente isolato dalla rete... unica pecca è il fatto che ldap lo conosco pochissimo se non nulla __________________ <<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo

24-12-2009, 10:48	#2
kingv Senior Member Iscritto dal: Jan 2001 Città: Milano Messaggi: 5707	- permetti l'accesso all'Active Directory all'applicazione PHP con un utente che abbia i privilegi di sola lettura sul directory - se il software è mantenuto attivamente fai in modo di essere sempre informato sugli aggiornamenti - cura la configurazione del webserver su cui lo installi eliminando le funzionalità non utilizzate e, anche qui, segui costantemente patch e aggiornamenti - se sei in grado valuta l'installazione di un firewall applicativo come apache+mod_security

08-01-2010, 12:09	#7
samu76 Senior Member Iscritto dal: Mar 2005 Città: trento Messaggi: 1318	come da suggerimento sto provando le vpn... e forse è la via più pratica e "sicura" inoltre, darebbe l'opportunità (al momento disabilitata) di accedere ai propi file sul server anche da casa sto sperimentando un po di connessioni e se tutto va bene, la sett prox darò i file necessari e le istruzioni (con tanto(e) di immagini) per l'installazione di openvpn (sotto vista, su xp va benone la portable!) __________________ <<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo

Strumenti
Mostra una versione stampabile Invia questa pagina per email