il modo piu sicuro per esporre servizi sulla connessione di casa?

PhoEniX-VooDoo · 18-03-2014, 15:11

Dato che a casa ho una connessione simmetrica in fibra (50/50) ho diverse idee su cosa farci ma sono un po' scarso dal lato sicurezza, nel senso che vorrei esporre la mia LAN al minor numero di rischi possibile.

In teoria immagino che dovrei avere un server su una DMZ, ma non ho esperienza in merito ed anche leggendo le varie definizioni di dmz e/o architetture dove e' implementata faccio un po fatica a trasportare il tutto alla pratica (insostanza, come si realizza una DMZ?)

Avendo anche uno switch layer 3 sarebbe meglio creare una VLAN limitando il traffico dal webserver alla mia LAN? Nel senso, lascio perdere la DMZ, apro le porte che mi interessa verso il webserver e mi "proteggo" dallo stesso webserver (casomai fosse compromesso) bloccandone le connessioni (il routing in sostanza) verso la mia (V)LAN principale

Sono in sostanza un po confuso, nel senso che non capisco come si realizza questa cosa nel modo (piu') corretto possibile.

Qualche suggerimento?

Dane · 18-03-2014, 15:57

Per fare una dmz basterebbe una vlan.
Ma è meglio se dedichi un interfaccia apposita. Se un attaccante si prende il server in dmz può farti danni sulle vlan (dipende da come te le gestisci).

In sostanza in dmz vanno messi i servizi che devono essere raggiungibili sia da lan che da internet. Quindi l'eventuale port forwarding deve dirottare verso la dmz.
L'altro componente chiave è un firewall stateful: cioè
- nuove connessioni possono andare verso la dmz dalla lan e da internet
- la dmz può solo fare traffico di risposta verso la lan e internet.
- eventuali repliche di dati dovrebbero essere fatte dalla lan verso la dmz (e non il contrario).

In sostanza, è importante guardare da dove partono le connessioni (si usa syn, syn+ack, fin e compagnia bella).

Non è un discorso di routing. Sia lan che dmz devono avere le rotte per andare ovunque. Vanno bloccate con un firewall, che nel tuo caso coinciderebbero col router.

malatodihardware · 18-03-2014, 18:32

Un bel pfsense e risolvi tutto! Adesso sono da cellulare, ma appena ho un attimo ti spiego come ho fatto io la stessa cosa..

Inviato dal mio Nexus 5 con Tapatalk

PhoEniX-VooDoo · 19-03-2014, 10:30

ok ci sono: servono due router! era questo che mi sfuggiva

malatodihardware ora capisco perche hai citato pfsense, ma fatto sta che ho qua un Cisco RV110W nuovo che a questo punto vorrei usare come router per la mia LAN mentre il router dove arirva laconenssione diventera quello DMZ.

in ogni caso accetto assolutamente consigli su tutto

Dane · 19-03-2014, 13:37

perchè servono due router?

ne basta uno sufficientemente "malleabile"

PhoEniX-VooDoo · 19-03-2014, 14:02

capisco che con un router decente si potrebbe fare un all-in-one che forse sarebbe una soluzione piu pulita ma non riesco a fare distinzione di traffico e relativo filtraggio dal mio ruouter principale (che non posso cambiare)
si tratta di un PacketFront DRG600 (penso sconosciuto ai piu) e diciamo che meno roba gli fai fare meglio va..

quindi pensavo di collegare al DRG il webserver ed il secondo router al quale poi collego lo switch principale della mia LAN e tutta la baracca.

in questo modo il primo router sara il router dmz ed il secondo sara il router interno; nell'ipotesti che il webserver venga violato la rete interna resta chiusa dal firewall del secondo router..

malatodihardware · 19-03-2014, 22:28

Innanzitutto non conosco il Cisco che hai, quindi non so dirti se riuscirai a replicare la stessa configurazione che ti consiglio, puoi comunque provarci..

L'ideale sarebbe una configurazione simile:
- PacketFront direttamente connesso ad una porta del Cisco\pfSense (WAN)
- Una porta (o una VLAN) del Cisco\pfSense dedicata alla LAN
- Una porta (o una VLAN) del Cisco\pfSense dedicata alla DMZ

A questo punto a valle devi collegare solo il server all'interfaccia DMZ (oppure la VM alla VLAN, come preferisci..) e tutto il resto nella LAN.

Poi sul Cisco\pfSense farai delle regole tipo:
SOURCE Lan net DESTINATION any -> Pass
SOURCE Dmz net DESTINATION Lan Net -> Block
NAT delle porte che ti servono dall'esterno verso la DMZ

In questo modo tu potrai accedere ai server in DMZ, ma non viceversa (ovvero possono accedere alla tua LAN).

Come giustamente dice Dane, con le VLAN ti conviene stare un pò attento:
- se il server da mettere in DMZ sarà fisico, sulla porta dello switch devi attivare soltanto la VLAN DMZ
- se il server da mettere in DMZ è una VM, configura la VLAN sull'hypervisor e non sull'host, in modo che un malintenzionato non possa comunque forzare la VLAN della LAN

Tasslehoff · 20-03-2014, 01:03

Premetto che non ho una grande esperienza in termini di architetture di rete, le osservazioni che mi sento di fare sono:
1) benissimo le vlan se ti interessa sperimentare, però valuta bene se rappresentano una opportunità oppure una inutile complicazione.
Mi spiego, se hai una rete da segmentare o su cui limitare i pacchetti in broadcast ben vengano le vlan, se devi gestire il routing e la sicurezza layer 3 non so se ne vale la pena.

2) le regole che sono state suggerite vanno benissimo, però attenzione se tieni alcune risorse in intranet (es dbms) mentre altre che le utilizzano in dmz (es application server o webserver), bloccare il traffico dalla dmz alla intranet va bene, ma in quel caso dovrai prevedere delle rules dedicate a gestire questa casistica.

3) non fermarti solo alla sicurezza perimetrale, layer 2 o 3 che sia, i veri problemi spesso provengono dai layer più applicativi.
Non far girare nulla (se non l'indispensabile) come superuser, soprattutto tra i servizi esposti a web, utilizza TLS dove possibile, monitorizza bene accessi a risorse, utilizza tool che ti possano allertare in caso di scansioni o pattern particolari nei log di accesso ai servizi esposti (es un host-based IDS come Ossec).

PhoEniX-VooDoo · 20-03-2014, 07:56

il cisco sg 300 mi permette di creare vlan e fare routing intra-vlan, quindi effettivamente quello che suggerisce malatodihardware posso provare a farlo, anche solo per esperienza.

in ogni caso, quello che ho in piedi adesso e' in qualche modo sbagliato?

(internet)--------[FW](PF DRG600)-----------[FW](Cisco 110W)----------(Cisco SG300-10)-----LAN

per il controllo accessi solitamente uso ossec e/o blocco l'accesso ssh via password

18-03-2014, 15:11	#1
PhoEniX-VooDoo Bannato Iscritto dal: Nov 2000 Messaggi: 15500	il modo piu sicuro per esporre servizi sulla connessione di casa? Dato che a casa ho una connessione simmetrica in fibra (50/50) ho diverse idee su cosa farci ma sono un po' scarso dal lato sicurezza, nel senso che vorrei esporre la mia LAN al minor numero di rischi possibile. In teoria immagino che dovrei avere un server su una DMZ, ma non ho esperienza in merito ed anche leggendo le varie definizioni di dmz e/o architetture dove e' implementata faccio un po fatica a trasportare il tutto alla pratica (insostanza, come si realizza una DMZ?) Avendo anche uno switch layer 3 sarebbe meglio creare una VLAN limitando il traffico dal webserver alla mia LAN? Nel senso, lascio perdere la DMZ, apro le porte che mi interessa verso il webserver e mi "proteggo" dallo stesso webserver (casomai fosse compromesso) bloccandone le connessioni (il routing in sostanza) verso la mia (V)LAN principale Sono in sostanza un po confuso, nel senso che non capisco come si realizza questa cosa nel modo (piu') corretto possibile. Qualche suggerimento?

18-03-2014, 15:57	#2
Dane Senior Member Iscritto dal: Jun 2001 Città: Gorizia/Trieste/Slovenia Messaggi: 4338	Per fare una dmz basterebbe una vlan. Ma è meglio se dedichi un interfaccia apposita. Se un attaccante si prende il server in dmz può farti danni sulle vlan (dipende da come te le gestisci). In sostanza in dmz vanno messi i servizi che devono essere raggiungibili sia da lan che da internet. Quindi l'eventuale port forwarding deve dirottare verso la dmz. L'altro componente chiave è un firewall stateful: cioè - nuove connessioni possono andare verso la dmz dalla lan e da internet - la dmz può solo fare traffico di risposta verso la lan e internet. - eventuali repliche di dati dovrebbero essere fatte dalla lan verso la dmz (e non il contrario). In sostanza, è importante guardare da dove partono le connessioni (si usa syn, syn+ack, fin e compagnia bella). Non è un discorso di routing. Sia lan che dmz devono avere le rotte per andare ovunque. Vanno bloccate con un firewall, che nel tuo caso coinciderebbero col router. __________________ Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak)

19-03-2014, 13:37	#5
Dane Senior Member Iscritto dal: Jun 2001 Città: Gorizia/Trieste/Slovenia Messaggi: 4338	perchè servono due router? ne basta uno sufficientemente "malleabile" __________________ Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak)

20-03-2014, 01:03	#8
Tasslehoff Senior Member Iscritto dal: Nov 2001 Città: Kendermore Messaggi: 6683	Premetto che non ho una grande esperienza in termini di architetture di rete, le osservazioni che mi sento di fare sono: 1) benissimo le vlan se ti interessa sperimentare, però valuta bene se rappresentano una opportunità oppure una inutile complicazione. Mi spiego, se hai una rete da segmentare o su cui limitare i pacchetti in broadcast ben vengano le vlan, se devi gestire il routing e la sicurezza layer 3 non so se ne vale la pena. 2) le regole che sono state suggerite vanno benissimo, però attenzione se tieni alcune risorse in intranet (es dbms) mentre altre che le utilizzano in dmz (es application server o webserver), bloccare il traffico dalla dmz alla intranet va bene, ma in quel caso dovrai prevedere delle rules dedicate a gestire questa casistica. 3) non fermarti solo alla sicurezza perimetrale, layer 2 o 3 che sia, i veri problemi spesso provengono dai layer più applicativi. Non far girare nulla (se non l'indispensabile) come superuser, soprattutto tra i servizi esposti a web, utilizza TLS dove possibile, monitorizza bene accessi a risorse, utilizza tool che ti possano allertare in caso di scansioni o pattern particolari nei log di accesso ai servizi esposti (es un host-based IDS come Ossec). __________________ https://tasslehoff.burrfoot.it \| Cloud? Enough is enough! \| SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say."

18-03-2014, 18:32	#3
malatodihardware Senior Member Iscritto dal: Sep 2008 Messaggi: 3583	Un bel pfsense e risolvi tutto! Adesso sono da cellulare, ma appena ho un attimo ti spiego come ho fatto io la stessa cosa.. Inviato dal mio Nexus 5 con Tapatalk

19-03-2014, 10:30	#4
PhoEniX-VooDoo Bannato Iscritto dal: Nov 2000 Messaggi: 15500	ok ci sono: servono due router! era questo che mi sfuggiva malatodihardware ora capisco perche hai citato pfsense, ma fatto sta che ho qua un Cisco RV110W nuovo che a questo punto vorrei usare come router per la mia LAN mentre il router dove arirva laconenssione diventera quello DMZ. in ogni caso accetto assolutamente consigli su tutto

19-03-2014, 14:02	#6
PhoEniX-VooDoo Bannato Iscritto dal: Nov 2000 Messaggi: 15500	capisco che con un router decente si potrebbe fare un all-in-one che forse sarebbe una soluzione piu pulita ma non riesco a fare distinzione di traffico e relativo filtraggio dal mio ruouter principale (che non posso cambiare) si tratta di un PacketFront DRG600 (penso sconosciuto ai piu) e diciamo che meno roba gli fai fare meglio va.. quindi pensavo di collegare al DRG il webserver ed il secondo router al quale poi collego lo switch principale della mia LAN e tutta la baracca. in questo modo il primo router sara il router dmz ed il secondo sara il router interno; nell'ipotesti che il webserver venga violato la rete interna resta chiusa dal firewall del secondo router..

19-03-2014, 22:28	#7
malatodihardware Senior Member Iscritto dal: Sep 2008 Messaggi: 3583	Innanzitutto non conosco il Cisco che hai, quindi non so dirti se riuscirai a replicare la stessa configurazione che ti consiglio, puoi comunque provarci.. L'ideale sarebbe una configurazione simile: - PacketFront direttamente connesso ad una porta del Cisco\pfSense (WAN) - Una porta (o una VLAN) del Cisco\pfSense dedicata alla LAN - Una porta (o una VLAN) del Cisco\pfSense dedicata alla DMZ A questo punto a valle devi collegare solo il server all'interfaccia DMZ (oppure la VM alla VLAN, come preferisci..) e tutto il resto nella LAN. Poi sul Cisco\pfSense farai delle regole tipo: SOURCE Lan net DESTINATION any -> Pass SOURCE Dmz net DESTINATION Lan Net -> Block NAT delle porte che ti servono dall'esterno verso la DMZ In questo modo tu potrai accedere ai server in DMZ, ma non viceversa (ovvero possono accedere alla tua LAN). Come giustamente dice Dane, con le VLAN ti conviene stare un pò attento: - se il server da mettere in DMZ sarà fisico, sulla porta dello switch devi attivare soltanto la VLAN DMZ - se il server da mettere in DMZ è una VM, configura la VLAN sull'hypervisor e non sull'host, in modo che un malintenzionato non possa comunque forzare la VLAN della LAN

20-03-2014, 07:56	#9
PhoEniX-VooDoo Bannato Iscritto dal: Nov 2000 Messaggi: 15500	il cisco sg 300 mi permette di creare vlan e fare routing intra-vlan, quindi effettivamente quello che suggerisce malatodihardware posso provare a farlo, anche solo per esperienza. in ogni caso, quello che ho in piedi adesso e' in qualche modo sbagliato? (internet)--------[FW](PF DRG600)-----------[FW](Cisco 110W)----------(Cisco SG300-10)-----LAN per il controllo accessi solitamente uso ossec e/o blocco l'accesso ssh via password

Strumenti
Mostra una versione stampabile Invia questa pagina per email