[HELP] chi mi aiuta per realizzare una rete locale?

imikohiei · 24-04-2004, 12:46

Salve a tutti,
mi chiedevo come poter realizzare una rete locale il piu' possibile
sicura... ok tralasciamo il fatto che la sicurezza assoluta non esiste,
quindi diciamo il piu' sicura possibile... Pensavo di utilizzare una
macchina
firewall/bridge con 3 NIC (1 al modem ADSL, 1 alla "greenzone" e 1
alla "redzone"). In redzone (che si dovrebbe chiamare anche DMZ?
non vorrei dire baggianate, in caso vi prego perdonatemi e correggetemi)
vorrei mettere una macchina con i servizi offerti a internet (HTTP, FTP)
e una macchina che faccia da honeypot.
Nella green zone i client (notebook mio, client di mio padre, eventuali pc
di amici) che ovviamente devono poter vedere la DMZ e devono
poter uscire su internet. La DMZ al contrario non deve vedere
i client. Per far questo devo ovviamente mettere red e green zone su due
sottoreti differenti (Rete pubblica e Rete privata).

Tuttavia pensavo questo: Se un intruso compromettesse la DMZ... non dovrebbe
vedrebbe i client... ma potrebbe attakkare il bridge/firewall,
comprometterlo e
quindi da li raggiungere i client?
Dovrei fare in modo che il bridge/firewall fosse invisibile... ho lettoche
il bridge lavora a livello dei MAC address delle schede di rete, quindi non
dovrebbe avere IP essendo cosi' invisibile? Insomma voglio ridurre le strade
che potrebbero portarlo alla rete interna...

Ma come? mi aiutate?

thx,
imiko.

gohan · 24-04-2004, 19:45

ma questa cosa la devi fare per casa tua o per un'azienda?

imikohiei · 24-04-2004, 20:03

Quote:

Originariamente inviato da gohan
ma questa cosa la devi fare per casa tua o per un'azienda?

Per puro "sfacinnamento" personale.... insomma va... per passare tempo e per voglia di imparare qualcosa di nuovo...

e.

Ricky78 · 24-04-2004, 20:07

Quote:

Originariamente inviato da imikohiei
Per puro "sfacinnamento" personale.... insomma va... per passare tempo e per voglia di imparare qualcosa di nuovo...

e.

Sfacinnati un po' con i motori di ricerca

imikohiei · 24-04-2004, 20:24

avevo raggiunto con go-ooogle quelle conclusioni....
volevo un parere qui.... tutto qui.

imiko.

ilpik · 24-04-2004, 20:44

Scusa l'ignoranza, ma cos'é un "honeypot"?

Per la tua questione cocncordo che un routerino con Firewall interno e possibilità di impostare una DMZ sia molto + semplice e + che sufficiente per una utenza SOHO.

Se poi vuoi costruire una cosa + complessa per il piacere accademico di imparare smanettando ti capisco, purtroppo non so aiutarti ma ti auguro buone nottate ...

In ogni caso, cercando nei link in rilievo, trovi molte pagine esplicative che possono essere utili ...

Ciao

gohan · 24-04-2004, 20:56

un honeypot è un pc "esca" (e quindi "sacrificabile"

) che serve per attirare un possibile malintenzionato che è riuscito ad entrare nella rete e subirne gli attacchi al posto di un server vero e proprio.

ilpik · 24-04-2004, 21:14

Ciumbia, roba da Pentagono o da Banca d'Italia

A casa, mi sembra 1 pò eccessivo ...

Grazie per la delucidazione

Ciao

imikohiei · 25-04-2004, 02:50

OK, penso che faro' cosi'.... tuttavia pensavo di loggare la honeypot su di un server remoto... in modo da evitare che l'intruder possa contraffare i log... magari lascio li i classici log che lui potra' contraffare, ma intanto avro' sull'altra makkina i veri log.
E' possibile fare una rete via seriale? cioe' per evitare che venga attakkato il log server posso mettere in comunicazione (solo per sendare i log) honeypot e logserver via seriale?

imiko.

BeBrA · 25-04-2004, 03:10

Quote:

Originariamente inviato da imikohiei
Dovrei fare in modo che il bridge/firewall fosse invisibile... ho lettoche
il bridge lavora a livello dei MAC address delle schede di rete, quindi non
dovrebbe avere IP essendo cosi' invisibile? Insomma voglio ridurre le strade
che potrebbero portarlo alla rete interna...

Ma come? mi aiutate?

thx,
imiko.

si, si può fare con openbsd un bridge ipless (su google trovi info)
X la rete via seriale: c'e' un protocollo apposta, si chiama SLIP

imikohiei · 25-04-2004, 22:38

Quote:

Originariamente inviato da BeBrA
si, si può fare con openbsd un bridge ipless (su google trovi info)
X la rete via seriale: c'e' un protocollo apposta, si chiama SLIP

Si grazie! mi ero proprio orientato su openbsd .... per SLIP daro' un occhio quanto prima!

Grazie ancora.

imiko.

BeBrA · 26-04-2004, 00:12

Quote:

Originariamente inviato da imikohiei
Si grazie! mi ero proprio orientato su openbsd .... per SLIP daro' un occhio quanto prima!

Grazie ancora.

imiko.

Prego!
purtroppo per la soluzione con openbsd non posso molto aiutarti, visto che non ho provato in prima persona.
X lo SLIP invece ho ho fatto dei test qualche anno fa, mentre testavo un server http basato su un microcontrollore, che usavo proprio lo SLIP per comunicare con il resto della rete.
ciao

24-04-2004, 12:46	#1
imikohiei Member Iscritto dal: Jan 2004 Città: Katanae Messaggi: 98	[HELP] chi mi aiuta per realizzare una rete locale? Salve a tutti, mi chiedevo come poter realizzare una rete locale il piu' possibile sicura... ok tralasciamo il fatto che la sicurezza assoluta non esiste, quindi diciamo il piu' sicura possibile... Pensavo di utilizzare una macchina firewall/bridge con 3 NIC (1 al modem ADSL, 1 alla "greenzone" e 1 alla "redzone"). In redzone (che si dovrebbe chiamare anche DMZ? non vorrei dire baggianate, in caso vi prego perdonatemi e correggetemi) vorrei mettere una macchina con i servizi offerti a internet (HTTP, FTP) e una macchina che faccia da honeypot. Nella green zone i client (notebook mio, client di mio padre, eventuali pc di amici) che ovviamente devono poter vedere la DMZ e devono poter uscire su internet. La DMZ al contrario non deve vedere i client. Per far questo devo ovviamente mettere red e green zone su due sottoreti differenti (Rete pubblica e Rete privata). Tuttavia pensavo questo: Se un intruso compromettesse la DMZ... non dovrebbe vedrebbe i client... ma potrebbe attakkare il bridge/firewall, comprometterlo e quindi da li raggiungere i client? Dovrei fare in modo che il bridge/firewall fosse invisibile... ho lettoche il bridge lavora a livello dei MAC address delle schede di rete, quindi non dovrebbe avere IP essendo cosi' invisibile? Insomma voglio ridurre le strade che potrebbero portarlo alla rete interna... Ma come? mi aiutate? thx, imiko.

24-04-2004, 19:45	#2
gohan Senior Member Iscritto dal: Jan 2001 Città: Reggio Emilia Messaggi: 19467	ma questa cosa la devi fare per casa tua o per un'azienda? __________________ NO AL RITORNO DEL NUCLEARE Cerco dissipatore HR-05 IFX -Storie dalla sala macchine

24-04-2004, 20:56	#7
gohan Senior Member Iscritto dal: Jan 2001 Città: Reggio Emilia Messaggi: 19467	un honeypot è un pc "esca" (e quindi "sacrificabile" ) che serve per attirare un possibile malintenzionato che è riuscito ad entrare nella rete e subirne gli attacchi al posto di un server vero e proprio. __________________ NO AL RITORNO DEL NUCLEARE Cerco dissipatore HR-05 IFX -Storie dalla sala macchine

24-04-2004, 20:24	#5
imikohiei Member Iscritto dal: Jan 2004 Città: Katanae Messaggi: 98	avevo raggiunto con go-ooogle quelle conclusioni.... volevo un parere qui.... tutto qui. imiko.

24-04-2004, 20:44	#6
ilpik Senior Member Iscritto dal: Jan 2003 Città: ... dintorni di COMO Messaggi: 1689	Scusa l'ignoranza, ma cos'é un "honeypot"? Per la tua questione cocncordo che un routerino con Firewall interno e possibilità di impostare una DMZ sia molto + semplice e + che sufficiente per una utenza SOHO. Se poi vuoi costruire una cosa + complessa per il piacere accademico di imparare smanettando ti capisco, purtroppo non so aiutarti ma ti auguro buone nottate ... In ogni caso, cercando nei link in rilievo, trovi molte pagine esplicative che possono essere utili ... Ciao

24-04-2004, 21:14	#8
ilpik Senior Member Iscritto dal: Jan 2003 Città: ... dintorni di COMO Messaggi: 1689	Ciumbia, roba da Pentagono o da Banca d'Italia A casa, mi sembra 1 pò eccessivo ... Grazie per la delucidazione Ciao

25-04-2004, 02:50	#9
imikohiei Member Iscritto dal: Jan 2004 Città: Katanae Messaggi: 98	OK, penso che faro' cosi'.... tuttavia pensavo di loggare la honeypot su di un server remoto... in modo da evitare che l'intruder possa contraffare i log... magari lascio li i classici log che lui potra' contraffare, ma intanto avro' sull'altra makkina i veri log. E' possibile fare una rete via seriale? cioe' per evitare che venga attakkato il log server posso mettere in comunicazione (solo per sendare i log) honeypot e logserver via seriale? imiko.

Strumenti
Mostra una versione stampabile Invia questa pagina per email