Cos'è ElectroYou | Login Iscriviti

ElectroYou - la comunità dei professionisti del mondo elettrico

Realizzare una DMZ

Linguaggi e sistemi

Moderatori: Foto UtenteMassimoB, Foto UtentePaolino, Foto Utentefairyvilje

0
voti

[1] Realizzare una DMZ

Messaggioda Foto UtenteAndrea454545 » 14 feb 2021, 18:33

Buona sera.
Volevo fare alcune domande specifiche per chiarirmi alcuni dubbi; ho un grande interesse sull'argomento e sto cercando di approfondire anche nel pratico.

I due router sono dotati di interfaccia LAN a 4 porte.

Per realizzare una configurazione nella rete, la soluzione DMZ a doppio firewall è sicuramente la migliore.
Vorrei capire quindi come si può isolare una rete LAN interna dalla DMZ.

Supporrei di usare due router con firewall. Il primo connesso direttamente ad Internet, l'altro connesso WAN-LAN al primo.

Nel primo router definirei (relativo alla LAN 192.168.1.X) nella sua interfaccia LAN gli indirizzi:
192.168.1.102
192.168.1.103
per i server della DMZ

Sull'indirizzo 192.168.1.101 metterei il collegamento con la porta WAN del secondo router.

Il secondo router è relativo alla rete 192.168.2.X.
Sulla sua interfaccia LAN definirei la rete LAN interna da proteggere, con gli indirizzi per gli host
192.168.2.101
192.168.2.102


La configurazione così ottenuta è corretta per creare una DMZ a due firewall?
Allegati
rete.PNG
In giallo ho riportato il collegamento del router su porta WAN, in grigio quello delle porte LAN
Avatar utente
Foto UtenteAndrea454545
28 2 9
Stabilizzato
Stabilizzato
 
Messaggi: 348
Iscritto il: 14 apr 2013, 11:42

0
voti

[2] Re: Realizzare una DMZ

Messaggioda Foto UtenteMassimoB » 16 feb 2021, 9:59

La topologia di rete e' corretta, poi pero' il buon esito dipende da come configuri i dispositivi.
Vorrei aggiungere pero' che in termini di risorse la configurazione a due firewall e' molto dispendiosa quindi deve essere giustificata dalle esigenze specifiche.
Per esempio in una rete domestica o piccola impresa non e' detto che sia la scelta migliore per via dei costi considerando anche gli eventuali accorgimenti per la continuita' di servizio (ridondanze, HA, ecc.).
MCSA Windows Server 2012 R2
Cisco CCNA R&S - Cisco CCNA Security - Cisco CCNA Cyber Ops
CompTia A+ - CompTia Linux+ - CompTIA Systems Support Specialist CSSS
CompTia Pentest+ LPIC-1 - VCA VMware
Avatar utente
Foto UtenteMassimoB
14,1k 6 12 13
Expert free
 
Messaggi: 3150
Iscritto il: 28 ott 2012, 9:56
Località: Milano

0
voti

[3] Re: Realizzare una DMZ

Messaggioda Foto UtenteAndrea454545 » 16 feb 2021, 12:19

Grazie. Sono veramente contento che la configurazione è corretta.
Per i firewall pensavo di ricorrere a OpenWRT (sembra un buon compromesso tra costi e prestazioni). Non è proprio il massimo ma via....

Una domanda ora mi viene (qui confesso non sono riuscito a trovare risposte ancora), se un server su DMZ deve accedere a un Database o NAS che si trova nella LAN, come si gestisce al meglio la connessione?

La DMZ è per sua natura non sicura e questo potrebbe compromettere la sicurezza della LAN.
Avatar utente
Foto UtenteAndrea454545
28 2 9
Stabilizzato
Stabilizzato
 
Messaggi: 348
Iscritto il: 14 apr 2013, 11:42

0
voti

[4] Re: Realizzare una DMZ

Messaggioda Foto UtenteMassimoB » 16 feb 2021, 18:13

OpenWrt e' una distribuzione open source Linux per sistemi emdedded, non lo vedo molto user firendly, richiede molta configurazione e molta conoscenza dell'ambiente linux oltre al fatto che devi conoscere in modo avanzato come si gestisce la sicurezza perimetrale e il networking in generale, altrimenti rischi di non ottenere il risultato desiderato.

Cosa diversa se stai creando un laboratorio di studio, ma a questo punto ti consiglio di usare GNS3 e giochi con tutti i dispositivi e le configurazioni che vuoi a costo zero, salvo se vuoi usare dispositivi come per esempio cisco che per scaricare le macchine virtuali devi avere una regolare licenza che pero' non costa molto, circa 200 euro l'anno.

In produzione adotterei un'altra scelta piu' semplice , hardware o virtualizzati, da gestire' anche in modo automatico con Ansible o similari per esempio.
Se poi hai la possibilita' di usare sistemi virtualizzati meglio
La scelta ovviamente deve essere valutata bilanciando esigenze e portafoglio, tra Zyxell e Palo Alto trovi una miriade di scelte nel mezzo.
MCSA Windows Server 2012 R2
Cisco CCNA R&S - Cisco CCNA Security - Cisco CCNA Cyber Ops
CompTia A+ - CompTia Linux+ - CompTIA Systems Support Specialist CSSS
CompTia Pentest+ LPIC-1 - VCA VMware
Avatar utente
Foto UtenteMassimoB
14,1k 6 12 13
Expert free
 
Messaggi: 3150
Iscritto il: 28 ott 2012, 9:56
Località: Milano

0
voti

[5] Re: Realizzare una DMZ

Messaggioda Foto UtenteAndrea454545 » 18 feb 2021, 12:33

Sto guardando intanto la soluzione GNS3 e penso proprio che almeno in una prima fase lo utilizzerò (per vedere anche tutti gli aspetti nel pratico).

Ora però mi rimane una domanda. Quali sono di solito le tecniche o le best pratice per fare in modo che server sulla DMZ accedano a server (tipo DB) che sono sulla rete protetta LAN?

Inevitabilmente i server della DMZ esposti su Internet, hanno bisogno di informazioni che sono contenute in DB.
Mettere il DB direttamente nella DMZ penso non sia una buona scelta (potrei anche sbagliare), sarebbero facilmente compromessi e a rischio. Penserei sia meglio metterli al sicuro dietro il secondo firewall-router.

Così però il secondo firewall dovrebbe accettare in ingresso connessioni dalla DMZ e cio è rischioso....
Se del resto il DB server sulla LAN accede alla DMZ (quindi stavolta la connessione sarebbe in uscita sul secondo firewall), l'informazione non "arriverebbe" al server sulla DMZ che invece richiede lui stesso di connettersi.

Non so se sono riuscito a spiegarmi bene. Ma sembra un rompicapo impossibile. Due esigenze contrapposte e non mediabili :-)
Avatar utente
Foto UtenteAndrea454545
28 2 9
Stabilizzato
Stabilizzato
 
Messaggi: 348
Iscritto il: 14 apr 2013, 11:42


Torna a PC e informatica

Chi c’è in linea

Visitano il forum: Majestic-12 [Bot] e 10 ospiti