 |
 |
Ci chiediamo in
che punto della rete e con quale architettura è giusto utilizzare
la server farm. La risposta dipende anche dalla filosofia di un progettista,
ma alla fine, guardati i pro e i contro, si finisce sempre col cadere
in una situazione di questo genere, in cui verifichiamo la presenza di
un'architettura a due o più livelli, con una DMZ intermedia,
che rappresenta un'area di cuscinetto tra la rete esposta (Internet) e
la rete interna protetta. Nella DMZ le macchine sono
raggiungibili ed è possibile identificare fisicamente le componenti
a rischio, quelle che devono trasformarsi, attraverso procedure di ordening
in Bastion Host, siano essi proxy per i client interni, siano essi
server web per i client esterni che vogliono accedere a servizi offerti dall'azienda.
Quindi, al posto del Bastion Host, metto la server farm. Questo a
livello didattico, a livello di tipologia di LAN bisogna vedere come è
meglio farlo, per evitare singoli point of failure. Ogni singolo
point of failure rappresenta un appetito per l'hacker, perchè
la macchina è unico punto di passaggio, allora bisogna velocemente
trovare una strada alternativa, ma è ugualmente protetta?
Le linee di back-up, che possono essere tirate su all'occorrenza
sono ugualmente protette?
Un hacker intelligente per prima cosa fa quindi cascare i single
point of failure, allora non riesce in maniera silenziosa ad attaccare
la rete. Se può farlo a nostra insaputa lo fa, altrimenti tenta
di fare attacchi di tipo deny of service nei confronti dei
single point of failure.
|
 |
In questa slide vengono proposti alcuni servizi implementabili attraverso sistemi firewall, come: accesso remoto (telnet), world wide web (HTTP), trasferimento file (FTP), posta elettronica (SMTP). Alcuni sono servizi pensati a titolo esemplificativo, non perchè è consigliabile far così.
|
|
 |
Nei servizi diretti si ha un client (solo un client) interno che contatta in maniera diretta un server esterno. Dei servizi diretti fanno parte l' accesso remoto attraverso il TELNET ed il trasferimento file attraverso l' FTP.
|
|
 |
Altri sono invece servizi che passano attraverso i proxy server,
i meccanismi di proxy presenti su i Bastion Host, come il world
wide web con l'HTTP, la posta elettronica con l'SMTP.
Vediamo alcuni esempi.
|
|
 |
Nel caso dell'accesso remoto tramite telnet sono indicate le access list su entrambi i router per attivare il servizio telnet.
|
|
 |
Nel caso dell'HTTP tramite proxy, si ha la distinzione fra interior ed exterior router. Nel caso precedente, infatti, le regole coincidevano su tutti e due i router , nel caso in cui, invece, abbiamo un passaggio da un proxy server, le regole, le implementazioni della nostra politica nell'exterior ed interior router possono essere diverse.
|
|
 |
|
|
 |
Per il servizio di posta elettronica si prende normalmente il solo protocollo SMTP. Perchè soltanto l'SMTP sapendo poi che il servizio di posta elettronica si completa con dei protocolli locali come il POP 3 e come l'IMAP? Perché nel caso di un sistema connesso ad Internet abbiamo la tendenza a fare delle reti, in cui i server di posta elettronica sono posti localmente alla rete. Il problema della consegna della posta al browser, all'agent di posta elettronica, diviene un problema puramente locale, cioè che non passa nè dall'interior gateway, nè dal proxy, nè dall'exterior gateway.
Ultimo aggiornamento: 04 Gennaio 2001
Explore the TELEMAT site!!