> ----- Forwarded message from Alessandro Fiorenzi > <a.fiorenzi(at)infogroup.it> ----- > Subject: Re: [ml] Disegno sicuro per server FTP. > From: Alessandro Fiorenzi <a.fiorenzi(at)infogroup.it> > Reply-To: a.fiorenzi(at)infogroup.it > To: ml(at)sikurezza.org > > Come farei io: > > On Sun, 2007-09-23 at 18:49 +0200, Gabriele Scolaro wrote: > > > > Domande: > > 1) Dove conviene piazzare il server FTP? > > a) in DMZ ???classica??? (1 DMZ per tutti!) > > b) in una layer separato della DMZ dedicato ai server di produzione > > che pubblicano informazioni su Internet. (ad oggi questa zona non > > esiste ma possiamo iniziare a crearla per esigenze di pubblicazione > > futura) > > c) nella rete interna (un reverse-proxy ?? un metodo cos?? sicuro da > > parmettere le comunicazioni fino alla rete interna??) > > DMZ classica, magari con un iptable sul server che filtra le porte > visibili a internet ma soprattuto alla intranet
Per una sicurezza superiore non sarebbe meglio un reverse-proxy in "outer-DMZ" e il server FTP in "interior-DMZ" o "Zona di Server di Produzione"? Tanto per capirci Pag 37 di questo doc: 2.4 - Practical Design http://www.youtube.com/watch?v=R_mv49Sdeok > > 2) Quale Active Directory usare? > > a) Quella interna aziendale creando le identit?? in una OU dedicata > > per gli utenti esterni (applicabile se il server FTP ?? piazzato > nella > > rete interna e joinato al dominio aziendale). > > b) Una AD con foresta separata che trusta la AD aziendale piazzando > i > > DC di questa nuova foresta in DMZ (applicabile se il server FTP ?? in > > DMZ) > > Mai usare l'AD ufficiale se qualcuno incomincia a fare flooding di > utenti ti crea un dos sulla rete locale Personalmente userei un Adam o > un Read Only Domain Controller windows server 2008 un RODC??? Ma windows server 2008 รจ ancora in beta!!! :-o Oltre al fatto che ci sono alcuni problemi associati ai RODC come la registrazione di alcuni SPN di Kerberos nei site in cui sono presenti solo RODC (http://support.microsoft.com/?id=942304) > Perch?? non usare dei certificati per l'autenticazione? Sbaglio o se usi ADAM ti giochi i certificate digitali e l'integrazione con una PKI-Enterprise? Ciao! Gabriele ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List