killmeno9 wrote: > Eccoci al punto; creare una policy di firewalling per proteggere una lan > da un mucchio di client senza bloccare l'operatività. > Pensando a come poter fare questo lavoro, dico metto una porta dello > switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga di > dati? allora ho pensato ad ntop, ma ce la farà a permettermi di tirare > fuori una policy di firewalling? > > Se vi è capitato qualcosa di simile o avete consigli da dare, sono ben > accetti.
Così brutalmente no, ma qualcosa di molto simile certamente sì. Discutere con i responsabili per sapere quali sono i principali servizi da permettere/bloccare (ne conosceranno almeno qualcuno), poi installare il firewall con un'ultima regola di default permit+log anziché di default deny. Spulciare quello che viene loggato, permettendo/bloccando man mano. Chiaramente devi poter riconoscere i protocolli (es. non impazzisci sulle molte porte contattate di un server ftp, autorizzi/blocchi l'ftp e le porte della connessione dati vanno di conseguenza) e altrettanto chiaramente devi poter aggregare per tipologie di sistemi (autorizzi le connessioni dai pc al server di posta, non un pc per volta). Fino a che ti senti tranquillo nel mettere la regola di default deny. Restando comunque vicino al telefono per quelli che poi comunque protesteranno. Dato che stai introducendo un firewall su una rete rimasta aperta fino ad allora, il default permit iniziale non è un grosso problema. Il problema sono i rootkit che sono già dentro ;) ciao - Claudio -- Claudio Telmon [EMAIL PROTECTED] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
