Ing. Stefano Centineo - AMAP S.p.A. wrote:
Ciao
Non è una barzelletta,
un cliente mi chiama e mi dice, "ho una rete interna piatta senza
firewall ma i dati che gestisco su una lan di server sono importanti
quindi voglio metterci davanti un firewall
Ok, no problem quanti client abbiamo?
circa 500 forse 1000"
pero' due risate potevamo farcele lo stesso .. no ?
Eccoci al punto; creare una policy di firewalling per proteggere una
lan da un mucchio di client senza bloccare l'operatività.
mmm...
se si blocca minimamente, mi sa che si fermano anche i suoi pagamenti a
me ;-)))
Pensando a come poter fare questo lavoro, dico metto una porta dello
switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga
di dati? allora ho pensato ad ntop, ma ce la farà a permettermi di
tirare fuori una policy di firewalling?
Perche' scomodare sempre il difficile ?
un'analisi preliminare no ? prima di attaccarci una qualsiasi
soluzione SW
o HW ecc.
Eccoci al nodo della questione, il cliente dentro la rete server ha
messo un po' di tutto dal software proprietari a servizi vari su porte
non standard magari usati anche raramente..... e documentazione zero
A naso e considerando che non ti interessano tutti i dati ma, dall'uso di
Ntop, ti servono solo dati aggregati mi vengono in mente le RegEx
Ottimo, non ci stavo pensando, la strada allora è giusta
attraverso le quali puoi filtrare l'output dello sniffer
free/commerciale e
i giga di dati si riducono a .... centinaia di mega ?
Strumenti come MNTRG e RRDtools (integrati anche in NTop) se li
configuri come vuoi potrebbero esserti ancora piu' congieniali e
personalizzabili alla bisogna
Grazie!
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
