> Non è una barzelletta, > un cliente mi chiama e mi dice, "ho una rete interna piatta senza > firewall ma i dati che gestisco su una lan di server sono importanti > quindi voglio metterci davanti un firewall > Ok, no problem quanti client abbiamo? > circa 500 forse 1000"
Non mi sembra una barzelletta, ho visto cose peggiori. Direi che il tuo cliente ancor prima di mettere un FW, dovrebbe fare un corso di progettazione di reti :-) > Eccoci al punto; creare una policy di firewalling per proteggere una lan > da un mucchio di client senza bloccare l'operatività. > Pensando a come poter fare questo lavoro, dico metto una porta dello > switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga di > dati? allora ho pensato ad ntop, ma ce la farà a permettermi di tirare > fuori una policy di firewalling? Io non ho capito bene, vuoi fare creazione di regole on-the-fly o stai parlando di normali policies ? per che se sono policies normali, non le fai su base client, ma su base server, ovvero la prima cosa che devi fare è analizzare i servizi che i server erogano ed fare una prima scrematura con quelli. Poi, fai una bella policy di "identity" per farti dire: + chi deve accedere ai servizi + dove sono i servizi + quando ed in base a questi finisci le tue policies. (inutile che ti dica che avrai dei casini con gli IP sorgenti se usi DHCP come sicuramente sarà, quindi risolverai facendo delle regole any -> destinazione) se invece il tuo problema è creare regole on-the-fly con questo sistema, ti consiglio di andare a farti una bella vacanza in qualche zona tropicale, ne hai bisogno. :-) P.S. le policies non si creano con uno sniffer, ma prima a tavolino! ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
