Ciao Andrea! > insomma, speravo in qualche indicazione utile, o magari qualche paper, su > come mettere in sicurezza questo ambiente. > IMHO non userei un bilanciatore per mettere in sicurezza un ambiente. Esistono bilanciatori in grado di mitigare alcuni DoS: io conosco Alteon e Radware, ma ce ne sono altri.... alla fine, se il bilanciatore non fa routing verso la VLAN bilanciata, fa un NAT verso una determinata porta di una batteria di server. IMHO mi concentrerei a mettere in sicurezza l'application server, sia dal punto di vista OS (hardening) che soprattutto il container: troppo spesso ho visto degli Oracle app server con password di default o roba del genere. Scusa l'arte ASCII:
--[VLAN Client]--> BILANCIATORE --[VLAN Bilanciamento]--> APP Servers --[VLAN di gestione/Interconnessione DB]--- >DB Se non esiste routing per la VLAN di bilanciamento, IMHO un eventuale firewall avrebbe senso solo tra gli application servers e i DB. Quello su cui voglio puntualizzare e' l'app server: anche se hai un firewall a monte poi magari buchi sulla 80/443. Piccola puntualizzazione su chi parlava di CSS: non me ne voglia il Misi, ma a me i CSS non piacciono. Pero' i 3750 di Cisco hanno una funzionalita' che permette di applicare una ACL a tutto un traffico di VLAN. Se hai uno di questi simpatici apparati, potresti usarlo per la VLAN di interconnessione. L'ho gia' usato da un cliente proprio in questa configurazione. Ciao, un Gippa che ... nun me svegliate :-D ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
