Ciao, da quanto ho capito il server attuale che si trova nella intranet offre diversi servizi/applicazioni con i relativi database, dunque non aprirei l'accesso a internet a questo server. Diverso è se il server offrisse solo questo servizio, poiché si potrebbe valutare l'accesso a internet settando in modo opportuno un buon firewall, ma in ogni caso si tratterebbe sempre di un server all'INTERNO della intranet (se bucato l'attaccante è già nella rete interna!). Il consiglio mio è di seguire questi step:
1- sdoppiare l'applicazione e metterla su un altro server in dmz 2- configurare il/i firewall per permettere da internet l'accesso solo a questo servizio del server in dmz 3- lasciare il database sul server nella intranet ma permettere al server in dmz di accedervi 4- chiudere sul firewall tutto il resto. Ovviamente questi sono consigli a grandi linee perché molto dipende anche dalla topologia attuale della rete, dal tipo di infrastruttura (tutta fisica, tutta virtuale, fisica+virtuale), ... Ecco una lettura interessante sul funzionamento della dmz e il giusto posizionamento dei servizi: http://www.andreabeggi.net/2007/05/21/la-dmz-cose-e-perche-si-usa/ Saluti -- Dott. Matteo Cappelli Virtualization Specialist email: [email protected] web: http://matteocappelli.wordpress.com ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
