> > Salve. > Ho diverse applicazioni web realizzate per la intranet aziendale. > > Il server ovviamente e' sistemato nella zona trust della nostra rete > con ip locale visto che le applicazioni devono essere utilizzate solo > dal personale interno. >
Bhe! l'argomento è molto vasto. > > Ora dovrei realizzare qualcosa che sia fruibile sia dalla intranet che > da internet. > Potrei sdoppiare l'applicazione e metterla su due server separati, uno > in trust privato e uno in dmz pubblico e dovrei sdoppiare anche la > base dati. > Oppure sdoppiare solo l'applicazione e aprire un passaggio verso la > base dati interna, oppure lasciare l'applicazione nel server intranet > e permettere l'accesso verso questo server anche da internet, magari > limitandolo alla sola applicazione interessata se la cosa e' > fattibile. > Cosa suggerite di fare? > Per iniziare... io farei in questo modo... Alcune soluzioni: - Fare una attenta analisi sulla sicurezza del codice sviluppato evidenziando vizi e vulnerabilità. - In DMZ installare un Reverse Proxy dedicando un sistema e/o facendo girare (apache con mod proxy) il tutto in ambiente "chroot". Questo confina un "malintenzionato" che riesce a trovare una possibilità di Accesso, solo alla zona da te destinata con comandi e azioni limitate. ( Nota: Non copiare nessun comando di sistema operativo utile nella zona di chroot) - Installare degli agent di sicurezza sulle macchine di DMZ. Azioni per limitare il rischio e governare la sicurezza. - Eseguire costante controllo sulle vulnerabilità - Eseguire costante verifica sull'utilizzo da parte degli utenti. (tutti i giorni scrivendo un report dettagliato) In ultimo non perché meno importanti... Tutti i meccanismi necessari per l'autenticazione degli accessi alle applicazioni e il relativo controllo. Questo meglio se realizzato con un modello di autenticazione forte in https e certificati digitali. Ma dipende dal tipo di informazioni che tratti e che sono presenti nel DB. (fai attenzione alla legge 196/2003 consulta gli allegati tecnici) Buon lavoro a tutti. Saluti Vito ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
