Connessione remota a server: regole firewall

[aasmdaa]

Ciao,

spiego prima la situazione:

server remoto linux in housing (aruba) con pannello Plesk con sito gestionale (PHP) e db Mysql; Firewall Zywall 2 Plus.
Diverse sedi devono connettersi via HTTPS e diversi dispositivi direttamente al MySQL.

Per la gestione (MySQL Workbench) ho creato le connesioni over SSH oltre a creare degli utenti con privilegi minimi.
Per la connessione dei dispositivi (dei timbratori) ho creato un utente con solo potere di SELECT/INSERT.

Volevo anche creare delle regole sul firewall per limitare i pc che si connettono, in particolare:

1) creare regole basate sui MAC ADDRESS
2) creare regole sugli IP
3) creare anche per il dispositivo una connessione protetta (credo che i dati di autenticazioni passino in chiaro altrimenti)

Problemi:

1) sul Firewall non ho trovato il modo di creare delle regole sul MAC ADDRESS
2) in questo caso il modo c'è ma ho il problema che alcuni PC che devono accedere (quelli di casa) ovviamente hanno un IP dinamico pertanto non posso utilizzare questo tipo di regola
3) non saprei come creare una connessione di questo tipo. Il firewall ha la possibilità di creare una VPN ma credo ci vogliano dispositivi compatibili)

Vorrei da voi innanzittutto sapere se queste regole potrebbe dare una certa sicurezza, se ce ne sono altre da intraprendere e se sia possibile risolvere i 3 punti.

grazie
ciao

[Habanero]

Regole basate sui MAC address possono essere applicate solo in ambito LAN. Il MAC sorgente smette di "vivere" dopo aver attraversato il primo router.
D'altra parte il filtro sugli ip è estremamente difficile se gli ip sono dinamici.

Non mi è chiaro cosa siano questi dispositivi timbratori..... Un'idea potrebbe essere una connessione SSL basata su certificati lato client. Il dispositivo si autentica tramite certificato (oltre che eventualmente tramite password).

[aasmdaa]

Ok MAC scartato.

I dispositivi sono dei lettori di badge che devono fare esclusivamente 2 cose:

1) quando uno striscia il badge legge dal database se è autorizzato all'ingresso ed in tal caso apre
2) scrive sul database dataora ingresso e badge

per questi lettori (che sono di tipo industriale, con fw incorporato) ho creato appunto un utente con i soli poteri di SELECT e INSERT.

La mia paura è che, viaggiando i dati di autenticazione su internet e non in locale, questi dati possano essere intercettati.

Da qui l'idea di filtrare a mezzo firewall hardware le chiamate al db.

Non mi dispiaceva l'idea del filtro sugli IP almeno, ma il problema è proprio la mia connessione (da casa) che ha IP dinamico. Con il router Zyxel ho configurato il dynamic DNS con l'account di DYNDNS.ORG pertanto sono raggiungibile da internet ad un indirizzo specifico. Il problema è come presentarsi con quel nome alla chiamata al firewall.

[deleted_29]

1) quel firewall non supporta i filtri MAC, fine quindi dei tentativi

2) fai bene a preoccuparti dell'autenticazione mysql. Hai due / tre strade
- attivi una VPN "hardware" (per modo di dire)
- attivi una VPN "software"
- attivi ssh su mysql

Se non ho capito male hai uno zywall 2 plus IN ARUBA?
Se sì => hai due VPN "hardware" da poter utilizzare.

Ti segnalo che esistono anche i client software per lo zyxel

[aasmdaa]

2) Sì Zywall 2 Plus su server dedicato Aruba:

- VPN hardware/software non credo sia la soluzione adatta in quanto ho 4 sedi (che aumenteranno) che lavorano in contemporanea ed inoltre dovrei dotare le sedi di router che possano farlo (al momento ci sono tutti Telecom).

Credo che la soluzione migliore sia attivare SSH su MySQL ma al momento non ho idea di come si possa fare il collegamento dal client (sul server è attivo in quanto con il workbench di MySQL mi collego già in tale modalità).

I client Zyxel non li conosco, ora mi faccio un giro sul sito (se hai qualche dritta ovviamente...).

[deleted_29]

Originariamente inviato da aasmdaa
2) Sì Zywall 2 Plus su server dedicato Aruba:

- VPN hardware/software non credo sia la soluzione adatta in quanto ho 4 sedi (che aumenteranno) che lavorano in contemporanea ed inoltre dovrei dotare le sedi di router che possano farlo (al momento ci sono tutti Telecom).

Ti servirebbe uno zywall 5 su aruba (che ha 10 canali).
Lato "filiali" normalissimi 661H o simili

Credo che la soluzione migliore sia attivare SSH su MySQL ma al momento non ho idea di come si possa fare il collegamento dal client (sul server è attivo in quanto con il workbench di MySQL mi collego già in tale modalità).

??? è abbastanza banale, essenzialmente devi fare un port-forwarding tra una porta "in chiaro" verso una porta "remota"
Sostanzialmente un ssh -L 33306:qualcosa:3306 (...)
poi lato client invece di connetterti alla porta 3306 "remota" andrai su localhost porta 33306 (o quella che vuoi)

Per macchine client linux non c'è problema, per quelle windows tocca usare un client ssh

EDIT: attenzione, ssh, non ssl, mi sa che usi quest'ultima modalità (non ti so dire, non uso praticamente mai strumenti grafici tipo workbench o phpmyadmin etc)

I client Zyxel non li conosco, ora mi faccio un giro sul sito (se hai qualche dritta ovviamente...).

sono softwarelli che ti consentono il colloquio UDP tra computer e VPN firewall

[aasmdaa]

Ti servirebbe uno zywall 5 su aruba (che ha 10 canali). Lato "filiali" normalissimi 661H o simili

Grazie per il consiglio lo terrò presente, ma lo valuterò in futuro. Al momento partiamo con SSH (confermo SSH e non SSL).

è abbastanza banale, essenzialmente devi fare un port-forwarding tra una porta "in chiaro" verso una porta "remota" Sostanzialmente un ssh -L 33306:qualcosa:3306 (...) poi lato client invece di connetterti alla porta 3306 "remota" andrai su localhost porta 33306 (o quella che vuoi)

Le macchine sonon tutte windows (XP, Vista e 7) per cui dovrei prima aprire il client SSH? (tipo putty).
E sul router devo effettuare delle modifiche?

Se hai qualche sito/risorsa che spiega un po' come fare non sarebbe male. Adesso provo a dare un'occhiata.

[Habanero]

concordo per il tunnel ssh per accedere a mysql.

[aasmdaa]

Datemi ancora qualche consiglio; oltre ad SSH:

Consideriamo il fatto che il server dispone di 2 IP fissi per essere raggiunto (li chiamo IP1 e IP2) e li utilizzo:

IP1: è quello principale ed è con cui mi collego al Plesk ed amministro tramite PHPMyAdmin (quindi in locale sul server), e per collegare il Workbench da remoto tramite SSH
IP2: è il secondario ed è quello su cui punto con i lettori di badge (considerate che dove ci sono i lettori abbiamo IP fissi)

Avrebbe senso/aumenterebbe la sicurezza:

1) bloccare le richieste sulla 3306 su IP1 (dato che lo uso solo io per amministrare posso utilizzare PHPMyAdmin sul server); limitare quindi anche l'admin al solo localhost
2) lasciare in ascolto IP1 sulla 3306 tanto mi collego esclusivamente con il Workbench tramite SSH (o già il fatto di lasciarla in ascolto è un problema di sicurezza)
3) modificare la porta di ascolto (esempio 50100) su IP1 e/o IP2 aiuta la sicurezza o la beccano subito?
4) far passare solo le richieste degli IP delle sedi (che sono fissi) su IP2 dato che su questo IP punteranno esclusivamente i lettori di badge
5) dare potere all'utente per collegarsi da remoto solo di lettura e scrittura (SELECT e INSERT) sulla sola tabella e non su tutto il database (così al massimo se beccano i dati di autenticazione al massimo possono leggere o inserire nella singola tabella)

grazie
ciao

[deleted_29]

Originariamente inviato da aasmdaa
Datemi ancora qualche consiglio; oltre ad SSH:

Consideriamo il fatto che il server dispone di 2 IP fissi per essere raggiunto (li chiamo IP1 e IP2) e li utilizzo:

IP1: è quello principale ed è con cui mi collego al Plesk ed amministro tramite PHPMyAdmin (quindi in locale sul server), e per collegare il Workbench da remoto tramite SSH

Ahem... plesk=merda

1) bloccare le richieste sulla 3306 su IP1 (dato che lo uso solo io per amministrare posso utilizzare PHPMyAdmin sul server); limitare quindi anche l'admin al solo localhost
2) lasciare in ascolto IP1 sulla 3306 tanto mi collego esclusivamente con il Workbench tramite SSH (o già il fatto di lasciarla in ascolto è un problema di sicurezza)

L'ultima che hai scritto

3) modificare la porta di ascolto (esempio 50100) su IP1 e/o IP2 aiuta la sicurezza o la beccano subito?

Male non fa. Ancora meglio, se sei un pochino paranoico, puoi cambiarla giornalmente, in funzione del giorno

4) far passare solo le richieste degli IP delle sedi (che sono fissi) su IP2 dato che su questo IP punteranno esclusivamente i lettori di badge

Mi sembra il minimo

5) dare potere all'utente per collegarsi da remoto solo di lettura e scrittura (SELECT e INSERT) sulla sola tabella e non su tutto il database (così al massimo se beccano i dati di autenticazione al massimo possono leggere o inserire nella singola tabella)

Per come la vedo io NESSUN utente deve avere il diritto di fare alcunchè, se non è autenticato e il traffico criptato

PS ovviamente attenzione alla merda-plesk, cambia immediatamente il percorso di default, ed ancor più attenzione se hai analizzatori tipo awstats.

In generale meno impostazioni di default lasci, meglio è.
---
Non ho capito benissimo un dettaglio: hai un server ssh che funziona sulla macchina, per quale motivo non vuoi (oltre a tutto quanto sopra) sfruttarlo?