Web Server e Sicurezza

[ilguardiano]

Ho un problema (speriamo che il forum sia giusto).

Ho fatto una applicazione web su piattaforma Windows - Apache - Php -Oracle.

Il sito deve interfacciarsi col DB aziendale, quindi ho creato uno snapshot di Oracle che va ad aggiornare la macchina web (in fin dei conti la macchina web è sia Web Application che DB server).
Ora abbiamo installato la macchina sulla DMZ protetta da un firewall.
Il problema ora è questo... siccome gli snapshot sono comandati dallo slave devo aprire una porta da DB Aziendale a Web Server. Inoltre avendo la versione multithreaded server Oracle apre delle porte dinamiche il cui numero non è conosciuto a priori.

Mi e' stata prospettata la soluzione di mettere il Web Server dentro la Lan aziendale e connettere gli utenti Web tramite VPN, ma sinceramente, è una soluzione che non mi piace, poichè va a far cadere il discorso di applicazione "per tutti".

C'è qualcuno che può darmi qualche consiglio?

Come si fa a gestire uno scambio di dati tra utente web e db-aziendale in maniera sicura? (ci sarà qualcuno che l'ha già fatto...)

Un ulteriore punto....
mi hanno consigliato anche di usare SSL e ho letto un po' di informazioni in giro, ma :
1) è possibile averlo per Win2000 e Apache 2.0.52
2) se si' cosa devo fare... devo installarlo e poi?


Grazie a tutti

[Tymba]

ho sentito parlare del sistema bastian host.

in sostanza tieni web server e db nella lan aziendale e protetta, tra la tua lan e questo computer che fa da bastian host metti un firewall, metti il bastian host che si occuperà di reindirizzare le richieste da e verso il server web e dopo il bastian host metti un altro firewall.

a livello hardware costa un poco di più però tieni presente che un pentium 3 500Mhz è in grado di gestire tranquillamente 100-200 utenti contemporanei in quanto non esegue la tua applicazione fa semplicemente da tramite.

per maggiori info vedi:
http://www.valtellinux.it/knights/firewall-3.html

altrimenti gooooooooogle

[daniele_dll]

io ti sconsiglio ampliamente di farlo xche la DMZ, per definizione, è una zona Demilitarizzata, totalmente separata dalla zona "Militare" e tra queste non può avvenire nessun contatto, tanto che dovrebberò stare su 2 reti diverse è il server che fa i vari smistamenti dovrebbe usare 2 sk di rete diverse e cosi via

al max puoi configurare un firewall (sotto linux) utilizzando gli stati impostando che le connessioni da UN PICCI della zona militarizzata possono essere accettate dalla macchina, ma fine li, e se lei prova ad accedere a quel picci non può essere (infatti per questo firewall a stati)

ti sconsiglio di usare win 2000, ti conviene mettere linux o ancora di + openbsd che sono + adatti a svolgere un ruolo di questo tipo

le SSL le puoi implementare con estrema semplicità xche si sta un tool chiamato stunnell che si occupa proprio di prendere le comunicazioni "normali" e farle passsare sotto SSH ^^

[ilguardiano]

Ho guardato un po' in rete il concetto di Bastian Host.
Da profano quale sono, sembra poter funzionare. Ho espresso questa possibile soluzione al sistemista, ma (probabilmente per mancanza di Know-how) non sembra molto convinto.... anzi mi ha detto di rivolgermi ad una societa che si occupa di sicurezza .
Per quanto riguarda SSL, credo che i seguiro' i consigli di Daniele.

Sempre per quanto concerne i consigli di Daniele, non ho capito bene perche' non il bastion host non dovrebbe funzionare.
Le indicazioni trovate in rete, sembrano rassicurarmi sulla possibilità di attacco da parte di hacker.

Cito testuali parole "l'accesso a rete privata in modo diretto da parte di un hacker con questa architettura è veramente difficile, infatti l'hacker dovrebbe cambiare l'instradamento su tre reti senza chiudere la via di comunicazione e stando attento a non provocare nessun allarme; inoltre la difficoltà di questo attacco può essere aumentata disabilitando l'accesso ai screened routed dalla rete esterna, con questa ultima specifica infatti l'hacker dovrebbe penetrare prima sul Bastion Host, poi su un host della rete privata e poi finalmente sullo screening router. ".

Certo è che non bisogna prendere per oro colato tutto ciò che la rete ci dice, ma sembrerebbe una soluzione adeguata.

[daniele_dll]

Originariamente inviato da ilguardiano
Ho guardato un po' in rete il concetto di Bastian Host.
Da profano quale sono, sembra poter funzionare. Ho espresso questa possibile soluzione al sistemista, ma (probabilmente per mancanza di Know-how) non sembra molto convinto.... anzi mi ha detto di rivolgermi ad una societa che si occupa di sicurezza .
Per quanto riguarda SSL, credo che i seguiro' i consigli di Daniele.

Sempre per quanto concerne i consigli di Daniele, non ho capito bene perche' non il bastion host non dovrebbe funzionare.
Le indicazioni trovate in rete, sembrano rassicurarmi sulla possibilità di attacco da parte di hacker.

Cito testuali parole "l'accesso a rete privata in modo diretto da parte di un hacker con questa architettura è veramente difficile, infatti l'hacker dovrebbe cambiare l'instradamento su tre reti senza chiudere la via di comunicazione e stando attento a non provocare nessun allarme; inoltre la difficoltà di questo attacco può essere aumentata disabilitando l'accesso ai screened routed dalla rete esterna, con questa ultima specifica infatti l'hacker dovrebbe penetrare prima sul Bastion Host, poi su un host della rete privata e poi finalmente sullo screening router. ".

Certo è che non bisogna prendere per oro colato tutto ciò che la rete ci dice, ma sembrerebbe una soluzione adeguata.

si ma questo quando l'admin di rete è MOLTO esperto e ha i vari ids installati a dovere e la rete strutturata in maniera molto sicura, cosa che non accade mai
io a casa ho perso una settimana per farmi una rete "sicura" e non ho avuto nemmeno il tempo di metter su il DMZ per il mio server interno, faccio solo dei redirect con il firewall sul mio server per le porte che mi interessano senza usare delle reti diverse e delle sk di rete diverse...e non credo che un rete interna possa essere realizzata in poco tempo tenendo conto di TUTTI i vari possibili buchi che possono sorgere

al max puoi utilizzare il server centrale per fare il travaso dei dasi da un db ad un'altro e come soluzione mi sembra la + affidabile xche è connesso a tutte le reti e comunque per poter accedere al db interno devono bucare la macchina, ma tenendo conto che se lo bucano ci accedano lo stesso la cosa non cambia

il mio consiglio è semplice...un semplice script php che gira sotto cli lanciato da cron che ogni X di tempo va a fare l'update del database sulla macchina web server leggendo i dati dall'interno della rete

[ilguardiano]

Purtroppo non posso mettere in pratica l'ultimo consiglio che mi alleghi (lo script php per l'aggiornamento del Web Server da DbServer Aziendale) poichè avendo gestito l'aggiornamento dei dati da Oracle tramite Snapshot, la chiamata per il refresh avviene dallo Slave (nel nostro caso il web server), per cui devo tenere aperta una porta...

[daniele_dll]

Originariamente inviato da ilguardiano
Purtroppo non posso mettere in pratica l'ultimo consiglio che mi alleghi (lo script php per l'aggiornamento del Web Server da DbServer Aziendale) poichè avendo gestito l'aggiornamento dei dati da Oracle tramite Snapshot, la chiamata per il refresh avviene dallo Slave (nel nostro caso il web server), per cui devo tenere aperta una porta...

:\

mmm e se la cosa la fai passare tramite il server che fa lo smistamento usando stunnell?

ovvero un redirettore del traffico TCP

una cosa di questo tipo

Server Interno (STunnel) -> (STunnel) (redirezione TCP) (STunnel) -> (STunnel) Server Web

Quello centrale è inteso come smistamento da parte del serve centrale

[djnicky]

Scusami ,ma magari adesso sparo una grande cazzata, tu realizzi la tua mitica applicazione sulla LAN, dopodiche attivi una porta sul router che punti alla porta web (es. 81) e prima di accedere al sito c'è un autenticazione di dominio, gestita dal PDC, cosicchè chi accede da internet ....

digita http://tuoserverLAN.doiminio.it:81/

AUTENTICAZIONE DOMINIO (per altro anche abbastanza sicura)

E si visulizza il sito ....altrimenti ERRORE


Spero di non aver capito lucciole per lanterne