ciao a tutti.
sto valutando, in ottica di hardening su alcune macchine MS 2000 e 2003 server, di utilizzare i filtri di "ip security policy" per filtrare il traffico su questi server in base a IP, protocolli e porte.
ma ho alcuni dubbi, e quindi mi chiedevo se qualcuno con esperienza su questo argomento potesse aiutarmi a chiarirli.
premetto che l'ideale sarebbe porre questo server su una DMZ dedicata dietro ad un FW, ma non posso farlo. tutto deve stare sulla stessa rete.
ipotizziamo di avere un server applicativo A, che offre un servizio web a N utenti che si connettono a questo servizio in modo centralizzato, utilizzano un browser installato su una macchina dedicata B (citrix presentation serever per intenderci).
quindi gli utenti dalla loro workstation si connettono in modo sicuro (tramite protocollo ICA) al server con il browser B, e da qui accedono ai servizi web sopra citati sul server A.
a sua volta il server A comunica con un DBserver C, e ad altri server applicativi.
il server A è in dominio, è sottoposto tramite agent a backup, monitoraggio, antivirus e WSUS.
ho quindi intenzione di isolare le macchine interessate su una sorta di DMZ virtuale (ma sulla stessa rete) tramite appunto IP SECURITY RULES.
i miei dubbi sono questi:
- non vedo la possibilità di ordinare logicamente le rules (ad es. deny form * to myip ultima al fondo e tutte le altre sopra quella): quindi le rules in che ordine sono processate? è indifferente ai fini funzionali l'ordine delle regole?
- impostando il flag "mirrored" sulla regola, che cosa succede? nel mio caso le regole devono essere "mirrored"?
- una regola ad esempio "from LOCALHOST to * permit" con il flag mirrored ha senso oppure ablita a sua volta "from * to LOCALHOST permit"?
allego immagine delle rules
grazie a chi saprà aiutarmi
Rispondi quotando