Ip Pubblici e LAN in sicurezza

[Anuelicon]

Ciao a tutti, vorrei discutere con voi questo argomento, capire se sto andando nella direzione giusta e se i sistemisti più esperti concordano con le mie scelte o magari mi danno preziosi consigli che sono sempre graditi.

Router CISCO 2 interfacce FastEthernet e 1 interfaccia Serial dove arriva l'HDSL.
Ho 8 IP pubblici, 6 a disposizione.
Una sola interfaccia FE utilizzata configurata per l'unica rete interna.
rete interna: 192.168.1.0/24

Ho messo su una macchina Debian con l'intenzione di sfruttarla come server web aziendale.
Considerando che il PC ha 2 schede di rete...Come sfrutto l'architettura per ottenere la configurazione "ottimale" ??
Vorrei poter configurare il server solo dalla lan via ssh, e qui credo di poterci arrivare con un bel settaggio di iptables sul server giusto ?!?!
Però vorrei che il server fosse il più possibile isolato dalla lan, per ovvie ragioni di sicurezza, visto che è solo un esperimento non vorrei compromettere dati aziendali per un mio capriccio.

Stavo pensando:

Sul Server
Scheda di rete 1: IP_INT 192.168.1.x
Scehda di rete 2: IP_EXT (1 dei 6 disponibili)

Sul Router
Sul router dovrò settare qualcosa ??
Non dovrebbe esserci un NAT giusto, le richieste arrivano direttamente sulla scheda di rete del server...quindi in teoria sul CISCO non devo metterci le mani !!

Un vostro parere ??

Oppure

Sul Server
Scheda di rete 1: IP_INT 192.168.1.x (ma non si può farne a meno?? mi preoccupa un po che ci sia una scheda con un indirizzo della lan interna dove si condivide il mondo intero!!)

Scehda di rete 2: IP_INT2 10.10.10.10

Sul Router
FastEthernet0/1 impostata su 10.10.10.1
Config del nat:
ip nat inside static 10.10.10.10 IP_EXT

Parere su questa configiurazione ??

Sto un po flippando...mi preoccupa comunque il fatto che ci sia sul server una scheda di rete con l'indirizzo interno dove si condivide il mondo intero !!

Non si può evitare ?? cioè si so che si può evitare, basta non metterla, ma vorrei amministrarla da un qualunque computer interno dell'azienda!

Grazie per ogni consiglio o chiarimento...

[fbracal]

Per come la vedo io:
1) Farei una bella DMZ sulla seconda interfaccia FastEthernet del Cisco a cui collegherei il server Debian:
Indirizzo IP server: 192.168.2.1 / 24
Indirizzo IP FastEthernet 0/1: 192.168.2.254/24
Configurazione NAT: ip nat inside static 192.168.2.1 IP_EXT (uno dei 6) sulla FA0/1
ip nat pool esterno IP_EXT1-IP_EXT2 (gli altri cinque)
ip nat inside source list 10 pool esterno overload sulla FA0/0
access list 10 permit 192.168.1.0 0.0.0.255
2) Non è necessario che il server abbia una seconda scheda di rete da collegare alla rete interna.
Aggiungerei alle macchine della LAN che devono parlare col server una route statica verso la rete 192.168.2.0/24 e un po' di ACL sul Cisco in modo che sia consentito solo il traffico SSH verso il server, oppure le stesse regole con iptables se ti senti più esperto.
3) Sempre sul Cisco o tramite iptables, altre ACL che dall'esterno consentano solo il traffico web (e anche HTTPS se ti interessa) verso il server.

La prima soluzione non mi piace, perché il server è comunque esposto in Internet e se compromesso è facile arrivare alla rete interna. Non ho capito se in questa soluzione collegheresti la seconda scheda di rete del server alla seconda FastEthernet del Cisco. Se così, risparmi sì sul NAT, ma sprechi uno dei 6 indirizzi IP pubblici per la FA0/1 del Cisco.

[Anuelicon]

Grazie, la tua risposta mi ha dato spunta a nuove ricerche su internet e adesso ho più chiara la situazione.
In pratica di 2 schede di rete sul server non me ne faccio niente...chissà perchè ero convinto che potessero essermi utili ?!?

Comunque procedo come mi hai suggerito:

In pratica sta tutto nel settare il CISCO !! beneeee speriamo di non fare troppi danni !!

Ho intenzione di assegnare 192.168.2.100 al server debian collegato allo switch come tutte le altre postazioni...
Sempre dallo switch arrivo alla porta FastEthernet0/1 del CISCO che per ora non è nemmeno collegata.
Assegno a quella porta 192.168.2.1.
Il nat inside 192.168.2.100 IP_EXT non è un problema...

ip nat pool esterno IP_EXT1-IP_EXT2 (gli altri cinque)
ip nat inside source list 10 pool esterno overload sulla FA0/0
access list 10 permit 192.168.1.0 0.0.0.255
----------
Aggiungerei alle macchine della LAN che devono parlare col server una route statica verso la rete 192.168.2.0/24

Queste parti magari è meglio se me la studio un attimino...

Grazie mille

[fbracal]

Originariamente inviato da Anuelicon
...[SNIP]
ip nat pool esterno IP_EXT1-IP_EXT2 (gli altri cinque)
ip nat inside source list 10 pool esterno overload sulla FA0/0
access list 10 permit 192.168.1.0 0.0.0.255
Queste parti magari è meglio se me la studio un attimino...

Grazie mille

Studiare fa sempre bene
comunque l'idea di fondo è quella di creare un insieme (pool) di indirizzi IP pubblici (quelli non usati dal server) con i quali far uscire le macchine della rete interna in Internet. Il nome del pool è esterno, ma puoi chiamarlo come vuoi. La parola chiave overload significa che in realtà facciamo PAT (Port Address Translation) invece di NAT perché non abbiamo sufficienti indirizzi IP pubblici.
Source list 10 serve a specificare quale tipo di traffico è interessato al NAT /PAT, che corrisponde appunto a tutto il traffico generato dalla rete interna come specificato nel corpo dell'ACL.
Se hai bisogno sono qua

[Anuelicon]

Ciao, finalmente ci sono riuscito...anche se purtroppo mi sono fatto aiutare in parte dalla SDM

perchè scrivendo tutte le ACL a mano, dopo aver creato la DMZ, non funzionava tutto come volevo...
La configurazione è ancora "Beta" ma rimedio col tempo...

Ora ho una domanda su una configurazione che dovrò fare per forza a mano via CLI, non voglio sbagliare perchè è abbastanza delicata quindi mi servirebbero suggerimenti molto dettagliati


Nella DMZ ho un pc che con un programma server che ha bisogno di accedere a MS SQL Server.
Il problema è che SQL Server è sulla macchina 192.168.1.1 quindi nella LAN. Come ovvio deve essere, la comunicazione tra la DMZ e la LAN è DENY !!!

Per come la vedo io ho 2 possibilità:

1. Sposto il server MS SQL Server nella DMZ ma creo sicuramente altri problemi, primo perchè tale pc non fa servizio all'esterno e poi è anche il server di dominio...quindi suppongo che non faccio altro che spostare il problema.

2. Creo un ACL ben curata in cui permetto al server in DMZ di comunicare solo e soltanto con SQL Server del PC in LAN (192.168.1.1)

Io opterei per il punto 2...voi che dite ??
Nel caso foste daccordo...Per favore, visto che non vorrei rendere inutile la dmz e l'isolamento, potreste postarmi le regole da lanciare sul CISCO in modo da avere un accesso corretto e soprattutto ristretto al solo servizio che mi serve ??
Il server in DMZ è il 10.1.2.100
Il server MS SQL SERVER è 192.168.1.1

Grazie mille

[fbracal]

Non sono esperto di MS SQL Server, quindi vediamo se qualcuno più esperto di me partecipa alla discussione.
Io - da quello che ho letto (Il client inizia una connessione su una porta alta - maggiore di 1024- verso il server SQL che risponde tramite le porte TCP 1433 e UDP 1434)- proverei così, nell'ipotesi che la DMZ sia collegata all'interfaccia Fast Ethernet 0/1 del Cisco, mentre la LAN interna sulla Fast Ethernet 0/0:

Codice PHP:

interface Fa0/0
ip access-group 101 in
!
access-list 101 permit tcp host 192.168.1.1 host 10.1.2.100 eq 1433
access-list 101 permit udp host 192.168.1.2 host 10.1.2.100 eq 1434
!
interface Fa0/1
ip access-group 102 in
!
access-list 102 permit tcp host 10.1.2.100 host 192.168.1.1 gt 1023
access-list 102 permit udp host 10.1.2.100 host 192.168.1.1 gt 1023