Un consiglio per un neofita su come proteggere un intero sistema

Ciao a tutti

Scrivo per avere un consiglio su come proteggere il seguente sistema:

servers:

1 - SERVER WEB E CA (SERVER 2008 E IIS7) che contiene le seguenti
applicazioni:
- Un sito WEB pubblico che deve essere acceduto da tutti(http porta 80) il
sito web pubblica comunica con "SQL SERVER" per la registrazione degli utenti
e la registrazione dei vari forms.
- un sito WEB APPLICATIVO ristretto ad utenti autorizzati con autenticazione
tremite certificati digitali emessi dalla nostra CA. (https, porta 445)
l´applicativo web comunica con il "SQL SERVER" ed lo "STORAGE SERVER" posti
all´interno della rete.
- un servizio web (WCF) che fornisce accesso riservato ad applicazioni
winform (https, autenticazione tramite certificati emessi dalla nostra CA) il
servizio comunica con l´"SQL SERVER" ed il "FILE MANEGEMENT SERVER".
- CA con accesso via web (CertSrv e CERTIFICATION SERVICE) l´accesso al web
é via https con certificati digitali e deve essere permesso solo
all´amministratore dei certificati.

2 - FILE MANAGEMENT SERVER (SERVER 2008) esegue applicazioni sviluppate al
nostro interno per l´elaborazione di file pervenuti dai clienti. Viene
acceduto dalle applicazioni web e accede a "SQL SERVER" ed a "POP3 SERVER".

3- SQL SERVER (SERVER 2008 E SQL SERVER 2008) gestisce il DB del sistema ed
é acceduto da tutti i server presenti nel sistema ad eccezione del "POP3
SERVER".

4 - STORAGE SERVER (SERVER 2008) server su cui vengono storati i file
ricevuti ed elaborati ed anche il file DB dell´sql server e viene acceduto da
tutti i server ad eccezione del "POP3 SERVER".

5- POP3 SERVER (SERVER 2008 E POP3 SERVER APPLICATION) aperto al pubblico
con utenti in ingresso conosciuti per l´invio dei file che devono
successivamente essere elaborati. Viene acceduto dall´interno solamente dal
"FILE MANEGEMENT SERVER" per la scansione dei file da elaborare.

Come avrete notato la struttura ha due server esposti al publico che
comunicano con la rete di server interni per le varie esigenze.
I server esposti al publico hanno due schede di rete una per l´ip pubblico
ed una per comunicare con la rete interna.

Vorrei avere un consiglio su come implementare una configurazione di
protezione adatta a questo tipo di sitema essendo ancora un neofita in questo
segmento, o della documentazione che mi consenta di fare ció, tenendo
presente che le informazioni trattate contengono dati sensibili che devono
essere protetti al massino livello.
(firewall ?, ISA SERVER ?, altro ancora).

Un grazie in anticipo
--
piercarlo

Nel mezzo del cammin di nostra vita mi ritrovai con PIERCARLO che diceva

> (firewall ?, ISA SERVER ?, altro ancora).

Io ci metterei un bel firewall hardware dedicato (Cisco ASA, Checkpoint o
Fortinet ad esempio).



--
"Le opinioni dei fanatici prescindono dai fatti"
python -c "print 'bG9ybWF5bmFAZ21haWwuY29t'.decode('base64')"
Linux Registered User: 461615

PIERCARLO wrote:
> Ciao a tutti
>
> Scrivo per avere un consiglio su come proteggere il seguente sistema:
>
> servers:
>
> 1 - SERVER WEB E CA (SERVER 2008 E IIS7) che contiene le seguenti
> applicazioni:
> - Un sito WEB pubblico che deve essere acceduto da tutti(http porta
> 80) il sito web pubblica comunica con "SQL SERVER" per la
> registrazione degli utenti e la registrazione dei vari forms.
> - un sito WEB APPLICATIVO ristretto ad utenti autorizzati con
> autenticazione tremite certificati digitali emessi dalla nostra CA.
> (https, porta 445)

perchè su porta 445 che è la porta del SMB over TCP
invece che sulla classica porta 443 ?

> l´applicativo web comunica con il "SQL SERVER" ed
> lo "STORAGE SERVER" posti all´interno della rete.
> - un servizio web (WCF) che fornisce accesso riservato ad applicazioni
> winform (https, autenticazione tramite certificati emessi dalla
> nostra CA) il servizio comunica con l´"SQL SERVER" ed il "FILE
> MANEGEMENT SERVER". - CA con accesso via web (CertSrv e CERTIFICATION
> SERVICE) l´accesso al web é via https con certificati digitali e deve
> essere permesso solo all´amministratore dei certificati.
>
> 2 - FILE MANAGEMENT SERVER (SERVER 2008) esegue applicazioni
> sviluppate al nostro interno per l´elaborazione di file pervenuti dai
> clienti. Viene acceduto dalle applicazioni web e accede a "SQL
> SERVER" ed a "POP3 SERVER".
>
> 3- SQL SERVER (SERVER 2008 E SQL SERVER 2008) gestisce il DB del
> sistema ed é acceduto da tutti i server presenti nel sistema ad
> eccezione del "POP3 SERVER".
>
> 4 - STORAGE SERVER (SERVER 2008) server su cui vengono storati i file
> ricevuti ed elaborati ed anche il file DB dell´sql server e viene
> acceduto da tutti i server ad eccezione del "POP3 SERVER".
>
> 5- POP3 SERVER (SERVER 2008 E POP3 SERVER APPLICATION) aperto al
> pubblico con utenti in ingresso conosciuti per l´invio dei file che
> devono successivamente essere elaborati. Viene acceduto dall´interno
> solamente dal "FILE MANEGEMENT SERVER" per la scansione dei file da
> elaborare.
>
> Come avrete notato la struttura ha due server esposti al publico che
> comunicano con la rete di server interni per le varie esigenze.
> I server esposti al publico hanno due schede di rete una per l´ip
> pubblico ed una per comunicare con la rete interna.
>
> Vorrei avere un consiglio su come implementare una configurazione di
> protezione adatta a questo tipo di sitema essendo ancora un neofita
> in questo segmento, o della documentazione che mi consenta di fare
> ció, tenendo presente che le informazioni trattate contengono dati
> sensibili che devono essere protetti al massino livello.
> (firewall ?, ISA SERVER ?, altro ancora).

con un isaserver potresti fare una configurazione 3-Legs
ossia LAN, WAN e DMZ mettendo tutti i server di backend in LAN
e i due server da pubblicare in DMZ.

ciao.


--
Edoardo Benussi - edo***mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi

si ci avevo pensato anch´io ma il mio cricio é come proteggere l´accesso dei
server publici ai server della rete interna visto che in ogni caso devono
avere accesso.

Ciao

--
piercarlo


"Lorenzo Mainardi" wrote:

> Nel mezzo del cammin di nostra vita mi ritrovai con PIERCARLO che diceva
>
> > (firewall ?, ISA SERVER ?, altro ancora).
>
> Io ci metterei un bel firewall hardware dedicato (Cisco ASA, Checkpoint o
> Fortinet ad esempio).
>
>
>
> --
> "Le opinioni dei fanatici prescindono dai fatti"
> python -c "print 'bG9ybWF5bmFAZ21haWwuY29t'.decode('base64')"
> Linux Registered User: 461615
> .
>

--
piercarlo


"Edoardo Benussi [MVP]" wrote:

> PIERCARLO wrote:
> > Ciao a tutti
> >
> > Scrivo per avere un consiglio su come proteggere il seguente sistema:
> >
> > servers:
> >
> > 1 - SERVER WEB E CA (SERVER 2008 E IIS7) che contiene le seguenti
> > applicazioni:
> > - Un sito WEB pubblico che deve essere acceduto da tutti(http porta
> > 80) il sito web pubblica comunica con "SQL SERVER" per la
> > registrazione degli utenti e la registrazione dei vari forms.
> > - un sito WEB APPLICATIVO ristretto ad utenti autorizzati con
> > autenticazione tremite certificati digitali emessi dalla nostra CA.
> > (https, porta 445)
>
> perchè su porta 445 che è la porta del SMB over TCP
> invece che sulla classica porta 443 ?

É un errore di digitazione la posta é 443.
>
> > l´applicativo web comunica con il "SQL SERVER" ed
> > lo "STORAGE SERVER" posti all´interno della rete.
> > - un servizio web (WCF) che fornisce accesso riservato ad applicazioni
> > winform (https, autenticazione tramite certificati emessi dalla
> > nostra CA) il servizio comunica con l´"SQL SERVER" ed il "FILE
> > MANEGEMENT SERVER". - CA con accesso via web (CertSrv e CERTIFICATION
> > SERVICE) l´accesso al web é via https con certificati digitali e deve
> > essere permesso solo all´amministratore dei certificati.
> >
> > 2 - FILE MANAGEMENT SERVER (SERVER 2008) esegue applicazioni
> > sviluppate al nostro interno per l´elaborazione di file pervenuti dai
> > clienti. Viene acceduto dalle applicazioni web e accede a "SQL
> > SERVER" ed a "POP3 SERVER".
> >
> > 3- SQL SERVER (SERVER 2008 E SQL SERVER 2008) gestisce il DB del
> > sistema ed é acceduto da tutti i server presenti nel sistema ad
> > eccezione del "POP3 SERVER".
> >
> > 4 - STORAGE SERVER (SERVER 2008) server su cui vengono storati i file
> > ricevuti ed elaborati ed anche il file DB dell´sql server e viene
> > acceduto da tutti i server ad eccezione del "POP3 SERVER".
> >
> > 5- POP3 SERVER (SERVER 2008 E POP3 SERVER APPLICATION) aperto al
> > pubblico con utenti in ingresso conosciuti per l´invio dei file che
> > devono successivamente essere elaborati. Viene acceduto dall´interno
> > solamente dal "FILE MANEGEMENT SERVER" per la scansione dei file da
> > elaborare.
> >
> > Come avrete notato la struttura ha due server esposti al publico che
> > comunicano con la rete di server interni per le varie esigenze.
> > I server esposti al publico hanno due schede di rete una per l´ip
> > pubblico ed una per comunicare con la rete interna.
> >
> > Vorrei avere un consiglio su come implementare una configurazione di
> > protezione adatta a questo tipo di sitema essendo ancora un neofita
> > in questo segmento, o della documentazione che mi consenta di fare
> > ció, tenendo presente che le informazioni trattate contengono dati
> > sensibili che devono essere protetti al massino livello.
> > (firewall ?, ISA SERVER ?, altro ancora).
>
> con un isaserver potresti fare una configurazione 3-Legs
> ossia LAN, WAN e DMZ mettendo tutti i server di backend in LAN
> e i due server da pubblicare in DMZ.
>
> ciao.

Avevo pensato anch´io ad una configurazione del genere ma mi sono posto un
dubbio che é il seguente:
Come posso proteggere le comunicazioni dei derver in DMZ con i server in LAN
per esempio se dal sito WEB pubblico mi entrano con un "exploit" strano, come
posso bloccare l´hacher solo lÃ*** e come posso accorgermene prima che sia
troppo tardi.
In definitiva volevo sapere oltre alla protezione perimetrale che dá il
firewall come posso proteggere il sistema da un accesso della porta
principale.

Un grazie in anticipo
>
>
> --
> Edoardo Benussi - edo***mvps.org
> Microsoft® MVP - Most Valuable Professional
> Management Infrastructure - Systems Administration
> https://mvp.support.microsoft.com/Profile/Benussi
>
>
> .
>

Nel mezzo del cammin di nostra vita mi ritrovai con PIERCARLO che diceva

> si ci avevo pensato anch´io ma il mio cricio é come proteggere l´accesso
> dei server publici ai server della rete interna visto che in ogni caso
> devono avere accesso.
>
> Ciao

Come ti hanno giÃ*** detto puoi usare un dispositivo con almeno 3 schede di
rete e creare una DMZ nella quale mettere i server esposti all'esterno.
Poi ti crei una serie di policy per bloccare al minimo indispensabile il
traffico DMZ -> LAN, WAN -> DMZ, DMZ -> WAN. Al limite puoi creare anche
un'architettura multi-tier con più DMZ "concentriche" a seconda della
criticitÃ*** delle macchine e dei servizi erogati oppure installare 2
firewall in una configurazione del genere:

WAN
|
FW1------DMZ1
|
FW2------DMZ2
|
LAN

Ovviamente questa è una configurazione costosa e complessa e quindi va
messa in piedi solo se c'è la reale esigenza.
Un'altra raccomandazione sarebbe quella di non mettere le macchine della
DMZ in dominio, ma non sempre è possibile.

A seconda del tuo budget e delle tue esigenze potrei consigliarti un
Cisco ASA 5510 oppure un ASA 5505 (con l'opzione security plus attivata).

--
"Le opinioni dei fanatici prescindono dai fatti"
python -c "print 'bG9ybWF5bmFAZ21haWwuY29t'.decode('base64')"
Linux Registered User: 461615

Nel mezzo del cammin di nostra vita mi ritrovai con PIERCARLO che diceva

> Avevo pensato anch´io ad una configurazione del genere ma mi sono posto
> un dubbio che é il seguente:
> Come posso proteggere le comunicazioni dei derver in DMZ con i server in
> LAN per esempio se dal sito WEB pubblico mi entrano con un "exploit"
> strano, come posso bloccare l´hacher solo lÃ*** e come posso accorgermene
> prima che sia troppo tardi.

Se hai davvero queste esigenze di sicurezza potresti pensare a un IDS: ce
ne sono di open-source gratuiti (Snort) oppure commerciali (Sourcefire,
TippingPoint, Cisco)

> In definitiva volevo sapere oltre alla protezione perimetrale che dá il
> firewall come posso proteggere il sistema da un accesso della porta
> principale.

Ovviamente devi limitare al minimo il traffico fra DMZ e LAN.
Potresti addirittura pensare di creare un tunnel IPSEC fra DMZ e LAN, ma
non so quanto potrebbe proteggerti da uno sniffer.




--
"Le opinioni dei fanatici prescindono dai fatti"
python -c "print 'bG9ybWF5bmFAZ21haWwuY29t'.decode('base64')"
Linux Registered User: 461615

> - Un sito WEB pubblico che deve essere acceduto da tutti(http
> porta 80) il sito web pubblica comunica con "SQL SERVER" per
> la registrazione degli utenti e la registrazione dei vari forms.
[...]

occhio... qui c'è da considerare non solo la protezione dal punto
di vista dell'architettura di rete e della configurazione dei sistemi
ma anche dal punto di vista applicativo, l'ideale sarebbe mettere
in piedi le cose in modo che il sito web si connetta ad SQLserver
usando un account configurato con permessi mirati, ossia diritti
di sola lettura e SOLO sulle tabelle strettamente necessarie e
scrittura solo tramite stored procedure (anche qui con diritti
ristretti alle sole tabelle necessarie), niente diritti di esecuzione
su altre stored o di accesso ad altre tabelle, sanity checks nel
codice per prevenire sql injection, cross site scripting etc...

Vedi, statisticamente (ed ammesso che il resto della config sia
messo in piedi a modo) la maggioranza delle violazioni avviene
a causa di problemi di sicurezza nel codice delle applicazioni
quindi, oltre a preoccuparti di come configurare la rete e filtrare
opportunamente gli accessi, dovresti anche preoccuparti di
verificare che il codice delle applicazioni sia "sano" e non offra
il fianco ad "attacchi" di vario genere che a quel punto potrebbero
permettere di superare le varie "difese" messe in atto

Per il resto, credo che i suggerimenti sin qui forniti siano validi

> si ci avevo pensato anch´io ma il mio cricio é come proteggere
> l´accesso dei server publici ai server della rete interna visto che in
> ogni caso devono avere accesso.

Puoi usare un'architettura a livelli multipli ossia, ad esempio

il server web fornisce le pagine ma ottiene i dati (o passa i dati)
ad un secondo server, posto in LAN che espone tramite SOAP
dei web services; questo secondo server a sua volta dialoga
con il database tramite stored procedures ed utilizzando accounts
opportunamente "blindati"; il webserver NON ospita dati ed in
ogni caso la base dati NON contiene passwords ma soltanto
i "salted hashes" delle stesse, il "SOAP" server si occupa del
check e della sanitizzazione delle richieste dirette al database,
richieste che comunque passano sempre attraverso "stored"
in modo da ridurre ulteriormente i rischi

Lorenzo Mainardi wrote:

> Potresti addirittura pensare di creare un tunnel IPSEC fra DMZ e LAN,
> ma non so quanto potrebbe proteggerti da uno sniffer.

il tunnel ipsec ti protegge dallo sniffer
ma serve a poco se viene exploitato il web server
e l'applicazione web che usa i dati non è
sufficientemente ben fatta.

--
Edoardo Benussi - edo***mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi

ObiWan [MVP] wrote:
>> - Un sito WEB pubblico che deve essere acceduto da tutti(http
>> porta 80) il sito web pubblica comunica con "SQL SERVER" per
>> la registrazione degli utenti e la registrazione dei vari forms.
>> [...]
>
> occhio... qui c'è da considerare non solo la protezione dal punto
> di vista dell'architettura di rete e della configurazione dei sistemi
> ma anche dal punto di vista applicativo, l'ideale sarebbe mettere
> in piedi le cose in modo che il sito web si connetta ad SQLserver
> usando un account configurato con permessi mirati, ossia diritti
> di sola lettura e SOLO sulle tabelle strettamente necessarie e
> scrittura solo tramite stored procedure (anche qui con diritti
> ristretti alle sole tabelle necessarie), niente diritti di esecuzione
> su altre stored o di accesso ad altre tabelle, sanity checks nel
> codice per prevenire sql injection, cross site scripting etc...
>
> Vedi, statisticamente (ed ammesso che il resto della config sia
> messo in piedi a modo) la maggioranza delle violazioni avviene
> a causa di problemi di sicurezza nel codice delle applicazioni
> quindi, oltre a preoccuparti di come configurare la rete e filtrare
> opportunamente gli accessi, dovresti anche preoccuparti di
> verificare che il codice delle applicazioni sia "sano" e non offra
> il fianco ad "attacchi" di vario genere che a quel punto potrebbero
> permettere di superare le varie "difese" messe in atto

quoto integralmente!
+ 1.000


--
Edoardo Benussi - edo***mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi

>> Potresti addirittura pensare di creare un tunnel IPSEC
>> fra DMZ e LAN, ma non so quanto potrebbe proteggerti
>> da uno sniffer.

> il tunnel ipsec ti protegge dallo sniffer
> ma serve a poco se viene exploitato il web server

esatto, tra l'altro per poter sniffare il traffico lo sniffer
dovrebbe essere posto sullo stesso "tronco" di rete
che connette la DMZ alla LAN e... la vedo dura, a
meno che qualcuno non abbia accesso *fisico* alle
apparecchiature di rete

> e l'applicazione web che usa i dati non è
> sufficientemente ben fatta.

esatto, è il solito vecchio discorso, la robustezza di
una catena va misurata in base all'anello più debole
della stessa - inutile mettere in piedi firewalls, DMZ,
IDS/IPS, IPSec, SSL, fossati con coccodrilli, torrette
con mitragliatrici, dobermann e chi più ne ha più ne
metta se poi da qualche parte c'è una porta del tutto
incustodita e senza alcuna serratura

Nel mezzo del cammin di nostra vita mi ritrovai con ObiWan [MVP] che
diceva

>>> Potresti addirittura pensare di creare un tunnel IPSEC fra DMZ e LAN,
>>> ma non so quanto potrebbe proteggerti da uno sniffer.
>
>> il tunnel ipsec ti protegge dallo sniffer ma serve a poco se viene
>> exploitato il web server
>
> esatto, tra l'altro per poter sniffare il traffico lo sniffer dovrebbe
> essere posto sullo stesso "tronco" di rete che connette la DMZ alla LAN
> e... la vedo dura, a meno che qualcuno non abbia accesso *fisico* alle
> apparecchiature di rete
>
>> e l'applicazione web che usa i dati non è sufficientemente ben fatta.
>
> esatto, è il solito vecchio discorso, la robustezza di una catena va
> misurata in base all'anello più debole della stessa - inutile mettere
> in piedi firewalls, DMZ, IDS/IPS, IPSec, SSL, fossati con coccodrilli,
> torrette con mitragliatrici, dobermann e chi più ne ha più ne metta se
> poi da qualche parte c'è una porta del tutto incustodita e senza alcuna
> serratura


Vabbè, io partivo dal presupposto che l'applicazione web fosse fatta bene.
Se riescono a bucare il server web, c'è poco da proteggere :-)


--
"Le opinioni dei fanatici prescindono dai fatti"
python -c "print 'bG9ybWF5bmFAZ21haWwuY29t'.decode('base64')"
Linux Registered User: 461615

> Vabbè, io partivo dal presupposto che l'applicazione
> web fosse fatta bene. Se riescono a bucare il server web,
> c'è poco da proteggere :-)

Beh... per esperienza diretta e stando alle statistiche, come
ho già scritto, nella stragrande maggioranza dei casi i problemi
nascono proprio dalle applicazioni, si mettono in piedi sistemi
di sicurezza fantascientifici e poi ci si butta dentro un'applicazione
il cui codice non è stato controllato a modo... e ci si ritrova di
botto in mezzo ad una strada