Pagina 3 di 4

Re: Server apache

MessaggioInviato: 23 mar 2019, 22:54
da angus
Andrea454545 ha scritto:all'altra dovrebbe solo connettersi come client per prendere quanto serve (ed elaborare la risposta)

è solo un povero server web, vuoi fargli fare anche il caffè?

Re: Server apache

MessaggioInviato: 23 mar 2019, 23:15
da Andrea454545
Più o meno.....
Scherzi a parte no nella seconda rete ci sono solo due db verso cui fare query.

Re: Server apache

MessaggioInviato: 23 mar 2019, 23:16
da angus
e le query le fa Apache?

Re: Server apache

MessaggioInviato: 23 mar 2019, 23:32
da Andrea454545
No tramite librerie di un componente Orm in un web server.

Re: Server apache

MessaggioInviato: 23 mar 2019, 23:37
da angus
Come si chiama questo "componente orm" nel web server?

Re: Server apache

MessaggioInviato: 24 mar 2019, 12:53
da MassimoB
Io per quanto riguarda la rete farei qualcosa di simile:

Topo EY.JPG

Re: Server apache

MessaggioInviato: 24 mar 2019, 17:02
da Andrea454545
Molto interessante, grazie!
Quindi la DMZ la si ottiene solo mediante Firewall?

Mi puoi indicare qualche link o riferimenti di approfondimento su DMZ, Firewall e VLAN? Giusto per capire bene come si potrebbero impostare/configurare

Re: Server apache

MessaggioInviato: 24 mar 2019, 20:05
da MassimoB

Re: Server apache

MessaggioInviato: 26 mar 2019, 23:14
da angus
La soluzione in [26] va benissimo se servi contenuti statici, ma se necessiti di un database server come backend diventa meno sicura. Il web server è quello più esposto e la domanda che ti devi porre è: "cosa succede se viene compromesso?" Non solo l'attaccante ha pieno accesso al database, ma oltretutto può fare facilmente breccia nella rete interna in barba al firewall.

in questo scenario,tra le varie possibilità, hai:

1) tenere in DMZ, insieme al webserver, una copia read-only del database (ad uso e consumo dell'applicazione web). I dati sono altrettanto in pericolo, ma almeno nessuno dall'esterno mette mano facilmente al db interno.

2) un'architettura (base) di questo tipo con 2 firewall a limitare la DMZ:

(INTERNET)
|
Firewall
|
(DMZ) reverse proxy
|
Firewall
|
intranet/web server/db server

Questa soluzione ha molti vantaggi, tra cui la possibilità di applicare dei filtri layer 7, che mitigano molti dei moderni attacchi.
Importanti aziende usano questa architettura e la consigliano per i loro prodotti. Giusto per fare due nomi noti: Oracle e SAP.

Naturalmente per mettere in piedi il tutto in modo serio ed efficiente serve un'infrastruttura di un certo livello, ma per fare degli esperimenti e rendersi conto di come funzionano le cose va benissimo anche molto meno.
per cominciare potresti guardare come funziona un reverse proxy fatto con nginx, magari usando docker.

ciao

Re: Server apache

MessaggioInviato: 27 mar 2019, 0:00
da MassimoB
Vero Foto Utenteangus ma a protezione della rete non DMZ sta a te gestire le ACL per delimitare gli eventuali attacchi, poi nel tuo scenario, che giustamente esponi ed hai ragione, si prevede una struttura molto più complessa e di sicuro non per utilizzo SOHO, Ipotizzare FIREWALL in cluster o eventualmente un IPS e un Transparent FIREWALL richiede impegni economici di un certo livello , come anche un proxy server o come da te esposto un reverse proxy richiede ancora un impegno tecnologico/economico di un certo livello, vuol dire per seguire la logica di sicurezza, occorono server virtualizzati (per esempio vsphere) con un SOC (security operation center) che analizzi i log, gli acccessi (radius o tacacs+) e automatizzi i backup dei dati e delle immagini macchine, poi si presuppone di essere in una foresta di dominio che segua determinate GPO.

I Database di back-end in ambito Aziendale onestamente non sono mai visti molto bene, ma questo per la mia esperienza, poi correggimi se sbaglio.