ElectroYou - la comunità dei professionisti del mondo elettrico

[angus]

all'altra dovrebbe solo connettersi come client per prendere quanto serve (ed elaborare la risposta)

è solo un povero server web, vuoi fargli fare anche il caffè?

[Andrea454545]

Più o meno.....
Scherzi a parte no nella seconda rete ci sono solo due db verso cui fare query.

[angus]

e le query le fa Apache?

[Andrea454545]

No tramite librerie di un componente Orm in un web server.

[angus]

Come si chiama questo "componente orm" nel web server?

[MassimoB]

Io per quanto riguarda la rete farei qualcosa di simile:

[Andrea454545]

Molto interessante, grazie!
Quindi la DMZ la si ottiene solo mediante Firewall?

Mi puoi indicare qualche link o riferimenti di approfondimento su DMZ, Firewall e VLAN? Giusto per capire bene come si potrebbero impostare/configurare

[MassimoB]

Cisco per esempio offre una ottima documentazione, prova per esempio a questi links:


https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113425-asdm-pub-server-00.html

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115904-asa-config-dmz-00.html

[angus]

La soluzione in [26] va benissimo se servi contenuti statici, ma se necessiti di un database server come backend diventa meno sicura. Il web server è quello più esposto e la domanda che ti devi porre è: "cosa succede se viene compromesso?" Non solo l'attaccante ha pieno accesso al database, ma oltretutto può fare facilmente breccia nella rete interna in barba al firewall.

in questo scenario,tra le varie possibilità, hai:

1) tenere in DMZ, insieme al webserver, una copia read-only del database (ad uso e consumo dell'applicazione web). I dati sono altrettanto in pericolo, ma almeno nessuno dall'esterno mette mano facilmente al db interno.

2) un'architettura (base) di questo tipo con 2 firewall a limitare la DMZ:

(INTERNET)
|
Firewall
|
(DMZ) reverse proxy
|
Firewall
|
intranet/web server/db server

Questa soluzione ha molti vantaggi, tra cui la possibilità di applicare dei filtri layer 7, che mitigano molti dei moderni attacchi.
Importanti aziende usano questa architettura e la consigliano per i loro prodotti. Giusto per fare due nomi noti: Oracle e SAP.

Naturalmente per mettere in piedi il tutto in modo serio ed efficiente serve un'infrastruttura di un certo livello, ma per fare degli esperimenti e rendersi conto di come funzionano le cose va benissimo anche molto meno.
per cominciare potresti guardare come funziona un reverse proxy fatto con nginx, magari usando docker.

ciao

[MassimoB]

Vero angus ma a protezione della rete non DMZ sta a te gestire le ACL per delimitare gli eventuali attacchi, poi nel tuo scenario, che giustamente esponi ed hai ragione, si prevede una struttura molto più complessa e di sicuro non per utilizzo SOHO, Ipotizzare FIREWALL in cluster o eventualmente un IPS e un Transparent FIREWALL richiede impegni economici di un certo livello , come anche un proxy server o come da te esposto un reverse proxy richiede ancora un impegno tecnologico/economico di un certo livello, vuol dire per seguire la logica di sicurezza, occorono server virtualizzati (per esempio vsphere) con un SOC (security operation center) che analizzi i log, gli acccessi (radius o tacacs+) e automatizzi i backup dei dati e delle immagini macchine, poi si presuppone di essere in una foresta di dominio che segua determinate GPO.

I Database di back-end in ambito Aziendale onestamente non sono mai visti molto bene, ma questo per la mia esperienza, poi correggimi se sbaglio.