Discussion:
Disegno sicuro per server FTP.
(too old to reply)
Gabriele Scolaro
2007-09-23 16:49:40 UTC
Permalink
E' sorta la necessità di implementare un server FTP che possa essere
acceduto sia dalla rete internet (clienti/partner) che dalla rete interna
(dipendenti).
Il prodotto selezionato è Titan FTP che verrà configurato in modalità SFTP.
Tutte le connessioni provenienti da Internet sono gestite da un
reverse-proxy in DMZ che le direziona verso il server di pertinenza.
Titan FTP può usare Active Directory come database delle identità.

Domande:
1) Dove conviene piazzare il server FTP?
a) in DMZ “classica” (1 DMZ per tutti!)
b) in una layer separato della DMZ dedicato ai server di produzione che
pubblicano informazioni su Internet. (ad oggi questa zona non esiste ma
possiamo iniziare a crearla per esigenze di pubblicazione futura)
c) nella rete interna (un reverse-proxy è un metodo così sicuro da
parmettere le comunicazioni fino alla rete interna??)

2) Quale Active Directory usare?
a) Quella interna aziendale creando le identità in una OU dedicata per gli
utenti esterni (applicabile se il server FTP è piazzato nella rete interna e
joinato al dominio aziendale).
b) Una AD con foresta separata che trusta la AD aziendale piazzando i DC di
questa nuova foresta in DMZ (applicabile se il server FTP è in DMZ)

A prescindere dalle mie domande che denotano un po' di confusione (!), ma
desiderio di cambiare le cose in mgelio, qual’è secondo voi il disegno
migliore?

Ciao e grazie!
Gabriele


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Mailing List Manager
2007-09-24 09:01:08 UTC
Permalink
----- Forwarded message from Alessandro Fiorenzi <a.fiorenzi(at)infogroup.it> -----
Subject: Re: [ml] Disegno sicuro per server FTP.
From: Alessandro Fiorenzi <a.fiorenzi(at)infogroup.it>
Reply-To: a.fiorenzi(at)infogroup.it
To: ml(at)sikurezza.org
Post by Gabriele Scolaro
1) Dove conviene piazzare il server FTP?
a) in DMZ ???classica??? (1 DMZ per tutti!)
b) in una layer separato della DMZ dedicato ai server di produzione che
pubblicano informazioni su Internet. (ad oggi questa zona non esiste ma
possiamo iniziare a crearla per esigenze di pubblicazione futura)
c) nella rete interna (un reverse-proxy ?? un metodo cos?? sicuro da
parmettere le comunicazioni fino alla rete interna??)
DMZ classica, magari con un iptable sul server che filtra le porte
visibili a internet ma soprattuto alla intranet
Post by Gabriele Scolaro
2) Quale Active Directory usare?
a) Quella interna aziendale creando le identit?? in una OU dedicata per gli
utenti esterni (applicabile se il server FTP ?? piazzato nella rete interna e
joinato al dominio aziendale).
b) Una AD con foresta separata che trusta la AD aziendale piazzando i DC di
questa nuova foresta in DMZ (applicabile se il server FTP ?? in DMZ)
Mai usare l'AD ufficiale se qualcuno incomincia a fare flooding di
utenti ti crea un dos sulla rete locale
Personalmente userei un Adam o un Read Only Domain Controller windows
server 2008

Perch?? non usare dei certificati per l'autenticazione?


------------------------------------------------------------------------------------
INFOGROUP S.P.A http://www.infogroup.it
Gruppo Banca CR Firenze
http://www.carifirenze.it
------------------------------------------------------------------------------------

Dott. Fiorenzi Alessandro
Security Project & Management

Consulente Tecnico Trib. Firenze - Sicurezza Informatica -
Albo consulenti ed esperti CCIAA Firenze
Socio CLUSIT, ALSI
Member of IEEE Computer Society

Tel : +390554365742
CE : +393356414477
(at)Email : a.fiorenzi(at)infogroup.it
(at)Email : Security.Management(at)infogroup.it
PGP Key: http://www.infogroup.it/ds/fiorenzi.asc
------------------------------------------------------------------------------------
----- End forwarded message -----
Gabriele Scolaro
2007-09-24 22:07:02 UTC
Permalink
Post by Mailing List Manager
----- Forwarded message from Alessandro Fiorenzi
<a.fiorenzi(at)infogroup.it> -----
Subject: Re: [ml] Disegno sicuro per server FTP.
From: Alessandro Fiorenzi <a.fiorenzi(at)infogroup.it>
Reply-To: a.fiorenzi(at)infogroup.it
To: ml(at)sikurezza.org
Post by Gabriele Scolaro
1) Dove conviene piazzare il server FTP?
a) in DMZ ???classica??? (1 DMZ per tutti!)
b) in una layer separato della DMZ dedicato ai server di produzione
che pubblicano informazioni su Internet. (ad oggi questa zona non
esiste ma possiamo iniziare a crearla per esigenze di pubblicazione
futura)
c) nella rete interna (un reverse-proxy ?? un metodo cos?? sicuro da
parmettere le comunicazioni fino alla rete interna??)
DMZ classica, magari con un iptable sul server che filtra le porte
visibili a internet ma soprattuto alla intranet
Per una sicurezza superiore non sarebbe meglio un reverse-proxy in
"outer-DMZ" e il server FTP in "interior-DMZ" o "Zona di Server di
Produzione"?
Tanto per capirci Pag 37 di questo doc: 2.4 - Practical Design

Post by Mailing List Manager
Post by Gabriele Scolaro
2) Quale Active Directory usare?
a) Quella interna aziendale creando le identit?? in una OU dedicata
per gli utenti esterni (applicabile se il server FTP ?? piazzato
nella
Post by Gabriele Scolaro
rete interna e joinato al dominio aziendale).
b) Una AD con foresta separata che trusta la AD aziendale piazzando
i
Post by Gabriele Scolaro
DC di questa nuova foresta in DMZ (applicabile se il server FTP ?? in
DMZ)
Mai usare l'AD ufficiale se qualcuno incomincia a fare flooding di
utenti ti crea un dos sulla rete locale Personalmente userei un Adam o
un Read Only Domain Controller windows server 2008
un RODC??? Ma windows server 2008 è ancora in beta!!! :-o
Oltre al fatto che ci sono alcuni problemi associati ai RODC come la
registrazione di alcuni SPN di Kerberos nei site in cui sono presenti solo
RODC (http://support.microsoft.com/?id=942304)
Post by Mailing List Manager
Perch?? non usare dei certificati per l'autenticazione?
Sbaglio o se usi ADAM ti giochi i certificate digitali e l'integrazione con
una PKI-Enterprise?

Ciao!
Gabriele

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Luca Berra
2007-09-25 08:09:43 UTC
Permalink
Post by Mailing List Manager
----- Forwarded message from Alessandro Fiorenzi <a.fiorenzi(at)infogroup.it> -----
Subject: Re: [ml] Disegno sicuro per server FTP.
From: Alessandro Fiorenzi <a.fiorenzi(at)infogroup.it>
Reply-To: a.fiorenzi(at)infogroup.it
To: ml(at)sikurezza.org
Post by Gabriele Scolaro
1) Dove conviene piazzare il server FTP?
a) in DMZ ???classica??? (1 DMZ per tutti!)
b) in una layer separato della DMZ dedicato ai server di produzione che
pubblicano informazioni su Internet. (ad oggi questa zona non esiste ma
possiamo iniziare a crearla per esigenze di pubblicazione futura)
c) nella rete interna (un reverse-proxy ?? un metodo cos?? sicuro da
parmettere le comunicazioni fino alla rete interna??)
io qui farei b, ma va valutato in maniera approfondita cosa ci deve
finire li dentro, quindi non posso essere molto d'aiuto.
Post by Mailing List Manager
Post by Gabriele Scolaro
2) Quale Active Directory usare?
a) Quella interna aziendale creando le identit?? in una OU dedicata per gli
utenti esterni (applicabile se il server FTP ?? piazzato nella rete interna e
joinato al dominio aziendale).
b) Una AD con foresta separata che trusta la AD aziendale piazzando i DC di
questa nuova foresta in DMZ (applicabile se il server FTP ?? in DMZ)
farei b, ma leggi
http://support.microsoft.com/kb/179442
e
http://support.microsoft.com/kb/832017
e
http://support.microsoft.com/kb/224196
e
http://support.microsoft.com/kb/319553

la nota in fondo a 179442 fa seriamente pensare che sia tutta fatica
inutile :D
Post by Mailing List Manager
Personalmente userei un Adam o un Read Only Domain Controller windows
server 2008
ma adam e' un server ldap, non permette di fare
autenticazione/trust/repliche Active Directory
e RDOC e' in beta :D
non ho ancora letto tutto, ma forse un RDOC in una foresta 2008 con un
uso attento degli attribute filter potrebbe essere la soluzione.

L.
(ho detto _potrebbe_)
--
Luca Berra -- ***@comedia.it
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
Gabriele Scolaro
2007-09-25 21:06:11 UTC
Permalink
-----Original Message-----
Behalf Of Luca Berra
Sent: martedì 25 settembre 2007 10.10
Subject: Re: [ml] Disegno sicuro per server FTP.
Post by Mailing List Manager
Post by Gabriele Scolaro
2) Quale Active Directory usare?
a) Quella interna aziendale creando le identit?? in una OU dedicata
per gli utenti esterni (applicabile se il server FTP ?? piazzato
nella rete interna e joinato al dominio aziendale).
b) Una AD con foresta separata che trusta la AD aziendale piazzando
i DC di questa nuova foresta in DMZ (applicabile se il server FTP ??
in DMZ)
farei b, ma leggi
http://support.microsoft.com/kb/179442
e
http://support.microsoft.com/kb/832017
e
http://support.microsoft.com/kb/224196
e
http://support.microsoft.com/kb/319553
la nota in fondo a 179442 fa seriamente pensare che sia tutta fatica
inutile :D
Forse sarebbe meglio mettere 2 foreste (1 in "DMZ di Produzione" e 1 in
"Intranet) non TRUSTATE e sincronizzate con MIIS, oppure federate con ADFS
(ADFS Proxy in DMZ)? In questo ultimo caso credo che le applicazioni debbano
essere claim-aware.... :-(
Post by Mailing List Manager
Personalmente userei un Adam o un Read Only Domain Controller windows
server 2008
ma adam e' un server ldap, non permette di fare
autenticazione/trust/repliche Active Directory e RDOC e' in beta :D
ADAM fa solo autenticazione in "LDAP bind", no trust ma si può replicare con
AD tramite ADAMSync o Identity Integration Feature Pack for Microsoft
Windows Server Active Directory

Grazie,
Gabriele
L.
(ho detto _potrebbe_)
--
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Luca Berra
2007-09-27 07:39:38 UTC
Permalink
Post by Gabriele Scolaro
From: Luca Berra
la nota in fondo a 179442 fa seriamente pensare che sia tutta fatica
inutile :D
Forse sarebbe meglio mettere 2 foreste (1 in "DMZ di Produzione" e 1 in
"Intranet) non TRUSTATE e sincronizzate con MIIS, oppure federate con ADFS
(ADFS Proxy in DMZ)? In questo ultimo caso credo che le applicazioni debbano
essere claim-aware.... :-(
La prima delle due ipotesi sembra presentare alcuni vantaggi aggiuntivi,
rispetto alla trust, come la possibilita' di decidere quali account
debbano essere replicati in DMZ.
ADFS proprio non lo conosco, credo di aver capito che c'e' un coso che
intercetta le chiamate di autenticazione NT e le gira in richieste ADFS,
ma non ci giuro.
Post by Gabriele Scolaro
Post by Mailing List Manager
Personalmente userei un Adam o un Read Only Domain Controller windows
server 2008
ma adam e' un server ldap, non permette di fare
autenticazione/trust/repliche Active Directory e RDOC e' in beta :D
ADAM fa solo autenticazione in "LDAP bind", no trust ma si può replicare con
Si, ma il tuo Titan non usava AD, o fa anche LDAP bind?
Post by Gabriele Scolaro
AD tramite ADAMSync o Identity Integration Feature Pack for Microsoft
Windows Server Active Directory
A questo punto puoi decidere di usare qualsiasi cosa che sia supportato
da MIIS e dalle applicazioni che vuoi mettere in quella DMZ, direi che la
scelta sara' guidata dalle applicazioni.

L.
--
Luca Berra -- ***@comedia.it
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Gabriele Scolaro
2007-09-27 21:24:44 UTC
Permalink
-----Original Message-----
Behalf Of Luca Berra
Sent: giovedì 27 settembre 2007 9.40
Subject: Re: [ml] Disegno sicuro per server FTP.
Post by Gabriele Scolaro
From: Luca Berra
la nota in fondo a 179442 fa seriamente pensare che sia tutta fatica
inutile :D
Forse sarebbe meglio mettere 2 foreste (1 in "DMZ di Produzione" e 1
in
Post by Gabriele Scolaro
"Intranet) non TRUSTATE e sincronizzate con MIIS, oppure federate con
ADFS
Post by Gabriele Scolaro
(ADFS Proxy in DMZ)? In questo ultimo caso credo che le applicazioni
debbano
Post by Gabriele Scolaro
essere claim-aware.... :-(
La prima delle due ipotesi sembra presentare alcuni vantaggi
aggiuntivi,
rispetto alla trust, come la possibilita' di decidere quali account
debbano essere replicati in DMZ.
Giusto! E forse posso replicare anche il mapping utenti-certificati
digitali, cosa che sarebbe utile per le autenticazioni mutue tipo SSL per i
dipendenti quando accedono dall'esterno.
ADFS proprio non lo conosco, credo di aver capito che c'e' un coso che
intercetta le chiamate di autenticazione NT e le gira in richieste ADFS,
ma non ci giuro.
ADFS è proposto da Microsoft con l'ultima release di Windows Server 2003,
forse è meglio aspettare un po' prima di capire se si tratta di un buono
strumento o di un buco nell'acqua...
Post by Gabriele Scolaro
Post by Mailing List Manager
Personalmente userei un Adam o un Read Only Domain Controller
windows
Post by Gabriele Scolaro
Post by Mailing List Manager
server 2008
ma adam e' un server ldap, non permette di fare
autenticazione/trust/repliche Active Directory e RDOC e' in beta :D
ADAM fa solo autenticazione in "LDAP bind", no trust ma si può
replicare con
Si, ma il tuo Titan non usava AD, o fa anche LDAP bind?
http://titanftp.com/support/titanftp/v6/webhelp/nt_authentication.htm
Post by Gabriele Scolaro
AD tramite ADAMSync o Identity Integration Feature Pack for Microsoft
Windows Server Active Directory
A questo punto puoi decidere di usare qualsiasi cosa che sia supportato
da MIIS e dalle applicazioni che vuoi mettere in quella DMZ, direi che la
scelta sara' guidata dalle applicazioni.
E il budget dove lo metti??? :-))))
A questo punto mi piacerebbe la soluzione MIIS, ma quando avrò in mano la
quotazione tra macchine e licenze per l'approvazione di spesa, rimbalzerò e
metterò l'FTP sulla rete pubblica con accesso anonimo in scrittura....
(scherzo!)

Grazie e ciao,
Gabriele


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Continue reading on narkive:
Loading...