No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server - Infrastrutture
 Generale - Infrastrutture Sicure
 Firewall Policies Deploy
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

ThE_RaV3N
Junior Member

127 Posts

Posted - 14/12/2010 :  04:19:16  Show Profile  Reply with Quote
Ciao a tutti, espongo qui una domanda così .... tanto per approfondire un argomento che forse a qualcuno è già noto e magari ad altri un pò meno.

Ormai nelle infrastrutture Windows, ma ormai anche nelle infrastrutture miste (Windows + Unix) la sicurezza è diventata multilayered (come già descritto in un mio vecchio paper) ... ma arrivando alla domanda ... a livello client voi le policies firewall come le distribuite?

Microsoft consiglia di filtrare il traffico in outbound a monte, e di fare un deploy via GPO (che essendo suo il prodotto si integra senza problemi fatalità xD) delle configurazioni di Windows firewall per bloccare il traffico in entrata solo per le destinazioni non compliant alle policies aziendali.

Voi vi siete mai posti il problema? Come avete ovviato? Avete utilizzato soluzioni alternative? Oppure avete usato metodi artigianali vostri ... se sì quali?

Stavo seriamente valutando di sfruttare la portabilità delle configurazioni di windows firewall in un dominio, e la possiblità di renderle obbligatorie e lockare tramite le GPO; tuttavia fin da quando ho cominciato i miei esperimenti di sicurezza lato client ho sempre scartato l'ipotesi Windows firewall. Voi che dite? E' meglio ripiegare su prodotti di terze parti (free se ci sono oppure a pagamento in base al budget aziendale) ... oppure va bene anche il sempliciotto windows firewall?

Voi che fareste?

Ciauz

- - - - - - - - - - - - -
La personalità non si afferma con le idee ma con le scelte

IsaCab
Moderator

4298 Posts

Posted - 14/12/2010 :  10:21:54  Show Profile  Reply with Quote
Ciao,

argomento interessante che spero richiami molti di noi. Ma iniziamo da me :

Parlando per un attimo in generale e ragionando in termini di sicurezza interna:

la parte più rischiosa (ma questo tu lo sai meglio di me) e il controllo delle attività utente proprio sul client. Poi in un secondo momento pensare ad un fwr potrebbe essere una buona idea ma non necessariamente.

Calando nella mia esperienza :

Tranne eccezioni particolari con esigenze specifiche, preferisco non usare Firewall lato client e/o cmq non userei mai FWR non amministrabili da remoto o da centralizzato.

Quindi direi che per una buona gestione (chiaramente è la mia opinione) in una infrastruttura a prevalenza Microsoft adottare ed implmentrare AD è una scelta saggia.

Spendere anche del tempo a cercare il giusto compromesso tra sicurezza e produttività ripaga nel tempo in termini di efficenza.

Tutto questo lo fai via GPO.

Giusto per parlare di fatti ti espongo la mia configurazioe tipica di base :

1) AD
2) WSUS (aggiornare gli OS in termini di sicurezza è importantissimo)
3) AV (ho adottato da circa un anno Forefront Client Security e dopo averne provati tanti non lo cambierei manco sotto tortura. Lo amministri centralmente, lo distribuisci via GPO (OU) e lo aggiorni via WSUS. E puoi fare tanto altro ma non vi annoio con i dettagli
4) LAN IpSec, per impedire (tranne le ovvie eccezzioni) lo sniffing di password mandate in chiaro (pop3, SMTP,...)
5) Policy per le password, per gli share di rete, per il browser ....... etc etc, direi che le uso quasi tutte.


Questa è la base che realizzo sempre e a prescindere.

quote:

ho sempre scartato l'ipotesi Windows firewall. Voi che dite? E' meglio ripiegare su prodotti di terze parti (free se ci sono oppure a pagamento in base al budget aziendale) ... oppure va bene anche il sempliciotto windows firewall?


... e per rispondere alla tua domanda, dopo quanto detto fino a qui, direi che se prpprio occorre il Windows Firewall è una scelta saggia.

Ciao Giulio



________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post

Edited by - IsaCab on 14/12/2010 10:22:19
Go to Top of Page

ThE_RaV3N
Junior Member

127 Posts

Posted - 14/12/2010 :  20:39:22  Show Profile  Reply with Quote
Innanzitutto grazie giulio per le chicche, e soprattutto grazie di aver portato la tua esperienza qui in pubblico. Praticamente lo scenario che espongo è completamente diverso da quello lavorativo dove lavoro tutti i giorni; d'altronde mi ritrovo di fronte a questo enigma xk durante l'attività di consulenza extra non sempre mi ritrovo a disposizione il budget e le risorse di una banca come quando sono a lavoro a tempo pieno ;)

Questo cliente, con il quale collaboro a livello informatico secondariamente, ha subito poco tempo fa un attacco al proprio server della contabilità, attacco stupido generato dalla loro ignoranza in materia; in particolare del responsabile dell'area tecnica che ha lasciato veramente il server al macello (pareva una vecchia BBS per chi se le ricorda xD ).

In accordo con me l'altro socio, ha deciso che sia giusto che ognuno abbia le proprie mansioni e quindi mi ha incaricato di rimettere mano a tutta l'infrastruttura dando come priorità la sicurezza mantenendo un discreto compromesso con la praticità, visto che hanno molti casi diversi quotidianamente nel loro lavoro informatico di consulenza.

Ora mi ritrovo che le attività critiche di rete, ovvero il DC e il BDC, che stanno girando egregiamente su due macchine virtuali piazzate su vmware server su due macchine fisiche distinte; un server 2003 e un'altra su una fida lenny da 32bit. La virtualizzazione non mi ha mai regalato così tante soddisfazioni come in questo periodo ... con un giro di cappello sto tenendo UP una realtà senza problemi e grossi dispendi energetici.

A livello di sicurezza per ora ho piazzato un bel firewall hardware a monte fatto in FreeBSD, assieme ad un modulo proxy in modalità trasparente con content filtering (purtroppo la realtà è troppo eterogenea e quindi l'autenticazione forzata ho dovuto lasciarla stare). Per il momento non ho optato ne per il traffic shaping e nemmeno per il bandwith management (per ora le due linee ADSL stanno andando egregiamente senza intoppi nonostante le grosse moli di traffico sviluppato a livello orario).

Ora volevo affinare la sicurezza lato logico, rifacendomi in toto a quello che avevo esplicato nel mio famoso paper (che tu avevi letto e anche commentato su windowsolution.org all'epoca ;) ) e stavo testando alcune suite / alternative per la protezione lato client.

Oltre ad aver eseguito un hardening delle macchine server critiche, ad aver chiuso le porte in entrata a parte quella per il protocollo RDP (che ho migrato sull'autenticazione di rete TLS/MS-Chap) ora mi ritrovo con il server della contabilità relativamente tranquillo e raggiungibile solo tramite attacchi bruteforce con tsgrinder (che vedo difficili con i set di password impostati e visto che è da tempo che non escono exploit per TS). Oltre a questo penso di aver raggiunto anche un discreto controllo del traffico in uscita (ho solo la posta e il traffico DNS in uscita abilitato dalle macchine server 2003). Per la navigazione web invece passa tutto dal proxy trasparente con content filtering abbastanza selettivo, che si integra con il famosissimo Snort in modalità Inline (ovvero trasformato in IPS) che sniffa tutto il traffico in uscita (visto che il traffico in entrata è negato a priori come regola).

L'unico dubbio era dovuto al fatto che il budget è limitato, e pertanto suite sofisticate come quelle che sono abituato ad usare a lavoro (ISS), non sono fattibili e quindi pensavo di raggiungere uno stereotipo usando windows firewall che è free ed integrabile in AD.

Ovviamente speravo che qualcun'altro avesse avuto esigenze simili in passato, magari con budget limitati, e avesse trovato in qualche suite o prodotto particolare la valida alternativa.

Voi avete qualche altro nome di qualche prodotto? Avete qualche altro consiglio utile che magari per ora non mi passa per la mente e che sarebbe valido e utile al fine?

Grazie per chiunque vuole condividere la propria esperienza e/o spreca del tempo per leggere e rispondere a questo thread ;)

- - - - - - - - - - - - -
La personalità non si afferma con le idee ma con le scelte
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 15/12/2010 :  08:49:16  Show Profile  Reply with Quote
Ciao,

quote:
Innanzitutto grazie giulio per le chicche

E' sempre un piacere chiacchierare cn te di tecnologie

...in attesa che qualcun'altro posti la sua esperienza e a fronte di quato da te già fatto direi che una regolatina alle policy (GPO) unita all'uso del windows fwr chiuderebbe (in maniera esaustiva) quasi il cerchio.

Per chiuderlo totalmente (il cerchio) ti servirebbe un buon antivirus lato client e mi sento di insistere nel farti testare il Forefront Client Security che tra le altre cose è anche abbastanza economico (circa 13/15 Dollari a postazione per anno).

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

ThE_RaV3N
Junior Member

127 Posts

Posted - 15/12/2010 :  19:49:37  Show Profile  Reply with Quote
quote:
Originally posted by IsaCab

Ciao,

quote:
Innanzitutto grazie giulio per le chicche

E' sempre un piacere chiacchierare cn te di tecnologie

...in attesa che qualcun'altro posti la sua esperienza e a fronte di quato da te già fatto direi che una regolatina alle policy (GPO) unita all'uso del windows fwr chiuderebbe (in maniera esaustiva) quasi il cerchio.

Per chiuderlo totalmente (il cerchio) ti servirebbe un buon antivirus lato client e mi sento di insistere nel farti testare il Forefront Client Security che tra le altre cose è anche abbastanza economico (circa 13/15 Dollari a postazione per anno).

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post



Ottimo. Andrò sul sito di forefront a scaricarmi l'evaluation e vedrò di proporlo se mi aggraderà ;) Per quanto riguarda il traffico criptato con IPSEC hai lavorato tramite AD? Finora non ho mai approfondito il sistema in rete LAN, ma solo come contesto VPN. Hai qualche KB da condividere?

Gracias Ciauz

- - - - - - - - - - - - -
La personalità non si afferma con le idee ma con le scelte
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 16/12/2010 :  10:55:38  Show Profile  Reply with Quote
Ciao,

http://technet.microsoft.com/it-it/library/cc783420(WS.10).aspx

http://www.petri.co.il/configuring_ipsec_policies_through_gpo.htm

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

ThE_RaV3N
Junior Member

127 Posts

Posted - 17/12/2010 :  02:02:08  Show Profile  Reply with Quote
quote:
Originally posted by IsaCab

Ciao,

http://technet.microsoft.com/it-it/library/cc783420(WS.10).aspx

http://www.petri.co.il/configuring_ipsec_policies_through_gpo.htm

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post



Me li addocchio e vediamo che cosa cosa tiro fuori dal mio burka :D LOL

- - - - - - - - - - - - -
La personalità non si afferma con le idee ma con le scelte
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association