none
Pubblicare rdgateway in maniera sicura RRS feed

  • Domanda

  • Ciao,
    che precauzioni usate per mettere online un RD gateway?

    Io ho appena messo un firewall hardware che usa squid 3.3. In pratica lo uso come reverse proxy per la cartella rdweb

    La cosa non mi soddisfa per nulla perché lo squid viene aggiornato molto di rado dal produttore del firewall.
    E' solo una preoccupazione mia infondata? Se uno squid viene lasciato invecchiare, non potrebbe consentire a terzi di prendere il controllo del firewall con conseguenze peggiori di quelle che potrei avere nattando semplicemente il RDgateway sull'esterno? l'rdgateway è un win2012r2 e viene aggiornato molto più frequentemente dello squid del mio firewall...

    ditemi voi che avete più spesso a che fare con questi problemi/dubbi...


    venerdì 2 febbraio 2018 10:41

Risposte

Tutte le risposte

  • direi che la tua preoccupazione è fondata e la soluzione che proponi la adotterei anch'io.

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    • Contrassegnato come risposta Marco Guerzoni venerdì 2 febbraio 2018 20:32
    venerdì 2 febbraio 2018 16:56
    Moderatore
  • Davvero grazie per la conferma Edo
    venerdì 2 febbraio 2018 20:32
  • Beh...firewall HW che usano squid..boh...ma che brand sarebbe? Personalmente uso WG e Cisco ed non usano roba opensource per il RP..ad ogni modo "prendere possesso del firewall bucando squid" è una cosa legata ai film che si vedono in TV...sostanzialmente perchè dovrebbe esserci un baco nel Firewall che ti permette di "saltare" dal reverse proxy all'interfaccia di gestione...e quello non dipende dalla versione di squid..si spera che la gestione del firewall dall'esterno sia preclusa o abilitata solo a determinati ip...

    Tieni presente che il 99% degli attacchi avviene o dall'interno o attraverso buchi di fabbrica delle piattaforme, per capirci vedi meltdown e spectre...sono solo cose non note alle masse, ma esistevano da quando hanno creato i processori, poi avere un firewall che fa IPS ed IDS su quello siamo d'accordo, ma non è detto che se il 2012 è aggiornato non possa soffrire anche lui di un baco sconosciuto che diventa di pubblico dominio quando viene trovato...

    ciao.

    A.

    sabato 3 febbraio 2018 13:18
    Moderatore
  • Premetto che avere uno squid come revese proxy, potrebbe essere utile se AGGIONATO e BEN CONFIGURATO, in tutti gli altri casi E' un buco di sicurezza ulteriore, che nella peggiore delle ipotesi, ti può permettere di bypassare un firewall BEN configurato!

    p.s. piuttosto che un nethesis, mille volte, mikrotik/pfsense/untangle/WatchGuard/Cisco/Fortigate/vyatta  palo alto, juniper, checkPoint... etc.

    Aggiungo che ho visto cose da film, fatte con squid (non prendere possesso del FW, ma entrare in lan si...) e altre meno eclatanti, probabilmente erano le prime vesioni (lo uso da almeno venti anni e ne ho viste diverse), ora la cosa piu tipica è usare uno squid, mal configurato, per inviare mail di spam al mondo...  comunque i buchi, se non aggiornato, rimangono vedi qui

    Che i prodotti commerciali non usino "roba" open source è un eufemismo

    https://watchguardsupport.secure.force.com/SupportSearch#q=gpl&first=20&t=All&sort=relevancy

    ecco un estratto da un manuale WG (ho chiuso il pdf con il modello, trovato nel link sotto)

    Each of the following programs are wholly or partially licensed under the
    GPL: ARPTables, bpalogin, bridge-utils, busybox, ebtables, glibc, hostapd, iproute, ipset, iptables, iputils, linux, nmap, ppp, pptpd, rp-pppoe,wireless_tools, wpa_supplicant.
    Specific copyright information for the above software, if any, can be found...
    ...

    Cisco ASA erano linux https://www.cisco.com/c/en/us/td/docs/security/asa/asa83/license_standalone/open_source/opensrce.html

    il futuro sarà https://www.netcraftsmen.com/vyatta-open-source-router/

    Anche se ci sono interfacce grafiche mirabolanti, non è detto che non ci sia linux/bsd o squid come proxy sotto.

    Ben nascosto, c'è spesso un kernel che batte. Un kernel + busybox + iptable + iproute e il firewall è servito!

    Ciao Gas






    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    sabato 3 febbraio 2018 19:26
    Moderatore