Principale utente con più risposte
Pubblicare rdgateway in maniera sicura

Domanda
-
Ciao,
che precauzioni usate per mettere online un RD gateway?Io ho appena messo un firewall hardware che usa squid 3.3. In pratica lo uso come reverse proxy per la cartella rdweb
La cosa non mi soddisfa per nulla perché lo squid viene aggiornato molto di rado dal produttore del firewall.
E' solo una preoccupazione mia infondata? Se uno squid viene lasciato invecchiare, non potrebbe consentire a terzi di prendere il controllo del firewall con conseguenze peggiori di quelle che potrei avere nattando semplicemente il RDgateway sull'esterno? l'rdgateway è un win2012r2 e viene aggiornato molto più frequentemente dello squid del mio firewall...ditemi voi che avete più spesso a che fare con questi problemi/dubbi...
- Modificato Marco Guerzoni venerdì 2 febbraio 2018 10:42
Risposte
-
direi che la tua preoccupazione è fondata e la soluzione che proponi la adotterei anch'io.
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it- Contrassegnato come risposta Marco Guerzoni venerdì 2 febbraio 2018 20:32
Tutte le risposte
-
direi che la tua preoccupazione è fondata e la soluzione che proponi la adotterei anch'io.
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it- Contrassegnato come risposta Marco Guerzoni venerdì 2 febbraio 2018 20:32
-
-
Beh...firewall HW che usano squid..boh...ma che brand sarebbe? Personalmente uso WG e Cisco ed non usano roba opensource per il RP..ad ogni modo "prendere possesso del firewall bucando squid" è una cosa legata ai film che si vedono in TV...sostanzialmente perchè dovrebbe esserci un baco nel Firewall che ti permette di "saltare" dal reverse proxy all'interfaccia di gestione...e quello non dipende dalla versione di squid..si spera che la gestione del firewall dall'esterno sia preclusa o abilitata solo a determinati ip...
Tieni presente che il 99% degli attacchi avviene o dall'interno o attraverso buchi di fabbrica delle piattaforme, per capirci vedi meltdown e spectre...sono solo cose non note alle masse, ma esistevano da quando hanno creato i processori, poi avere un firewall che fa IPS ed IDS su quello siamo d'accordo, ma non è detto che se il 2012 è aggiornato non possa soffrire anche lui di un baco sconosciuto che diventa di pubblico dominio quando viene trovato...
ciao.
A.
-
Premetto che avere uno squid come revese proxy, potrebbe essere utile se AGGIONATO e BEN CONFIGURATO, in tutti gli altri casi E' un buco di sicurezza ulteriore, che nella peggiore delle ipotesi, ti può permettere di bypassare un firewall BEN configurato!
p.s. piuttosto che un nethesis, mille volte, mikrotik/pfsense/untangle/WatchGuard/Cisco/Fortigate/vyatta palo alto, juniper, checkPoint... etc.
Aggiungo che ho visto cose da film, fatte con squid (non prendere possesso del FW, ma entrare in lan si...) e altre meno eclatanti, probabilmente erano le prime vesioni (lo uso da almeno venti anni e ne ho viste diverse), ora la cosa piu tipica è usare uno squid, mal configurato, per inviare mail di spam al mondo... comunque i buchi, se non aggiornato, rimangono vedi qui
Che i prodotti commerciali non usino "roba" open source è un eufemismo
https://watchguardsupport.secure.force.com/SupportSearch#q=gpl&first=20&t=All&sort=relevancy
ecco un estratto da un manuale WG (ho chiuso il pdf con il modello, trovato nel link sotto)
Each of the following programs are wholly or partially licensed under the
GPL: ARPTables, bpalogin, bridge-utils, busybox, ebtables, glibc, hostapd, iproute, ipset, iptables, iputils, linux, nmap, ppp, pptpd, rp-pppoe,wireless_tools, wpa_supplicant.
Specific copyright information for the above software, if any, can be found...
...Cisco ASA erano linux https://www.cisco.com/c/en/us/td/docs/security/asa/asa83/license_standalone/open_source/opensrce.html
il futuro sarà https://www.netcraftsmen.com/vyatta-open-source-router/
Anche se ci sono interfacce grafiche mirabolanti, non è detto che non ci sia linux/bsd o squid come proxy sotto.
Ben nascosto, c'è spesso un kernel che batte. Un kernel + busybox + iptable + iproute e il firewall è servito!
Ciao Gas
Gastone Canali >http://www.armadillo.it
Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere