> > > perché assegnare un doppio ip al server? > perché tu stai sviluppando una webapp, che probabilmente deve essere > raggiungibile anche da fuori dal ministero, quindi la tua app deve > essere accessibile sul lato pubblico.
hai ragione, scusami, davo per scontato che dovesse essere accessibile dall'esterno. Il mio dubbio non era tanto sull'ip pubblico ma piuttosto su quello interno. la tua app non entra nella vpn, è già collegata sul lato interno, > quindi pu accedere direttamente alle risorse che vi sono dietro. oookkk, mi sfugge ancora qualcosa 😁 > quindi qui fai il percorso attraverso la vpn, visto che sul nas ci > arrivi solo attraverso la vpn... sul server in realtà arrivi sempre > dalla tua vpn... quindi problemi non ce ne sono. > Ok, mi torna! > > ma la cosa che più mi turba è: accedo via ssh al server usando la rete > pubblica (ssh pi...@151.xx.xx.xx) e una volta sul server posso accedere > tranquillamente al NAS (ssh pl...@10.xx.xx.xx) > qui ti faranno entrare con una macchina certificata, avrai dei > certificati per entrare in ssh, a meno che la ssh non sia in realtà > poi ruotata su una connessione sicura interna, anche se tu passi > dall'indirizzo pubblico. in realtà entro via ssh da dove mi pare, non ho certificati (dalla mia postazione personale accedo con la mia chiave pubblica, niente di più). > troppe poche informazioni. Purtroppo non ne hanno date tante nemmeno a me! la cosa che a te deve premere maggiormente, è che la tua app deve > essere estremamente sicura, non bucabile Un po' di pentesting casalingo l'ho fatto e qualche accorgimento l'ho preso...ma l'ansia da "penetrazione" ce l'ho sempre... > altrimenti il culo che aprono sarà il tuo. ...appunto! 😂😂😂 Grazie per i chiarimenti Il giorno ven 13 lug 2018 alle ore 16:13 Gollum1 <gollum1.smeag...@gmail.com> ha scritto: > Il giorno ven 13 lug 2018 alle ore 15:51 Giuseppe Naponiello > <beppen...@gmail.com> ha scritto: > > > > Buongiorno a tutti, > > non so se il thread è OT, nel caso mi scuso, ma ho una curiosità e > volevo chiedere a voi. > > Sto sviluppando un'applicazione web per un ente pubblico che afferisce > ad un Ministero, il CED che gestisce tutta l'infrastruttura ha assegnato a > questa applicazione una macchina virtuale, che gira in un loro server, e un > NAS. > > Io accedo solo al virtual server e al NAS ma non al server fisico. > > La webapp è esposta su web mentre, per motivi di sicurezza, il NAS e il > db server (postgresql) sono accessibili solo dalla VPN ministeriale. > > Ricapitolando, al server virtuale sono stati assegnati 2 ip, uno > pubblico (151.xx.xx.xx) e uno "interno" (10.xx.xx.xx), il NAS ha 1 solo ip > interno (10.xx.xx.xx). > > Sempre per motivi di sicurezza postgres accetta solo connessioni locali > e non remote. > > Quindi, per accedere al NAS "in teoria" devo prima entrare nella vpn, > per accedere al server "in teoria" posso usare sia l'ip pubblico che quello > privato (accedendo prima alla vpn), mentre per accedere al db devo prima > entrare nel server....ok? > > In tutto 'sto casino c'è qualcosa che non mi torna: > > > > perché assegnare un doppio ip al server? > perché tu stai sviluppando una webapp, che probabilmente deve essere > raggiungibile anche da fuori dal ministero, quindi la tua app deve > essere accessibile sul lato pubblico. > > la tua app non entra nella vpn, è già collegata sul lato interno, > quindi pu accedere direttamente alle risorse che vi sono dietro. > > Il problema della sicureza, da questo punto di vista è tutto tuo... > sei tu che devi costruire una app che non possa essere bucata, e non > possa fare escalation di permessi per poter accedere poi all'interno. > > > > >Tanto dal NAS accedo lo stesso, anche usando l'ip pubblico (cioè via ssh > accedo al NAS e da lì, sempre via ssh al server) > > quindi qui fai il percorso attraverso la vpn, visto che sul nas ci > arrivi solo attraverso la vpn... sul server in realtà arrivi sempre > dalla tua vpn... quindi problemi non ce ne sono. > > > ma la cosa che più mi turba è: accedo via ssh al server usando la rete > pubblica (ssh pi...@151.xx.xx.xx) e una volta sul server posso accedere > tranquillamente al NAS (ssh pl...@10.xx.xx.xx) > > qui ti faranno entrare con una macchina certificata, avrai dei > certificati per entrare in ssh, a meno che la ssh non sia in realtà > poi ruotata su una connessione sicura interna, anche se tu passi > dall'indirizzo pubblico. > > troppe poche informazioni. > > la cosa che a te deve premere maggiormente, è che la tua app deve > essere estremamente sicura, non bucabile, altrimenti il culo che > aprono sarà il tuo. > > Byez > -- > Gollum1 - http://www.gollumone.it > Tesssssoro, dov'é il mio tessssoro... > -- *Giuseppe Naponiello* *A**rc-**T**eam srl* piazza Navarrino, 13 - 38023Cles (TN) C.F. e P. IVA IT-01941600221 cell. +393476846599 mail: beppen...@arc-team.com pec: arc-t...@pec.it 101 | www.arc-team.com 110 | http://arc-team-open-research.blogspot.it/ 000 | https://independent.academia.edu/GiuseppeNaponiello
