hardening web server
Inviato: sab ott 01, 2011 11:22 pm
Salve a tutti.Confesso subito:Sono inesperto.Ho questa necessità:rendere il piu sicuro possibile un web server che fornisce servizi e contiene dati sensibili.Ecco quello che ho pensato io, se qualcuno puo darmi qualche altro suggerimento lo ringrazio in anticipo.
Ho pensato intanto di permettere l'accesso(autenticazione) solo a client di cui sono sicuro che presentano un certificato digitale;ma qui si presenta il primo problema:il certificato puo essere associato alla macchina specifica o all'utente;se è associato alla macchina allora sarà incorporato nel browser , se è associato all'utente di volta in volta l'utente dovrebbe installarlo nella macchina di turno;se un utente decide di accedere devo prima dargli un account io , creargli il certificato digitale, prendermi la chiave pubblica ed installarlo sul server;ho l'impressione che sia un casino;dò per scontato che anche il server abbia un certificato digitale proprio che dovra essere incorporato nel client.
Oppure creare una Vpn (con mome e password), un utente che si collega deve prima conoscere questi dati, poi rendere l'accesso alla home page con una tecnica di application sharing (easyVPN) in cui bisogna fornire una password ed un certificato digitale;dopo e solo dopo che questa autenticazione è andata a buon fine si presenta la home page del sito; a questo punto si possono inserire username e password per accedere ai servizi del web server;Ho letto un eccellente articolo su questo sito a proposito di easyvpn-comodo , ma ho provato ad usarlo e lo trovo un po' ballerino, non affidabile;ho letto che è stato anche attacato e buttato giù;il collegamento a volte è incerto e spesso è lento;easyVpn è quanto di meglio ci sia? c'è qualcos'altro che mi permetta di fare le stesse cose ma in modo più veloce ed affidabile? ,ma che sia facile come easyvpn? le problematiche realative alla fase succesiva all'autenticazione mi sono più chiare.
Resto in attesa di risposte, che penso arriveranno presto, visto il livello di coloro che scrivono articoli su questo sito.Grazie in anticipo a tutti coloro che vorranno contribuire a chiarire bene queste problematiche.
Ho pensato intanto di permettere l'accesso(autenticazione) solo a client di cui sono sicuro che presentano un certificato digitale;ma qui si presenta il primo problema:il certificato puo essere associato alla macchina specifica o all'utente;se è associato alla macchina allora sarà incorporato nel browser , se è associato all'utente di volta in volta l'utente dovrebbe installarlo nella macchina di turno;se un utente decide di accedere devo prima dargli un account io , creargli il certificato digitale, prendermi la chiave pubblica ed installarlo sul server;ho l'impressione che sia un casino;dò per scontato che anche il server abbia un certificato digitale proprio che dovra essere incorporato nel client.
Oppure creare una Vpn (con mome e password), un utente che si collega deve prima conoscere questi dati, poi rendere l'accesso alla home page con una tecnica di application sharing (easyVPN) in cui bisogna fornire una password ed un certificato digitale;dopo e solo dopo che questa autenticazione è andata a buon fine si presenta la home page del sito; a questo punto si possono inserire username e password per accedere ai servizi del web server;Ho letto un eccellente articolo su questo sito a proposito di easyvpn-comodo , ma ho provato ad usarlo e lo trovo un po' ballerino, non affidabile;ho letto che è stato anche attacato e buttato giù;il collegamento a volte è incerto e spesso è lento;easyVpn è quanto di meglio ci sia? c'è qualcos'altro che mi permetta di fare le stesse cose ma in modo più veloce ed affidabile? ,ma che sia facile come easyvpn? le problematiche realative alla fase succesiva all'autenticazione mi sono più chiare.
Resto in attesa di risposte, che penso arriveranno presto, visto il livello di coloro che scrivono articoli su questo sito.Grazie in anticipo a tutti coloro che vorranno contribuire a chiarire bene queste problematiche.