Buongiorno a tutti,
non so se il thread è OT, nel caso mi scuso, ma ho una curiosità e volevo chiedere a voi.
Sto sviluppando un'applicazione web per un ente pubblico che afferisce ad un Ministero, il CED che gestisce tutta l'infrastruttura ha assegnato a questa applicazione una macchina virtuale, che gira in un loro server, e un NAS.
Io accedo solo al virtual server e al NAS ma non al server fisico.
La webapp è esposta su web mentre, per motivi di sicurezza, il NAS e il db server (postgresql) sono accessibili solo dalla VPN ministeriale.
Ricapitolando, al server virtuale sono stati assegnati 2 ip, uno pubblico (151.xx.xx.xx) e uno "interno" (10.xx.xx.xx), il NAS ha 1 solo ip interno (10.xx.xx.xx).
Sempre per motivi di sicurezza postgres accetta solo connessioni locali e non remote.
Quindi, per accedere al NAS "in teoria" devo prima entrare nella vpn, per accedere al server "in teoria" posso usare sia l'ip pubblico che quello privato (accedendo prima alla vpn), mentre per accedere al db devo prima entrare nel server....ok?
In tutto 'sto casino c'è qualcosa che non mi torna:
- perché assegnare un doppio ip al server? Tanto dal NAS accedo lo stesso, anche usando l'ip pubblico (cioè via ssh accedo al NAS e da lì, sempre via ssh al server)
- ma la cosa che più mi turba è: accedo via ssh al server usando la rete pubblica (ssh pippo@151.xx.xx.xx) e una volta sul server posso accedere tranquillamente al NAS (ssh pluto@10.xx.xx.xx)
In teoria se bucano il server virtuale possono accedere comunque al NAS (che tradotto significa che dalla rete pubblica accedo alla vpn) e da lì posso giocare un po' facendo, ad esempio, una mappatura della rete e, volendo, fare un po' di casino!!!
Giusto?
Ho provato a segnalare la cosa al CED ma non m'hanno cagato di striscio! Evidentemente non sono preoccupati!