> perché assegnare un doppio ip al server?
perché tu stai sviluppando una webapp, che probabilmente deve essere
raggiungibile anche da fuori dal ministero, quindi la tua app deve
essere accessibile sul lato pubblico.
la tua app non entra nella vpn, è già collegata sul lato interno,
quindi pu accedere direttamente alle risorse che vi sono dietro.
quindi qui fai il percorso attraverso la vpn, visto che sul nas ci
arrivi solo attraverso la vpn... sul server in realtà arrivi sempre
dalla tua vpn... quindi problemi non ce ne sono.
> ma la cosa che più mi turba è: accedo via ssh al server usando la rete pubblica (ssh pippo@151.xx.xx.xx) e una volta sul server posso accedere tranquillamente al NAS (ssh pluto@10.xx.xx.xx)
qui ti faranno entrare con una macchina certificata, avrai dei
certificati per entrare in ssh, a meno che la ssh non sia in realtà
poi ruotata su una connessione sicura interna, anche se tu passi
dall'indirizzo pubblico.
troppe poche informazioni.
la cosa che a te deve premere maggiormente, è che la tua app deve
essere estremamente sicura, non bucabile
altrimenti il culo che aprono sarà il tuo.
Il giorno ven 13 lug 2018 alle ore 15:51 Giuseppe Naponiello
<beppenapo@gmail.com> ha scritto:
>
> Buongiorno a tutti,
> non so se il thread è OT, nel caso mi scuso, ma ho una curiosità e volevo chiedere a voi.
> Sto sviluppando un'applicazione web per un ente pubblico che afferisce ad un Ministero, il CED che gestisce tutta l'infrastruttura ha assegnato a questa applicazione una macchina virtuale, che gira in un loro server, e un NAS.
> Io accedo solo al virtual server e al NAS ma non al server fisico.
> La webapp è esposta su web mentre, per motivi di sicurezza, il NAS e il db server (postgresql) sono accessibili solo dalla VPN ministeriale.
> Ricapitolando, al server virtuale sono stati assegnati 2 ip, uno pubblico (151.xx.xx.xx) e uno "interno" (10.xx.xx.xx), il NAS ha 1 solo ip interno (10.xx.xx.xx).
> Sempre per motivi di sicurezza postgres accetta solo connessioni locali e non remote.
> Quindi, per accedere al NAS "in teoria" devo prima entrare nella vpn, per accedere al server "in teoria" posso usare sia l'ip pubblico che quello privato (accedendo prima alla vpn), mentre per accedere al db devo prima entrare nel server....ok?
> In tutto 'sto casino c'è qualcosa che non mi torna:
>
> perché assegnare un doppio ip al server?
perché tu stai sviluppando una webapp, che probabilmente deve essere
raggiungibile anche da fuori dal ministero, quindi la tua app deve
essere accessibile sul lato pubblico.
la tua app non entra nella vpn, è già collegata sul lato interno,
quindi pu accedere direttamente alle risorse che vi sono dietro.
Il problema della sicureza, da questo punto di vista è tutto tuo...
sei tu che devi costruire una app che non possa essere bucata, e non
possa fare escalation di permessi per poter accedere poi all'interno.
>Tanto dal NAS accedo lo stesso, anche usando l'ip pubblico (cioè via ssh accedo al NAS e da lì, sempre via ssh al server)
quindi qui fai il percorso attraverso la vpn, visto che sul nas ci
arrivi solo attraverso la vpn... sul server in realtà arrivi sempre
dalla tua vpn... quindi problemi non ce ne sono.
> ma la cosa che più mi turba è: accedo via ssh al server usando la rete pubblica (ssh pippo@151.xx.xx.xx) e una volta sul server posso accedere tranquillamente al NAS (ssh pluto@10.xx.xx.xx)
qui ti faranno entrare con una macchina certificata, avrai dei
certificati per entrare in ssh, a meno che la ssh non sia in realtà
poi ruotata su una connessione sicura interna, anche se tu passi
dall'indirizzo pubblico.
troppe poche informazioni.
la cosa che a te deve premere maggiormente, è che la tua app deve
essere estremamente sicura, non bucabile, altrimenti il culo che
aprono sarà il tuo.
Byez
--
Gollum1 - http://www.gollumone.it
Tesssssoro, dov'é il mio tessssoro...