DI RECENTE ACCOMAZZI...
CERCA
» Ricerca avanzata
MAILING LIST

Se vuoi iscriverti alla mailing list di Luca Accomazzi inserisci qui la tua mail:

Vuoi ricevere i messaggi immediatamente (50 invii / giorno) o in differita e in gruppo
(due invii / giorno)?

» Vuoi saperne di più?

A domanda rispondo - sezione Internet

Web, sicurezza e rete mista

Non riesco a capire perché, volendo mettere in piedi un sito mio, io non possa tenermi in azienda un calcolatore con il sito web. Tutti mi dicono che devo affidarlo a una società esterna, perché verrei attaccato dagli hacker. Che non ho idea, che servono un sacco di cose, che bisognerebbe studiare... davvero non si può fare?

Ho curato nel 2003 un progetto per una scuola superiore in cui i circa 200 PC e 15 Mac e due Linux, senza voler contare le stampanti di rete, vengono gestiti e amministrati in modo sicuro e completo. Le stampanti sono condivise e l'amministratore può vedere chi stampa cosa e da dove. La scuola ora ha un firewall (anti-intrusione) che fa da proxy server (tiene copie locali dei siti visitati moltiplicando di molte volte la velocità di navigazione) trasparente (non disabilitabile da parte degli studenti). E impedisce l'accesso a una serie di siti censurati per ovvi motivi. C'è controllo di banda, ossia nessuno può occupare più che una porzione prefissata della velocità di connessione. La scuola ha due collegamenti, una ADSL a prezzo fisso e una HDSL con prezzo al consumo: il gateway da noi sviluppato (una macchina Debian Linux) invia automaticamente i pacchetti di rete attraverso la connessione a prezzo fisso sino alla saturazione, poi comincia automaticamente a sfruttare la connessione con prezzo al consumo.
Un sistema NIDS identifica gli attacchi in arrivo e avvisa l'amministratore di sistema durante le prime avvisaglie (ha una base dati interna di forme di attacco conosciute), dicendogli che tipo di attacco è, da dove arriva e come bloccarlo. L'amministratore può riconfigurare il firewall atraverso una interfaccia amichevole, via web.
La scuola ospita e crea al suo interno numerosi siti web, una BBS interna, (con zona DMZ protetta sia dagli attacchi provenienti dall'esterno sia quelli provenienti dall'iinterno) un DNS autorevole primario e secondario, un sistema di posta elettronica interna POP3 e IMAP4 con sistema secondario che scatta automaticamente in caso di fallimento del primario in modo da non perdere la posta. DHCP per i PC clienti, con NAT; DNAT per i server.

Tutte queste cose si possono fare: basta volerle fare. Basta farle fare a qualcuno che capisca bene come funziona il TCP/IP. Ovviamente si tratta di soluzioni che non si mettono in piedi con poche centinaia di Euro (ma con poche migliaia sì, tant'è che anche una buona scuola statale se le può permettere)...