Software AVCPWeb in sicurezza con DMZ

Realizzare un applicativo web ci risparmia noiose installazioni locali, problemi di compatibilità di software con il sistema operativo installato. Non dobbiamo dimenticare però di mettere in sicurezza il nostro server web che ospita gli applicativi prodotti. Quella che è mostrata in figura è una classica configurazione con DMZ, acronimo di DeMilitarized Zone, usata per permettere ai server posizionati su questa zona di fornire servizi verso l’esterno senza compromettere la sicurezza della LAN interna. In sostanza si tratta di un segmento di rete isolato dalla rete LAN, che può essere quella di casa o quella dell’ufficio. L’isolamento avviene attraverso delle regole, anche dette policies, da applicare ad un apparato di rete che porta il nome di Firewall. Il firewall interagisce con le tre reti rappresentate regolando il traffico da e verso ognuna delle reti collegate.

DMZ

L’ipotesi mostrata, in relazione all’applicativo AVCPWeb, presenta un Server Web Intranet (192.168.0.5) sul quale è stato installato l’applicativo. In questo modo l’applicativo è raggiungibile solo dagli hosts (192.168.0.11..13) collegati alla LAN locale. Il secondo Server Web Internet (192.254.0.100) è quello esposto attraverso il firewall al traffico internet sulla sola porta 80. Su quest’ultimo server andremo a pubblicare i dataset da rendere pubblici e magari ad installare un portale di presentazione della nostra azienda. Gli script allegati sono già configurati per questa tipologia di rete ma per adattarli alle proprie esigenze basta cambiare gli indirizzi IP dei server.
Il server web internet necessita di un servizio web sulla porta 80 ed un server SSH sulla porta 23 configurato sul firewall in modo che accetti solo connessioni dalla rete 192.168.0.0/24 (classe C) dunque 256 host della rete (192.168.0). Il servizio web sulla porta 80 è configurato sul firewall in modo da accettare connessioni sia da internet sia dalla rete locale. Il servizio SSH serve per trasferire i dataset dal server web intranet al server web internet.
Gli script da configurare sul server web intranet sono due che possono coesistere con l’applicativo AVCPWeb nella stessa cartella.
Il file check.sh è uno script bash che può essere inserito nei processi pianificati. Il file checkxml.php è uno script php che esegue la convalida dei dataset xml secondo le specifiche contenute nei file XSD.

Le modifiche da fare sul software AVCPWeb sono relativamente semplici. Nel file class/xmlfun.php c’è la funzione creaUrl($anno) che crea il link del dataset che può essere personalizzato sostituendo opportunamente la riga

$url=substr($url,0,strripos($url,"/"))."/avcp-".$anno.".xml";

con

$url="http://www.tuodominio.com/avcp-".$anno.".xml";

se i dataset sono copiati nella root del portale. Altrimenti basta aggiungere una cartella al path, ad esempio:

$url=”http://www.tuodominio.com/datasetavcp/avcp-“.$anno.”.xml”;

Gli script sono abbastanza documentati quindi vi risparmio la tortura.

Scarica check.zipcheck.zip