Ciao,

Nonostante la mia domanda riguardi la rete aziendale, ho scritto in questa sezione perchè mi interessa mettere l'accento sul server.

La rete aziendale è server centrica, nel senso che oltre all'ovvia necessità di accedere al server per poter accedere ai dati, ad esso arriva anche la connessione internet (via Wlan) ed è quindi il server a fungere da router.

Questo sistema è corretto o sarebbe meglio affidare il ruolo di instradatore ad un router?

Grazie

Ciao,

Nonostante la mia domanda riguardi la rete aziendale, ho scritto in questa sezione perchè mi interessa mettere l'accento sul server.

La rete aziendale è server centrica, nel senso che oltre all'ovvia necessità di accedere al server per poter accedere ai dati, ad esso arriva anche la connessione internet (via Wlan) ed è quindi il server a fungere da router.

Questo sistema è corretto o sarebbe meglio affidare il ruolo di instradatore ad un router?

GrazieSul fatto di usare un server generico come router io non vedo alcuna controindicazione, del resto deve instradare e nient'altro per cui che sia una appliance dedicata oppure un server generico poco cambia.
Da questo punto di vista quello che le appliance ti forniscono in più sono le features extra di sicurezza, come IDS o antivirus perimetrale (che si basano su database centralizzati che vanno aggiornati, servizio che generalmente è a pagamento), piuttosto che le configurazioni in alta affidabilità.
Niente che non si possa fare anche con un server utilizzato come router, ma richiedono tempo e skill per essere configurate.
Un buon compromesso in termini di features e costi è pfSense, che ti permette di usare un comune server come se fosse una appliance perimetrale con molte delle features che ho citato prima.

Altro discorso per l'utilizzo del server in questione sia come router che come repository di dati o servizi.
Ovviamente tutto deve essere valutato in base alla criticità dei dati e dei servizi, però in genere non è una buona cosa piazzare dati e servizi sul server che rappresenta il punto d'ingresso per la tua rete.

Segmentare la rete in intranet, dmz e reti non trustate è una buona cosa e spesso è l'approccio scelto da molte aziende, a volte non si può (o vuole, per mille motivi che non sto a citare) seguire questa strada, però almeno separare router e servizi è il minimo sindacale, giusto per evitare che una eventuale compromissione di questa macchina permetta un accesso diretto ai dati.
I dati sono spesso vulnerabili a prescindere (a causa di bug applicativi, mancata applicazione anche solo delle più banali best practice da parte di sviluppatori e sistemisti, spesso sottopagati e senza l'adeguata formazione ed esperienza), piazzarli sul server che dovrebbe fungere da prima barriera dagli attacchi non mi sembra una buona idea, non credi?

basta che non sia anche il firewall che sarebbe una cosa poco sicura.

Per quanto riguarda io firewall, essendo la nostra connessione offerta da un wisp, hanno un loro firewall con tutte le porte chiuse e ce le aprono su specifica richiesta.
Non amo molto questo sistema, però piuttosto di non aver nulla per il momento accetto questo modo.

Comunque si, il server contiene anche tutti i dati aziendali.

Per il resto io avrei montato un router (siamo una piccola azienda con 9 postazioni collegate al server), ma volevo chiedere consiglio perchè non sono esperto di server e quindi non conosco le sue potenzialità.
Un router nel mezzo credo possa aumentare la sicurezza e permettere una miglior gestione delle risorse di rete.

Pensavo, avendo già un minimo di conoscenza, di montare a monte un Mikrotik con routerOS tipo questo http://routerboard.com/RB2011UiAS-2HnD-IN
ma senza wireless.

Che ne dite?

bon, se il firewall è a monte vai tranquillo. è il firewall che gestisce la sicurezza della rete, il router controlla solo il traffico. Se non ti fidi, compra un firewall/VPNserver da mettere a monte del server aziendale e lascia al server il ruolo di router.

Il carico da router per 10 postazioni fa scappare da ridere (un qualsiasi coso embedded non è minimamente paragonabile alla potenza del server), e francamente per così pochi utenti che accedono allo stesso server non vedo la necessità di spezzare le reti (se non ci sono grosse differenze tra i tipi di utenti).

l'unica cosa di cui mi preoccuperei sono eventuali colli di bottiglia nella rete locale tra i 9 pc e il server.

Quindi, per concludere dici che tutto sommato, il sistema come è impostato al momento può andar bene

se ti fidi del firewall del tuo ISP, sì.
Se è un servizio ufficiale che pagate (o che fa parte del contratto) dovrebbe essere all'altezza del compito.

grazie