Skip to main content

VA-PT Depa Bcyber 2026-06

Documento tecnico informativo Penetration Test

Infrastruttura: Eaglearca

Ambienti: OVH, Tecnotel, Unidata


1. Controllo documento

CampoValore
TitoloDocumento tecnico informativo per Penetration Test
AmbitoInfrastruttura Eaglearca - ambienti OVH, Tecnotel, Unidata
FinalitàFornire al Red Team le informazioni preliminari necessarie per preparare ed eseguire un PT autorizzato

2. Scopo e perimetro

Il presente documento raccoglie le informazioni preliminari necessarie al Red Team per la preparazione e l’esecuzione di un Penetration Test autorizzato sugli ambienti infrastrutturali indicati. Il documento include indirizzamenti pubblici, modalità di accesso, DNS target, API target, subnet interne, VM e servizi Docker rilevati dallo schema draw.io o forniti come dettaglio operativo.

2.1 Assunzioni operative

  • Le VPN WireGuard saranno fornite al Red Team tramite configurazioni dedicate.
  • Le credenziali operative e le utenze di test saranno consegnate separatamente.
  • Gli ambienti OVH e Tecnotel saranno raggiunti tramite VPN WireGuard.
  • L’ambiente Unidata sarà raggiunto tramite accesso diretto alla VM via IP pubblico.
  • Le immagini dei diagrammi architetturali saranno inserite manualmente nel presente documento.

3. Sintesi ambienti target

AmbienteAccesso previsto per PTIP pubblicoDNS targetAPI targetNote principali
OVHVPN WireGuard dedicata54.37.198.19[DA COMPILARE][DA COMPILARE]SDN interamente dedicata al progetto soggetto a PT; SDN tag 45; subnet interna 192.168.45.0/24.
TecnotelVPN WireGuard dedicata93.189.136.86https://s3.eagleprojects.cloud/
https://s3-web.eagleprojects.cloud/
[DA COMPILARE / N.A.]Servizio MinIO su VM interna 192.168.201.2; SDN tag 201.
UnidataAccesso diretto alla VM tramite IP pubblico194.183.5.21https://www.eaglelive.tv/[DA COMPILARE / N.A.]Servizio Ant Media da descrivere/confermare.

4. Modalità di accesso e prerequisiti operativi

ElementoInformazione da fornire al Red TeamStato
Configurazione WireGuard OVHFile di configurazione peer, endpoint, allowed IPs, chiave pubblica del server, eventuale DNS interno.Da fornire separatamente
Configurazione WireGuard TecnotelFile di configurazione peer, endpoint, allowed IPs, chiave pubblica del server, eventuale DNS interno.Da fornire separatamente
Accesso diretto UnidataIP pubblico 194.183.5.21; eventuali credenziali; eventuale whitelist degli IP sorgenti del Red Team.Da completare
Credenziali applicativeUtenze test, privilegi, ruoli, eventuali tenant/bucket/progetti dedicati.Da fornire separatamente
Autorizzazioni operativeFinestra di test, attività consentite, attività escluse, contatti di escalation.Da formalizzare
Backup / rollbackConferma disponibilità backup e procedura di ripristino in caso di impatto sui servizi.Da verificare

5. Regole di engagement consigliate

Le seguenti regole devono essere validate e approvate prima dell’avvio del PT.

  • Il test deve essere eseguito esclusivamente sugli asset indicati in perimetro.
  • Eventuali attività DoS, DDoS, stress test, fuzzing aggressivo o saturazione intenzionale di banda/CPU/storage sono escluse salvo autorizzazione esplicita.
  • Non devono essere modificate configurazioni persistenti dei sistemi, salvo necessità concordata e documentata.
  • L’eventuale accesso a dati reali deve essere limitato al minimo indispensabile per dimostrare la vulnerabilità.
  • Le evidenze devono essere raccolte in modo non distruttivo, con timestamp, asset coinvolto, tecnica usata, impatto e raccomandazione.
  • Ogni vulnerabilità critica o possibile compromissione deve essere notificata immediatamente ai referenti di escalation.
  • La consegna del report finale deve includere executive summary, dettaglio tecnico, severità, evidenze, remediation e priorità di intervento.

6. Ambiente OVH

L’ambiente OVH prevede accesso al Penetration Test tramite VPN WireGuard. La SDN risulta interamente dedicata al progetto soggetto a PT. Dallo schema draw.io risultano Proxmox, un firewall Debian con Caddy e una SDN interna dedicata con tag 45.

Inserire qui immagine diagramma OVH
Esempio placeholder: ![Diagramma OVH](./immagini/topologia_ovh.png)

6.1 Dati di accesso e indirizzamento

ParametroValore
Accesso PTVPN WireGuard dedicata
IP pubblico54.37.198.19
DNS target[DA COMPILARE]
API target[DA COMPILARE]
SDNInteramente dedicata al progetto soggetto a PT
SDN tag45
Subnet interna192.168.45.0/24
Firewall / reverse proxyDebian + Caddy, da confermare
Note accesso[DA COMPILARE: endpoint WireGuard, allowed IPs, eventuale DNS interno, limitazioni di routing]

6.2 Asset interni rilevati

AssetRuolo / descrizioneNote
Proxmox OVHHost/cluster di virtualizzazioneDa confermare: versione, interfacce, management exposure, accessi amministrativi esclusi o inclusi nel PT.
Firewall Debian + CaddyFirewall/reverse proxy e possibile termination TLSDa confermare: virtual host, regole NAT, certificati, routing verso VM interne.
VM 192.168.45.10VM applicativa principale con servizi IAM, database, resource manager, data manager e componenti applicativiInventario Docker riportato nella sezione 6.4.
VM 192.168.45.11VM processing / resource manager processingInventario Docker riportato nella sezione 6.4.
VM 192.168.45.12VM communication modules / proxy / message brokerInventario Docker riportato nella sezione 6.4.

6.3 Flusso di login - spazio compilabile

Componenti IAM rilevati nell’inventario Docker: ghcr.io/zitadel/zitadel, dashboard-fe, dashboard-be. Il flusso effettivo deve essere confermato prima dell’avvio del PT.

Compilare i seguenti punti:

  • Entry point applicativo: [DA COMPILARE]
  • Identity Provider / IAM: [DA COMPILARE]
  • Componenti coinvolti: [DA COMPILARE]
  • Sequenza di autenticazione: [DA COMPILARE]
  • Redirect / callback URL: [DA COMPILARE]
  • Token / sessione / cookie: [DA COMPILARE]
  • Ruoli e autorizzazioni: [DA COMPILARE]
  • MFA: [DA COMPILARE / N.A.]
  • Password reset / recovery: [DA COMPILARE]
  • Logout / revoca sessione: [DA COMPILARE]
  • Refresh token / durata sessione: [DA COMPILARE]
  • Utenze test da fornire al Red Team: [DA COMPILARE]

6.4 Inventario VM e servizi Docker

Le funzioni dei container devono essere completate o confermate dai referenti tecnici. Le porte con mapping 0.0.0.0 risultano pubblicate sull’host della VM; la reale raggiungibilità dal Red Team dipende da routing, firewall, reverse proxy e regole VPN.

6.4.10 VM 192.168.45.10

Immagine / servizio DockerPorte / mappingEsposizione attesaFunzione e note
gitlab-registry.eagleprojects.cloud/depa-group/resources/resource-manager-2d:test-latest0.0.0.0:33012->33012/tcp, [::]:33012->33012/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
postgis/postgis:18-3.60.0.0.0:33212->5432/tcp, [::]:33212->5432/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
redis:8.2.26379/tcpInterna / non pubblicata su host (da verificare)[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/layout-manager:test-latest0.0.0.0:38181->3000/tcp, [::]:38181->3000/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/object-manager-inventory/om-backoffice:test-latest0.0.0.0:23112->3000/tcp, [::]:23112->3000/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/utilities/coordinate-converter:test-latest0.0.0.0:33013->33013/tcp, [::]:33013->33013/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/resource-manager/resourcemanager-be:latest-test8081/tcp, 0.0.0.0:28081->8080/tcp, [::]:28081->8080/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/resource-manager/customadapters:latest-test8081/tcp, 0.0.0.0:28083->8080/tcp, [::]:28083->8080/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/object-manager-inventory/oi-om-backend:test-latest0.0.0.0:53210->3000/tcp, [::]:53210->3000/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/data-flow/data-manager:test-latest0.0.0.0:33003->3000/tcp, [::]:33003->3000/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/iam/dashboard-fe:test-latest0.0.0.0:23111->3000/tcp, [::]:23111->3000/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/communication-modules/client-connection-manager:test-latest0.0.0.0:33005-33006->33005-33006/tcp, [::]:33005-33006->33005-33006/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/communication-modules/command-dispatch-manager:test-latest0.0.0.0:33004->3002/tcp, [::]:33004->3002/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
timescale/timescaledb-ha:pg178008/tcp, 8081/tcp, 0.0.0.0:33203->5432/tcp, [::]:33203->5432/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
postgres:16-alpine5432/tcpInterna / non pubblicata su host (da verificare)[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/user-service:test-latest0.0.0.0:23411->3001/tcp, [::]:23411->3001/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
postgres:17.20.0.0.0:25433->5432/tcp, [::]:25433->5432/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
postgis/postgis:17-master0.0.0.0:23432->5432/tcp, [::]:23432->5432/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
postgres:160.0.0.0:55432->5432/tcp, [::]:55432->5432/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
mongo:7.00.0.0.0:57017->27017/tcp, [::]:57017->27017/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
eqalpha/keydb:alpine0.0.0.0:6379->6379/tcp, [::]:6379->6379/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
eqalpha/keydb:alpine6379/tcpInterna / non pubblicata su host (da verificare)[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
bitnami/keydb:6.3.46379/tcpInterna / non pubblicata su host (da verificare)[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
redis:7.20.0.0.0:56379->6379/tcp, [::]:56379->6379/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
ghcr.io/zitadel/zitadel0.0.0.0:8080->8080/tcp, [::]:8080->8080/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/iam/dashboard-be:test-latest0.0.0.0:3000->3000/tcp, [::]:3000->3000/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]

6.4.11 VM 192.168.45.11

Immagine / servizio DockerPorte / mappingEsposizione attesaFunzione e note
gitlab-registry.eagleprojects.cloud/depa-group/resource-manager/processing:latest-test8081/tcp, 0.0.0.0:28082->8080/tcp, [::]:28082->8080/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]

6.4.12 VM 192.168.45.12

Immagine / servizio DockerPorte / mappingEsposizione attesaFunzione e note
gitlab-registry.eagleprojects.cloud/depa-group/communication-modules/drone-manager:test-latest0.0.0.0:33011->33011/tcp, [::]:33011->33011/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
redis:8.2.20.0.0.0:33311->6379/tcp, [::]:33311->6379/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
rabbitmq:4.2.0-alpine4369/tcp, 5671-5672/tcp, 15691-15692/tcp, 25672/tcp, 0.0.0.0:33411->1883/tcp, [::]:33411->1883/tcp, 0.0.0.0:33412->15672/tcp, [::]:33412->15672/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
jc21/nginx-proxy-manager:2.13.480/tcp, 443/tcp, 0.0.0.0:8884->8884/tcp, [::]:8884->8884/tcp, 0.0.0.0:8081->81/tcp, [::]:8081->81/tcpPubblicata su host[DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]

7. Ambiente Tecnotel

L’ambiente Tecnotel prevede accesso al Penetration Test tramite VPN WireGuard. Dallo schema draw.io risultano Proxmox, un firewall Debian con Caddy, SDN tag 201 e VM interna 192.168.201.2 con servizio MinIO.

Inserire qui immagine diagramma Tecnotel
Esempio placeholder: ![Diagramma Tecnotel](./immagini/topologia_tecnotel.png)

7.1 Dati di accesso e indirizzamento

ParametroValore
Accesso PTVPN WireGuard dedicata
IP pubblico93.189.136.86
DNS targethttps://s3.eagleprojects.cloud/
https://s3-web.eagleprojects.cloud/
API target[DA COMPILARE / N.A.]
SDN tag201
VM interna192.168.201.2
Firewall / reverse proxyDebian + Caddy, da confermare
Note accesso[DA COMPILARE: endpoint WireGuard, allowed IPs, eventuale DNS interno, limitazioni di routing]

7.2 Servizi Docker

VM/IPImmagine / servizio DockerPorte / mappingFunzione e note
192.168.201.2quay.io/minio/minio:RELEASE.2025-04-22T22-12-26Z0.0.0.0:9000-9001->9000-9001/tcpServizio MinIO object storage compatibile S3. Porta 9000 tipicamente API S3; porta 9001 tipicamente console web. Confermare eventuale esposizione via Caddy sui DNS target, bucket/tenant in scope, utenze e policy di test.

7.3 Flusso di accesso / login - spazio compilabile

Compilare i seguenti punti:

  • Entry point S3/API: https://s3.eagleprojects.cloud/
  • Entry point console/web: https://s3-web.eagleprojects.cloud/
  • Reverse proxy / TLS termination: [DA COMPILARE]
  • Meccanismo di autenticazione: [DA COMPILARE]
  • Utenze / access key / secret key test: [DA FORNIRE SEPARATAMENTE]
  • Ruoli / policy / bucket in scope: [DA COMPILARE]
  • Operazioni consentite durante PT: [DA COMPILARE: list, read, write, delete, presigned URL, admin API, ecc.]
  • Limiti su upload/download/delete: [DA COMPILARE]
  • Logging e audit: [DA COMPILARE]

8. Ambiente Unidata

Per l’ambiente Unidata verranno forniti l’IP pubblico e l’accesso diretto alla VM tramite IP pubblico. Il DNS da testare è https://www.eaglelive.tv/. È previsto uno spazio compilabile per descrivere il flusso di login e il ruolo di Ant Media.

Inserire qui immagine diagramma Unidata, se disponibile
Esempio placeholder: ![Diagramma Unidata](./immagini/topologia_unidata.png)

8.1 Dati di accesso e indirizzamento

ParametroValore
Accesso PTAccesso diretto alla VM tramite IP pubblico
IP pubblico194.183.5.21
DNS targethttps://www.eaglelive.tv/
API target[DA COMPILARE / N.A.]
VPNNon prevista dai dettagli forniti; accesso diretto via IP pubblico
VM / hostname interno[DA COMPILARE]
Porte pubblicate[DA COMPILARE]
Note accesso[DA COMPILARE: eventuale whitelist IP sorgenti, credenziali, limitazioni di test]

8.2 Flusso di login - spazio compilabile

Compilare i seguenti punti:

  • Entry point applicativo: https://www.eaglelive.tv/
  • Applicazione / servizio principale: [DA COMPILARE]
  • Ruolo di Ant Media nel flusso: [DA COMPILARE]
  • Meccanismo di autenticazione: [DA COMPILARE]
  • Sessione / token / cookie: [DA COMPILARE]
  • Ruoli e privilegi: [DA COMPILARE]
  • Pannello amministrativo: [DA COMPILARE / N.A.]
  • API coinvolte: [DA COMPILARE / N.A.]
  • MFA: [DA COMPILARE / N.A.]
  • Password reset / recovery: [DA COMPILARE / N.A.]
  • Logout / revoca sessione: [DA COMPILARE]
  • Utenze test da fornire al Red Team: [DA FORNIRE SEPARATAMENTE]

8.3 Servizio Ant Media - spazio compilabile

Compilare i seguenti punti:

  • Servizio / immagine Docker / installazione: [DA COMPILARE]
  • Versione: [DA COMPILARE]
  • Porte esposte: [DA COMPILARE]
  • Protocolli esposti: [DA COMPILARE: RTMP, WebRTC, HLS, REST API, dashboard, ecc.]
  • Funzione nel sistema: [DA COMPILARE]
  • Tipologia di stream trattati: [DA COMPILARE]
  • Autenticazione stream / dashboard / API: [DA COMPILARE]
  • Storage / registrazioni / retention: [DA COMPILARE]
  • Integrazioni con altri servizi: [DA COMPILARE]
  • Dati personali o sensibili trattati: [DA COMPILARE / N.A.]
  • Operazioni consentite durante PT: [DA COMPILARE]

9. Checklist informazioni da completare prima dell’avvio PT

AreaInformazione richiestaResponsabileStato / note
OVHDNS target e API target definitive.Da compilare
OVHDescrizione flusso login, ruoli, MFA/sessione e componenti IAM coinvolti.Da compilare
OVHFunzione di ogni container Docker per VM 192.168.45.10, 192.168.45.11, 192.168.45.12.Da compilare
OVHConferma regole firewall/VPN e reale raggiungibilità delle porte pubblicate.Da compilare
TecnotelConferma esposizione MinIO: porta 9000 API S3 e 9001 console/web, eventuale reverse proxy Caddy.Da compilare
TecnotelUtenze test, bucket target, policy autorizzate, limiti su upload/download/delete.Da compilare
UnidataPorte pubblicate, flusso login e ruolo preciso di Ant Media.Da compilare
UnidataConferma eventuale pannello admin, API Ant Media e protocolli in scope.Da compilare
TrasversaleFinestra di test, attività escluse, contatti di escalation e procedura in caso di incidente.Da compilare
TrasversaleConferma policy su dati reali, logging, retention evidenze e modalità di consegna report.Da compilare

10. Contatti ed escalation

RuoloNomeEmail / telefonoDisponibilitàNote
Project Owner[DA COMPILARE][DA COMPILARE][DA COMPILARE]
Referente infrastruttura OVH[DA COMPILARE][DA COMPILARE][DA COMPILARE]
Referente infrastruttura Tecnotel[DA COMPILARE][DA COMPILARE][DA COMPILARE]
Referente infrastruttura Unidata[DA COMPILARE][DA COMPILARE][DA COMPILARE]
Referente sicurezza / escalation critica[DA COMPILARE][DA COMPILARE][DA COMPILARE]
Red Team lead[DA COMPILARE][DA COMPILARE][DA COMPILARE]

11. Evidenze e output attesi dal Red Team

OutputContenuto atteso
Kick-off / piano di testPerimetro validato, finestre operative, approccio metodologico, vincoli e canali di comunicazione.
Segnalazioni immediateNotifica tempestiva di vulnerabilità critiche, compromissioni, esposizione dati o impatti sui servizi.
Report tecnicoAsset, vulnerabilità, severità, CVSS, descrizione tecnica, evidenze, impatto, exploitability, remediation.
Executive summarySintesi manageriale dei risultati, rischio complessivo, priorità e raccomandazioni.
Appendice evidenzeScreenshot, log, request/response, payload, timestamp, IP sorgente, IP target, account usati.
RetestVerifica delle remediation applicate, con stato chiuso/aperto/parzialmente risolto.

12. Appendice - note per inserimento diagrammi

Inserire manualmente le immagini dei diagrammi nei punti indicati:

  • Sezione 6, ambiente OVH: ![Diagramma OVH](./immagini/topologia_ovh.png)
  • Sezione 7, ambiente Tecnotel: ![Diagramma Tecnotel](./immagini/topologia_tecnotel.png)
  • Sezione 8, ambiente Unidata: ![Diagramma Unidata](./immagini/topologia_unidata.png)

Se il documento viene versionato in repository, si suggerisce di salvare le immagini in una cartella dedicata, ad esempio ./immagini/, mantenendo nomi file stabili per non rompere i riferimenti Markdown.