VA-PT Depa Bcyber 2026-06
Documento tecnico informativo Penetration Test
Infrastruttura: Eaglearca
Ambienti: OVH, Tecnotel, Unidata
1. Controllo documento
| Campo | Valore |
|---|---|
| Titolo | Documento tecnico informativo per Penetration Test |
| Ambito | Infrastruttura Eaglearca - ambienti OVH, Tecnotel, Unidata |
| Finalità | Fornire al Red Team le informazioni preliminari necessarie per preparare ed eseguire un PT autorizzato |
2. Scopo e perimetro
Il presente documento raccoglie le informazioni preliminari necessarie al Red Team per la preparazione e l’esecuzione di un Penetration Test autorizzato sugli ambienti infrastrutturali indicati. Il documento include indirizzamenti pubblici, modalità di accesso, DNS target, API target, subnet interne, VM e servizi Docker rilevati dallo schema draw.io o forniti come dettaglio operativo.
2.1 Assunzioni operative
- Le VPN WireGuard saranno fornite al Red Team tramite configurazioni dedicate.
- Le credenziali operative e le utenze di test saranno consegnate separatamente.
- Gli ambienti OVH e Tecnotel saranno raggiunti tramite VPN WireGuard.
- L’ambiente Unidata sarà raggiunto tramite accesso diretto alla VM via IP pubblico.
- Le immagini dei diagrammi architetturali saranno inserite manualmente nel presente documento.
3. Sintesi ambienti target
| Ambiente | Accesso previsto per PT | IP pubblico | DNS target | API target | Note principali |
|---|---|---|---|---|---|
| OVH | VPN WireGuard dedicata | 54.37.198.19 | [DA COMPILARE] | [DA COMPILARE] | SDN interamente dedicata al progetto soggetto a PT; SDN tag 45; subnet interna 192.168.45.0/24. |
| Tecnotel | VPN WireGuard dedicata | 93.189.136.86 | https://s3.eagleprojects.cloud/ https://s3-web.eagleprojects.cloud/ |
[DA COMPILARE / N.A.] | Servizio MinIO su VM interna 192.168.201.2; SDN tag 201. |
| Unidata | Accesso diretto alla VM tramite IP pubblico | 194.183.5.21 | https://www.eaglelive.tv/ | [DA COMPILARE / N.A.] | Servizio Ant Media da descrivere/confermare. |
4. Modalità di accesso e prerequisiti operativi
| Elemento | Informazione da fornire al Red Team | Stato |
|---|---|---|
| Configurazione WireGuard OVH | File di configurazione peer, endpoint, allowed IPs, chiave pubblica del server, eventuale DNS interno. | Da fornire separatamente |
| Configurazione WireGuard Tecnotel | File di configurazione peer, endpoint, allowed IPs, chiave pubblica del server, eventuale DNS interno. | Da fornire separatamente |
| Accesso diretto Unidata | IP pubblico 194.183.5.21; eventuali credenziali; eventuale whitelist degli IP sorgenti del Red Team. | Da completare |
| Credenziali applicative | Utenze test, privilegi, ruoli, eventuali tenant/bucket/progetti dedicati. | Da fornire separatamente |
| Autorizzazioni operative | Finestra di test, attività consentite, attività escluse, contatti di escalation. | Da formalizzare |
| Backup / rollback | Conferma disponibilità backup e procedura di ripristino in caso di impatto sui servizi. | Da verificare |
5. Regole di engagement consigliate
Le seguenti regole devono essere validate e approvate prima dell’avvio del PT.
- Il test deve essere eseguito esclusivamente sugli asset indicati in perimetro.
- Eventuali attività DoS, DDoS, stress test, fuzzing aggressivo o saturazione intenzionale di banda/CPU/storage sono escluse salvo autorizzazione esplicita.
- Non devono essere modificate configurazioni persistenti dei sistemi, salvo necessità concordata e documentata.
- L’eventuale accesso a dati reali deve essere limitato al minimo indispensabile per dimostrare la vulnerabilità.
- Le evidenze devono essere raccolte in modo non distruttivo, con timestamp, asset coinvolto, tecnica usata, impatto e raccomandazione.
- Ogni vulnerabilità critica o possibile compromissione deve essere notificata immediatamente ai referenti di escalation.
- La consegna del report finale deve includere executive summary, dettaglio tecnico, severità, evidenze, remediation e priorità di intervento.
6. Ambiente OVH
L’ambiente OVH prevede accesso al Penetration Test tramite VPN WireGuard. La SDN risulta interamente dedicata al progetto soggetto a PT. Dallo schema draw.io risultano Proxmox, un firewall Debian con Caddy e una SDN interna dedicata con tag 45.
Inserire qui immagine diagramma OVH
Esempio placeholder:
6.1 Dati di accesso e indirizzamento
| Parametro | Valore |
|---|---|
| Accesso PT | VPN WireGuard dedicata |
| IP pubblico | 54.37.198.19 |
| DNS target | [DA COMPILARE] |
| API target | [DA COMPILARE] |
| SDN | Interamente dedicata al progetto soggetto a PT |
| SDN tag | 45 |
| Subnet interna | 192.168.45.0/24 |
| Firewall / reverse proxy | Debian + Caddy, da confermare |
| Note accesso | [DA COMPILARE: endpoint WireGuard, allowed IPs, eventuale DNS interno, limitazioni di routing] |
6.2 Asset interni rilevati
| Asset | Ruolo / descrizione | Note |
|---|---|---|
| Proxmox OVH | Host/cluster di virtualizzazione | Da confermare: versione, interfacce, management exposure, accessi amministrativi esclusi o inclusi nel PT. |
| Firewall Debian + Caddy | Firewall/reverse proxy e possibile termination TLS | Da confermare: virtual host, regole NAT, certificati, routing verso VM interne. |
| VM 192.168.45.10 | VM applicativa principale con servizi IAM, database, resource manager, data manager e componenti applicativi | Inventario Docker riportato nella sezione 6.4. |
| VM 192.168.45.11 | VM processing / resource manager processing | Inventario Docker riportato nella sezione 6.4. |
| VM 192.168.45.12 | VM communication modules / proxy / message broker | Inventario Docker riportato nella sezione 6.4. |
6.3 Flusso di login - spazio compilabile
Componenti IAM rilevati nell’inventario Docker: ghcr.io/zitadel/zitadel, dashboard-fe, dashboard-be. Il flusso effettivo deve essere confermato prima dell’avvio del PT.
Compilare i seguenti punti:
- Entry point applicativo: [DA COMPILARE]
- Identity Provider / IAM: [DA COMPILARE]
- Componenti coinvolti: [DA COMPILARE]
- Sequenza di autenticazione: [DA COMPILARE]
- Redirect / callback URL: [DA COMPILARE]
- Token / sessione / cookie: [DA COMPILARE]
- Ruoli e autorizzazioni: [DA COMPILARE]
- MFA: [DA COMPILARE / N.A.]
- Password reset / recovery: [DA COMPILARE]
- Logout / revoca sessione: [DA COMPILARE]
- Refresh token / durata sessione: [DA COMPILARE]
- Utenze test da fornire al Red Team: [DA COMPILARE]
6.4 Inventario VM e servizi Docker
Le funzioni dei container devono essere completate o confermate dai referenti tecnici. Le porte con mapping
0.0.0.0risultano pubblicate sull’host della VM; la reale raggiungibilità dal Red Team dipende da routing, firewall, reverse proxy e regole VPN.
6.4.10 VM 192.168.45.10
| Immagine / servizio Docker | Porte / mapping | Esposizione attesa | Funzione e note |
|---|---|---|---|
gitlab-registry.eagleprojects.cloud/depa-group/resources/resource-manager-2d:test-latest |
0.0.0.0:33012->33012/tcp, [::]:33012->33012/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
postgis/postgis:18-3.6 |
0.0.0.0:33212->5432/tcp, [::]:33212->5432/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
redis:8.2.2 |
6379/tcp |
Interna / non pubblicata su host (da verificare) | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/layout-manager:test-latest |
0.0.0.0:38181->3000/tcp, [::]:38181->3000/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/object-manager-inventory/om-backoffice:test-latest |
0.0.0.0:23112->3000/tcp, [::]:23112->3000/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/utilities/coordinate-converter:test-latest |
0.0.0.0:33013->33013/tcp, [::]:33013->33013/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/resource-manager/resourcemanager-be:latest-test |
8081/tcp, 0.0.0.0:28081->8080/tcp, [::]:28081->8080/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/resource-manager/customadapters:latest-test |
8081/tcp, 0.0.0.0:28083->8080/tcp, [::]:28083->8080/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/object-manager-inventory/oi-om-backend:test-latest |
0.0.0.0:53210->3000/tcp, [::]:53210->3000/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/data-flow/data-manager:test-latest |
0.0.0.0:33003->3000/tcp, [::]:33003->3000/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/iam/dashboard-fe:test-latest |
0.0.0.0:23111->3000/tcp, [::]:23111->3000/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/communication-modules/client-connection-manager:test-latest |
0.0.0.0:33005-33006->33005-33006/tcp, [::]:33005-33006->33005-33006/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/communication-modules/command-dispatch-manager:test-latest |
0.0.0.0:33004->3002/tcp, [::]:33004->3002/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
timescale/timescaledb-ha:pg17 |
8008/tcp, 8081/tcp, 0.0.0.0:33203->5432/tcp, [::]:33203->5432/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
postgres:16-alpine |
5432/tcp |
Interna / non pubblicata su host (da verificare) | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/user-service:test-latest |
0.0.0.0:23411->3001/tcp, [::]:23411->3001/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
postgres:17.2 |
0.0.0.0:25433->5432/tcp, [::]:25433->5432/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
postgis/postgis:17-master |
0.0.0.0:23432->5432/tcp, [::]:23432->5432/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
postgres:16 |
0.0.0.0:55432->5432/tcp, [::]:55432->5432/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
mongo:7.0 |
0.0.0.0:57017->27017/tcp, [::]:57017->27017/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
eqalpha/keydb:alpine |
0.0.0.0:6379->6379/tcp, [::]:6379->6379/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
eqalpha/keydb:alpine |
6379/tcp |
Interna / non pubblicata su host (da verificare) | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
bitnami/keydb:6.3.4 |
6379/tcp |
Interna / non pubblicata su host (da verificare) | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
redis:7.2 |
0.0.0.0:56379->6379/tcp, [::]:56379->6379/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
ghcr.io/zitadel/zitadel |
0.0.0.0:8080->8080/tcp, [::]:8080->8080/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
gitlab-registry.eagleprojects.cloud/depa-group/iam/dashboard-be:test-latest |
0.0.0.0:3000->3000/tcp, [::]:3000->3000/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
6.4.11 VM 192.168.45.11
| Immagine / servizio Docker | Porte / mapping | Esposizione attesa | Funzione e note |
|---|---|---|---|
gitlab-registry.eagleprojects.cloud/depa-group/resource-manager/processing:latest-test |
8081/tcp, 0.0.0.0:28082->8080/tcp, [::]:28082->8080/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
6.4.12 VM 192.168.45.12
| Immagine / servizio Docker | Porte / mapping | Esposizione attesa | Funzione e note |
|---|---|---|---|
gitlab-registry.eagleprojects.cloud/depa-group/communication-modules/drone-manager:test-latest |
0.0.0.0:33011->33011/tcp, [::]:33011->33011/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
redis:8.2.2 |
0.0.0.0:33311->6379/tcp, [::]:33311->6379/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
rabbitmq:4.2.0-alpine |
4369/tcp, 5671-5672/tcp, 15691-15692/tcp, 25672/tcp, 0.0.0.0:33411->1883/tcp, [::]:33411->1883/tcp, 0.0.0.0:33412->15672/tcp, [::]:33412->15672/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
jc21/nginx-proxy-manager:2.13.4 |
80/tcp, 443/tcp, 0.0.0.0:8884->8884/tcp, [::]:8884->8884/tcp, 0.0.0.0:8081->81/tcp, [::]:8081->81/tcp |
Pubblicata su host | [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti] |
7. Ambiente Tecnotel
L’ambiente Tecnotel prevede accesso al Penetration Test tramite VPN WireGuard. Dallo schema draw.io risultano Proxmox, un firewall Debian con Caddy, SDN tag 201 e VM interna 192.168.201.2 con servizio MinIO.
Inserire qui immagine diagramma Tecnotel
Esempio placeholder:
7.1 Dati di accesso e indirizzamento
| Parametro | Valore |
|---|---|
| Accesso PT | VPN WireGuard dedicata |
| IP pubblico | 93.189.136.86 |
| DNS target | https://s3.eagleprojects.cloud/ https://s3-web.eagleprojects.cloud/ |
| API target | [DA COMPILARE / N.A.] |
| SDN tag | 201 |
| VM interna | 192.168.201.2 |
| Firewall / reverse proxy | Debian + Caddy, da confermare |
| Note accesso | [DA COMPILARE: endpoint WireGuard, allowed IPs, eventuale DNS interno, limitazioni di routing] |
7.2 Servizi Docker
| VM/IP | Immagine / servizio Docker | Porte / mapping | Funzione e note |
|---|---|---|---|
| 192.168.201.2 | quay.io/minio/minio:RELEASE.2025-04-22T22-12-26Z |
0.0.0.0:9000-9001->9000-9001/tcp |
Servizio MinIO object storage compatibile S3. Porta 9000 tipicamente API S3; porta 9001 tipicamente console web. Confermare eventuale esposizione via Caddy sui DNS target, bucket/tenant in scope, utenze e policy di test. |
7.3 Flusso di accesso / login - spazio compilabile
Compilare i seguenti punti:
-
Entry point S3/API:
https://s3.eagleprojects.cloud/ -
Entry point console/web:
https://s3-web.eagleprojects.cloud/ - Reverse proxy / TLS termination: [DA COMPILARE]
- Meccanismo di autenticazione: [DA COMPILARE]
- Utenze / access key / secret key test: [DA FORNIRE SEPARATAMENTE]
- Ruoli / policy / bucket in scope: [DA COMPILARE]
- Operazioni consentite durante PT: [DA COMPILARE: list, read, write, delete, presigned URL, admin API, ecc.]
- Limiti su upload/download/delete: [DA COMPILARE]
- Logging e audit: [DA COMPILARE]
8. Ambiente Unidata
Per l’ambiente Unidata verranno forniti l’IP pubblico e l’accesso diretto alla VM tramite IP pubblico. Il DNS da testare è https://www.eaglelive.tv/. È previsto uno spazio compilabile per descrivere il flusso di login e il ruolo di Ant Media.
Inserire qui immagine diagramma Unidata, se disponibile
Esempio placeholder:
8.1 Dati di accesso e indirizzamento
| Parametro | Valore |
|---|---|
| Accesso PT | Accesso diretto alla VM tramite IP pubblico |
| IP pubblico | 194.183.5.21 |
| DNS target | https://www.eaglelive.tv/ |
| API target | [DA COMPILARE / N.A.] |
| VPN | Non prevista dai dettagli forniti; accesso diretto via IP pubblico |
| VM / hostname interno | [DA COMPILARE] |
| Porte pubblicate | [DA COMPILARE] |
| Note accesso | [DA COMPILARE: eventuale whitelist IP sorgenti, credenziali, limitazioni di test] |
8.2 Flusso di login - spazio compilabile
Compilare i seguenti punti:
-
Entry point applicativo:
https://www.eaglelive.tv/ - Applicazione / servizio principale: [DA COMPILARE]
- Ruolo di Ant Media nel flusso: [DA COMPILARE]
- Meccanismo di autenticazione: [DA COMPILARE]
- Sessione / token / cookie: [DA COMPILARE]
- Ruoli e privilegi: [DA COMPILARE]
- Pannello amministrativo: [DA COMPILARE / N.A.]
- API coinvolte: [DA COMPILARE / N.A.]
- MFA: [DA COMPILARE / N.A.]
- Password reset / recovery: [DA COMPILARE / N.A.]
- Logout / revoca sessione: [DA COMPILARE]
- Utenze test da fornire al Red Team: [DA FORNIRE SEPARATAMENTE]
8.3 Servizio Ant Media - spazio compilabile
Compilare i seguenti punti:
- Servizio / immagine Docker / installazione: [DA COMPILARE]
- Versione: [DA COMPILARE]
- Porte esposte: [DA COMPILARE]
- Protocolli esposti: [DA COMPILARE: RTMP, WebRTC, HLS, REST API, dashboard, ecc.]
- Funzione nel sistema: [DA COMPILARE]
- Tipologia di stream trattati: [DA COMPILARE]
- Autenticazione stream / dashboard / API: [DA COMPILARE]
- Storage / registrazioni / retention: [DA COMPILARE]
- Integrazioni con altri servizi: [DA COMPILARE]
- Dati personali o sensibili trattati: [DA COMPILARE / N.A.]
- Operazioni consentite durante PT: [DA COMPILARE]
9. Evidenze e output attesi dal Red Team
| Output | Contenuto atteso |
|---|---|
| Kick-off / piano di test | Perimetro validato, finestre operative, approccio metodologico, vincoli e canali di comunicazione. |
| Segnalazioni immediate | Notifica tempestiva di vulnerabilità critiche, compromissioni, esposizione dati o impatti sui servizi. |
| Report tecnico | Asset, vulnerabilità, severità, CVSS, descrizione tecnica, evidenze, impatto, exploitability, remediation. |
| Executive summary | Sintesi manageriale dei risultati, rischio complessivo, priorità e raccomandazioni. |
| Appendice evidenze | Screenshot, log, request/response, payload, timestamp, IP sorgente, IP target, account usati. |
| Retest | Verifica delle remediation applicate, con stato chiuso/aperto/parzialmente risolto. |