Skip to main content

VA-PT Depa Bcyber 2026-06

Documento tecnico informativo Penetration Test

Infrastruttura: Eaglearca

Ambienti: OVH, Tecnotel, Unidata


1. Controllo documento

Campo Valore
Titolo Documento tecnico informativo per Penetration Test
Ambito Infrastruttura Eaglearca - ambienti OVH, Tecnotel, Unidata
Finalità Fornire al Red Team le informazioni preliminari necessarie per preparare ed eseguire un PT autorizzato

2. Scopo e perimetro

Il presente documento raccoglie le informazioni preliminari necessarie al Red Team per la preparazione e l’esecuzione di un Penetration Test autorizzato sugli ambienti infrastrutturali indicati. Il documento include indirizzamenti pubblici, modalità di accesso, DNS target, API target, subnet interne, VM e servizi Docker rilevati dallo schema draw.io o forniti come dettaglio operativo.

2.1 Assunzioni operative

  • Le VPN WireGuard saranno fornite al Red Team tramite configurazioni dedicate.
  • Le credenziali operative e le utenze di test saranno consegnate separatamente.
  • Gli ambienti OVH e Tecnotel saranno raggiunti tramite VPN WireGuard.
  • L’ambiente Unidata sarà raggiunto tramite accesso diretto alla VM via IP pubblico.
  • Le immagini dei diagrammi architetturali saranno inserite manualmente nel presente documento.

3. Sintesi ambienti target

Ambiente Accesso previsto per PT IP pubblico DNS target API target Note principali
OVH VPN WireGuard dedicata 54.37.198.19 [DA COMPILARE] [DA COMPILARE] SDN interamente dedicata al progetto soggetto a PT; SDN tag 45; subnet interna 192.168.45.0/24.
Tecnotel VPN WireGuard dedicata 93.189.136.86 https://s3.eagleprojects.cloud/
https://s3-web.eagleprojects.cloud/
[DA COMPILARE / N.A.] Servizio MinIO su VM interna 192.168.201.2; SDN tag 201.
Unidata Accesso diretto alla VM tramite IP pubblico 194.183.5.21 https://www.eaglelive.tv/ [DA COMPILARE / N.A.] Servizio Ant Media da descrivere/confermare.

4. Modalità di accesso e prerequisiti operativi

Elemento Informazione da fornire al Red Team Stato
Configurazione WireGuard OVH File di configurazione peer, endpoint, allowed IPs, chiave pubblica del server, eventuale DNS interno. Da fornire separatamente
Configurazione WireGuard Tecnotel File di configurazione peer, endpoint, allowed IPs, chiave pubblica del server, eventuale DNS interno. Da fornire separatamente
Accesso diretto Unidata IP pubblico 194.183.5.21; eventuali credenziali; eventuale whitelist degli IP sorgenti del Red Team. Da completare
Credenziali applicative Utenze test, privilegi, ruoli, eventuali tenant/bucket/progetti dedicati. Da fornire separatamente
Autorizzazioni operative Finestra di test, attività consentite, attività escluse, contatti di escalation. Da formalizzare
Backup / rollback Conferma disponibilità backup e procedura di ripristino in caso di impatto sui servizi. Da verificare

5. Regole di engagement consigliate

Le seguenti regole devono essere validate e approvate prima dell’avvio del PT.

  • Il test deve essere eseguito esclusivamente sugli asset indicati in perimetro.
  • Eventuali attività DoS, DDoS, stress test, fuzzing aggressivo o saturazione intenzionale di banda/CPU/storage sono escluse salvo autorizzazione esplicita.
  • Non devono essere modificate configurazioni persistenti dei sistemi, salvo necessità concordata e documentata.
  • L’eventuale accesso a dati reali deve essere limitato al minimo indispensabile per dimostrare la vulnerabilità.
  • Le evidenze devono essere raccolte in modo non distruttivo, con timestamp, asset coinvolto, tecnica usata, impatto e raccomandazione.
  • Ogni vulnerabilità critica o possibile compromissione deve essere notificata immediatamente ai referenti di escalation.
  • La consegna del report finale deve includere executive summary, dettaglio tecnico, severità, evidenze, remediation e priorità di intervento.

6. Ambiente OVH

L’ambiente OVH prevede accesso al Penetration Test tramite VPN WireGuard. La SDN risulta interamente dedicata al progetto soggetto a PT. Dallo schema draw.io risultano Proxmox, un firewall Debian con Caddy e una SDN interna dedicata con tag 45.

Inserire qui immagine diagramma OVH
Esempio placeholder: ![Diagramma OVH](./immagini/topologia_ovh.png)

6.1 Dati di accesso e indirizzamento

Parametro Valore
Accesso PT VPN WireGuard dedicata
IP pubblico 54.37.198.19
DNS target [DA COMPILARE]
API target [DA COMPILARE]
SDN Interamente dedicata al progetto soggetto a PT
SDN tag 45
Subnet interna 192.168.45.0/24
Firewall / reverse proxy Debian + Caddy, da confermare
Note accesso [DA COMPILARE: endpoint WireGuard, allowed IPs, eventuale DNS interno, limitazioni di routing]

6.2 Asset interni rilevati

Asset Ruolo / descrizione Note
Proxmox OVH Host/cluster di virtualizzazione Da confermare: versione, interfacce, management exposure, accessi amministrativi esclusi o inclusi nel PT.
Firewall Debian + Caddy Firewall/reverse proxy e possibile termination TLS Da confermare: virtual host, regole NAT, certificati, routing verso VM interne.
VM 192.168.45.10 VM applicativa principale con servizi IAM, database, resource manager, data manager e componenti applicativi Inventario Docker riportato nella sezione 6.4.
VM 192.168.45.11 VM processing / resource manager processing Inventario Docker riportato nella sezione 6.4.
VM 192.168.45.12 VM communication modules / proxy / message broker Inventario Docker riportato nella sezione 6.4.

6.3 Flusso di login - spazio compilabile

Componenti IAM rilevati nell’inventario Docker: ghcr.io/zitadel/zitadel, dashboard-fe, dashboard-be. Il flusso effettivo deve essere confermato prima dell’avvio del PT.

Compilare i seguenti punti:

  • Entry point applicativo: [DA COMPILARE]
  • Identity Provider / IAM: [DA COMPILARE]
  • Componenti coinvolti: [DA COMPILARE]
  • Sequenza di autenticazione: [DA COMPILARE]
  • Redirect / callback URL: [DA COMPILARE]
  • Token / sessione / cookie: [DA COMPILARE]
  • Ruoli e autorizzazioni: [DA COMPILARE]
  • MFA: [DA COMPILARE / N.A.]
  • Password reset / recovery: [DA COMPILARE]
  • Logout / revoca sessione: [DA COMPILARE]
  • Refresh token / durata sessione: [DA COMPILARE]
  • Utenze test da fornire al Red Team: [DA COMPILARE]

6.4 Inventario VM e servizi Docker

Le funzioni dei container devono essere completate o confermate dai referenti tecnici. Le porte con mapping 0.0.0.0 risultano pubblicate sull’host della VM; la reale raggiungibilità dal Red Team dipende da routing, firewall, reverse proxy e regole VPN.

6.4.10 VM 192.168.45.10

Immagine / servizio Docker Porte / mapping Esposizione attesa Funzione e note
gitlab-registry.eagleprojects.cloud/depa-group/resources/resource-manager-2d:test-latest 0.0.0.0:33012->33012/tcp, [::]:33012->33012/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
postgis/postgis:18-3.6 0.0.0.0:33212->5432/tcp, [::]:33212->5432/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
redis:8.2.2 6379/tcp Interna / non pubblicata su host (da verificare) [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/layout-manager:test-latest 0.0.0.0:38181->3000/tcp, [::]:38181->3000/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/object-manager-inventory/om-backoffice:test-latest 0.0.0.0:23112->3000/tcp, [::]:23112->3000/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/utilities/coordinate-converter:test-latest 0.0.0.0:33013->33013/tcp, [::]:33013->33013/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/resource-manager/resourcemanager-be:latest-test 8081/tcp, 0.0.0.0:28081->8080/tcp, [::]:28081->8080/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/resource-manager/customadapters:latest-test 8081/tcp, 0.0.0.0:28083->8080/tcp, [::]:28083->8080/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/object-manager-inventory/oi-om-backend:test-latest 0.0.0.0:53210->3000/tcp, [::]:53210->3000/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/data-flow/data-manager:test-latest 0.0.0.0:33003->3000/tcp, [::]:33003->3000/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/iam/dashboard-fe:test-latest 0.0.0.0:23111->3000/tcp, [::]:23111->3000/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/communication-modules/client-connection-manager:test-latest 0.0.0.0:33005-33006->33005-33006/tcp, [::]:33005-33006->33005-33006/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/communication-modules/command-dispatch-manager:test-latest 0.0.0.0:33004->3002/tcp, [::]:33004->3002/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
timescale/timescaledb-ha:pg17 8008/tcp, 8081/tcp, 0.0.0.0:33203->5432/tcp, [::]:33203->5432/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
postgres:16-alpine 5432/tcp Interna / non pubblicata su host (da verificare) [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/user-service:test-latest 0.0.0.0:23411->3001/tcp, [::]:23411->3001/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
postgres:17.2 0.0.0.0:25433->5432/tcp, [::]:25433->5432/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
postgis/postgis:17-master 0.0.0.0:23432->5432/tcp, [::]:23432->5432/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
postgres:16 0.0.0.0:55432->5432/tcp, [::]:55432->5432/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
mongo:7.0 0.0.0.0:57017->27017/tcp, [::]:57017->27017/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
eqalpha/keydb:alpine 0.0.0.0:6379->6379/tcp, [::]:6379->6379/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
eqalpha/keydb:alpine 6379/tcp Interna / non pubblicata su host (da verificare) [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
bitnami/keydb:6.3.4 6379/tcp Interna / non pubblicata su host (da verificare) [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
redis:7.2 0.0.0.0:56379->6379/tcp, [::]:56379->6379/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
ghcr.io/zitadel/zitadel 0.0.0.0:8080->8080/tcp, [::]:8080->8080/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
gitlab-registry.eagleprojects.cloud/depa-group/iam/dashboard-be:test-latest 0.0.0.0:3000->3000/tcp, [::]:3000->3000/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]

6.4.11 VM 192.168.45.11

Immagine / servizio Docker Porte / mapping Esposizione attesa Funzione e note
gitlab-registry.eagleprojects.cloud/depa-group/resource-manager/processing:latest-test 8081/tcp, 0.0.0.0:28082->8080/tcp, [::]:28082->8080/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]

6.4.12 VM 192.168.45.12

Immagine / servizio Docker Porte / mapping Esposizione attesa Funzione e note
gitlab-registry.eagleprojects.cloud/depa-group/communication-modules/drone-manager:test-latest 0.0.0.0:33011->33011/tcp, [::]:33011->33011/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
redis:8.2.2 0.0.0.0:33311->6379/tcp, [::]:33311->6379/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
rabbitmq:4.2.0-alpine 4369/tcp, 5671-5672/tcp, 15691-15692/tcp, 25672/tcp, 0.0.0.0:33411->1883/tcp, [::]:33411->1883/tcp, 0.0.0.0:33412->15672/tcp, [::]:33412->15672/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]
jc21/nginx-proxy-manager:2.13.4 80/tcp, 443/tcp, 0.0.0.0:8884->8884/tcp, [::]:8884->8884/tcp, 0.0.0.0:8081->81/tcp, [::]:8081->81/tcp Pubblicata su host [DA COMPILARE: funzione del container, dipendenze, dati trattati, endpoint/API esposti]

7. Ambiente Tecnotel

L’ambiente Tecnotel prevede accesso al Penetration Test tramite VPN WireGuard. Dallo schema draw.io risultano Proxmox, un firewall Debian con Caddy, SDN tag 201 e VM interna 192.168.201.2 con servizio MinIO.

Inserire qui immagine diagramma Tecnotel
Esempio placeholder: ![Diagramma Tecnotel](./immagini/topologia_tecnotel.png)

7.1 Dati di accesso e indirizzamento

Parametro Valore
Accesso PT VPN WireGuard dedicata
IP pubblico 93.189.136.86
DNS target https://s3.eagleprojects.cloud/
https://s3-web.eagleprojects.cloud/
API target [DA COMPILARE / N.A.]
SDN tag 201
VM interna 192.168.201.2
Firewall / reverse proxy Debian + Caddy, da confermare
Note accesso [DA COMPILARE: endpoint WireGuard, allowed IPs, eventuale DNS interno, limitazioni di routing]

7.2 Servizi Docker

VM/IP Immagine / servizio Docker Porte / mapping Funzione e note
192.168.201.2 quay.io/minio/minio:RELEASE.2025-04-22T22-12-26Z 0.0.0.0:9000-9001->9000-9001/tcp Servizio MinIO object storage compatibile S3. Porta 9000 tipicamente API S3; porta 9001 tipicamente console web. Confermare eventuale esposizione via Caddy sui DNS target, bucket/tenant in scope, utenze e policy di test.

7.3 Flusso di accesso / login - spazio compilabile

Compilare i seguenti punti:

  • Entry point S3/API: https://s3.eagleprojects.cloud/
  • Entry point console/web: https://s3-web.eagleprojects.cloud/
  • Reverse proxy / TLS termination: [DA COMPILARE]
  • Meccanismo di autenticazione: [DA COMPILARE]
  • Utenze / access key / secret key test: [DA FORNIRE SEPARATAMENTE]
  • Ruoli / policy / bucket in scope: [DA COMPILARE]
  • Operazioni consentite durante PT: [DA COMPILARE: list, read, write, delete, presigned URL, admin API, ecc.]
  • Limiti su upload/download/delete: [DA COMPILARE]
  • Logging e audit: [DA COMPILARE]

8. Ambiente Unidata

Per l’ambiente Unidata verranno forniti l’IP pubblico e l’accesso diretto alla VM tramite IP pubblico. Il DNS da testare è https://www.eaglelive.tv/. È previsto uno spazio compilabile per descrivere il flusso di login e il ruolo di Ant Media.

Inserire qui immagine diagramma Unidata, se disponibile
Esempio placeholder: ![Diagramma Unidata](./immagini/topologia_unidata.png)

8.1 Dati di accesso e indirizzamento

Parametro Valore
Accesso PT Accesso diretto alla VM tramite IP pubblico
IP pubblico 194.183.5.21
DNS target https://www.eaglelive.tv/
API target [DA COMPILARE / N.A.]
VPN Non prevista dai dettagli forniti; accesso diretto via IP pubblico
VM / hostname interno [DA COMPILARE]
Porte pubblicate [DA COMPILARE]
Note accesso [DA COMPILARE: eventuale whitelist IP sorgenti, credenziali, limitazioni di test]

8.2 Flusso di login - spazio compilabile

Compilare i seguenti punti:

  • Entry point applicativo: https://www.eaglelive.tv/
  • Applicazione / servizio principale: [DA COMPILARE]
  • Ruolo di Ant Media nel flusso: [DA COMPILARE]
  • Meccanismo di autenticazione: [DA COMPILARE]
  • Sessione / token / cookie: [DA COMPILARE]
  • Ruoli e privilegi: [DA COMPILARE]
  • Pannello amministrativo: [DA COMPILARE / N.A.]
  • API coinvolte: [DA COMPILARE / N.A.]
  • MFA: [DA COMPILARE / N.A.]
  • Password reset / recovery: [DA COMPILARE / N.A.]
  • Logout / revoca sessione: [DA COMPILARE]
  • Utenze test da fornire al Red Team: [DA FORNIRE SEPARATAMENTE]

8.3 Servizio Ant Media - spazio compilabile

Compilare i seguenti punti:

  • Servizio / immagine Docker / installazione: [DA COMPILARE]
  • Versione: [DA COMPILARE]
  • Porte esposte: [DA COMPILARE]
  • Protocolli esposti: [DA COMPILARE: RTMP, WebRTC, HLS, REST API, dashboard, ecc.]
  • Funzione nel sistema: [DA COMPILARE]
  • Tipologia di stream trattati: [DA COMPILARE]
  • Autenticazione stream / dashboard / API: [DA COMPILARE]
  • Storage / registrazioni / retention: [DA COMPILARE]
  • Integrazioni con altri servizi: [DA COMPILARE]
  • Dati personali o sensibili trattati: [DA COMPILARE / N.A.]
  • Operazioni consentite durante PT: [DA COMPILARE]

9. Evidenze e output attesi dal Red Team

Output Contenuto atteso
Kick-off / piano di test Perimetro validato, finestre operative, approccio metodologico, vincoli e canali di comunicazione.
Segnalazioni immediate Notifica tempestiva di vulnerabilità critiche, compromissioni, esposizione dati o impatti sui servizi.
Report tecnico Asset, vulnerabilità, severità, CVSS, descrizione tecnica, evidenze, impatto, exploitability, remediation.
Executive summary Sintesi manageriale dei risultati, rischio complessivo, priorità e raccomandazioni.
Appendice evidenze Screenshot, log, request/response, payload, timestamp, IP sorgente, IP target, account usati.
Retest Verifica delle remediation applicate, con stato chiuso/aperto/parzialmente risolto.