DMZ (DeMilitarized Zone)

[serpico75]

Καλημέρα.

Όταν φτιάξω ένα firewall με DMZ, στη DMZ θα βάλω ένα proxy server (bastion).

Εάν έχω κι άλλους servers να τοποθετήσω, π.χ. file server, database server, application server, ERP server, mail server, κ.λπ., αυτούς θα τους τοποθετήσω στη DMZ ή στο εσωτερικό LAN (intranet) που προστατεύει το firewall που έχω χτίσει;

Ευχαριστώ.

[DJD]

Στην DMZ θα βάλεις servers που θέλεις να μπορούν να είναι προσβάσιμοι από το internet ή από ips έξω από το εσωτερικό σου δίκτυο, webmail πχ. Πίσω από το firewall θα έχεις όλους τους υπόλοιπους. Ιδανικά θα έχεις ένα (ή πολλά) firewall μπροστά από την DMZ κι ένα μεταξύ DMZ και lan.

[serpico75]

Απ' ό,τι ξέρω, το firewall με DMZ φτιάχνεται: exterior screening router - DMZ - interior screening router.

Αυτά τα τρία συνθέτουν ολόκληρο το firewall.

Όταν λες ότι το ιδανικό είναι να έχω ένα (ή πολλά firewall) πριν τη DMZ, εννοείς πολλά screening router ή κάτι άλλο;

thanks

[DJD]

Βασικά εξαρτάται για τι μέγεθος εταιρείας μιλάμε. Αν απλά θα βάλεις ένα adsl router και παίξεις με την DMZ που έχουν, δε μπορείς να κάνεις και πολλά.

Αυτό που εννοώ είναι Firewall<->DMZ<->Firewall<->Lan. Αναλόγως πάλι το μέγεθος της εταιρείας πίσω από το πρώτο firewall μπορείς να έχεις load balancers, IDS κτλ κτλ.

Για το αρχικό σου ερώτημα, ο proxy καλό είναι να μπει στην DMZ και όλοι οι υπόλοιποι servers (που δεν θέλεις να είναι προσβάσιμοι από το internet) εκτός αυτής.

[serpico75]

Μιλάμε για εταιρεία με 60 άτομα και να βάλω ένα aDSL router.

Θα ξαναθέσω το ερώτημα γιατί ακόμα δεν το κατάλαβα. Λες:

Firewall<->DMZ<->Firewall<->Lan

Μήπως αυτό που εννοείς είναι:

exterior screening router<->DMZ<->interior screening router<->Lan

και στον κάθε screening router έχουμε το ανάλογο packet filtering;

[DJD]

Δεν έχω μιλήσει για routers αλλά για να μη μπερδεύομαστε, τι ακριβώς εξοπλισμό έχεις διαθέσιμο;

[serpico75]

router(s), switch(es)

[DJD]

Από την εμπειρία μου έχω δει δύο τρόπους που παίζουν τα απλά adsl routers με τις DMZ, είτε τις αφήνουν εντελώς στον αέρα στο Internet κάνοντας στην ουσία bypass το firewall είτε τις βάζουν πίσω από το ίδιο firewall κι εσύ απλά επιλέγεις τι πόρτες θα ανοίξει. Το θέμα είναι ότι αυτά τα routers δεν είναι ιδιαίτερα ευέλικτα στο να διαχειριστούν ένα σχετικά πολύπλοκο δίκτυο.

Τα switches που έχεις υποστηρίζουν layer3;

Ξέρω ότι περιπλέκω τα πράγματα και δεν απαντάω άμεσα στην ερώτηση σου αλλά από linux πως πάς; Υπάρχουν αξιόλογα linux firewalls (και δωρεάν - http://www.smoothwall.org/get/index.php) τα οποία θα σου κάνουν τη ζωή πιο εύκολη και πιο ασφαλή. Θα χρειαστείς ένα σχετικά μικρό pc-άκι και 3-4 ethernets ανάλογα το πως θέλεις να το σχεδιάσεις.

Σε αυτή τη περίπτωση θα είσαι κάπως έτσι:

Αν ήδη σε έχω κουράσει, ο τρόπος που το λες router->dmz->router->lan είναι μια χαρά για ότι έχεις εκεί.

[serpico75]

Ναι, τα switch είναι layer3. Όσο για Linux, δυστυχώς δεν έχω ασχοληθεί ποτέ.

Οπότε, απ' ό,τι κατάλαβα, η λύση είναι το σχήμα σου και να αρχίσω να ανοίγω πόρτες που χρειάζονται.

Να βάλω δηλαδή στη DMZ μόνο mail server και ν' ανοίξω πόρτα και όλα τ' άλλα μέσα στο LAN.

Όσο για την κούραση που αναφέρεις, no problem..

[trendy]

Αν τα switch είναι layer3 τότε είναι router

Το νόημα της DMZ είναι να έχεις μία ζώνη στο firewall προσπελάσιμη από το internet για συγκεκριμένη χρήση, πχ mail server, web server, και το υπόλοιπο εσωτερικό σου δίκτυο να είναι κομμένο και να επιτρέπεται η πρόσβαση προς τα έξω μόνο.

[serpico75]

Αφού επιτρέπεται η πρόσβαση μόνο προς τα έξω, τα mail που θα λαμβάνει ο mail server, που βρίσκεται στη MDZ, και τα οποία mail θα είναι για τους χρήστες του εσωτερικού LAN, αυτοί δε θα μπορούν να τα λάβουν αφού η πρόσβαση είναι μονόδρομη (LAN->internet);

[johnysb]

Μπορεις να δεις και απο το LAN το DMZ ,βαλε ομως ενα firewall αναμεσα σε LAN και DMZ και χρησιμοποιησε https στη σελιδα του exchange.

Eπισης μπορουν να βλεπουν τα mail και μεσω net,xωρις καποια αλλη παραμετροποιηση.

[serpico75]

Eπισης μπορουν να βλεπουν τα mail και μεσω net,xωρις καποια αλλη παραμετροποιηση.

Εντάξει, αυτή τη λύση την είχα σκεφτεί (μέσω Web), αλλά, επειδή βέβαια μιλάμε για POP3, θέλω να κατεβαίνουν τα mail στο PC κάθε χρήστη (Outlook Express, Outlook, κ.τ.λ., κ.τ.λ.).

[trendy]

Αφού επιτρέπεται η πρόσβαση μόνο προς τα έξω, τα mail που θα λαμβάνει ο mail server, που βρίσκεται στη MDZ, και τα οποία mail θα είναι για τους χρήστες του εσωτερικού LAN, αυτοί δε θα μπορούν να τα λάβουν αφού η πρόσβαση είναι μονόδρομη (LAN->internet);

Θα μπορούν κανονικότατα, η κίνηση LAN->DMZ επιτρέπεται επίσης!

Να διευκρινήσω ότι όταν λέμε για κίνηση που επιτρέπεται, αναφερόμαστε στο πρώτο πακέτο που "ανοίγει" τη σύνδεση. Οπότε τα υπόλοιπα πακέτα που ανήκουν σε αυτή τη σύνδεση περνάνε από το firewall είτε ανήκουν στη ροή LAN->DMZ είτε στην DMZ->LAN.