Pokaż wyniki 1 do 8 z 8

Temat: Dmz

  1. #1
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie Dmz

    Witam

    Mam kilka pytań odnośnie DMZ. Czytałem, że jest to wydzielony obszar na Firewallu. Właśnie nie bardzo tego rozumiem. Jeśli przyjmiemy poniższy schemat:

    [internet] ------> [server DMZ] -------> [sieć firmowa]

    gdzie:
    [server DMZ] = serwer exchange

    1. To o co chodzi z tym firewallem ? Na czym to ma być wydzielony obszar ?przecież każdy komp ma swojego firewalla - ewentualnie kontorlowanego przez polisy.

    2. Podobno potencjany włamywacz nie ma dostępu z DMZu do LANu. Dlaczego ?

  2. #2
    Zarejestrowany
    Dec 2009
    Postów
    8

    Domyślnie

    [internet]
    |
    |
    [Firewall]
    | |
    LAN DMZ


    Firewall ma 3 interfejsy (Internet, DMZ, LAN).
    W DMZ są serwery komunikujące się z Internetem oraz pozostałymi serwerami z DMZ, a w ograniczonym stopniu z LAN. Ograniczenie "DMZ - LAN" ma chronic sieć wewnetrzna w przypadku dobrania sie do DMZ.

  3. #3
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    Tak, na przykład:
    SCH.gif
    ***********
    * markossx *
    ***********

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Firewall moze miec bardzo duzo interfejsow tak na prawde ale zawsze jest to minimum dwa. Dla uproszczenia, niech kazdy interfejs to bedzie osobna podsiec. Firewall filtruje ruch pomiedzy sieciami tak samo jak to robi z ruchem z/do internetu.

    Dla obrazowego przykladu:


    Na wykresie nie ma tuneli VPN dajacych mi dostep do systemu itd ale tunele VPN sa traktowane tak samo jak kazdy inny interfejs na firewall'u - mozna okreslic do czego jest dostep a do czego ni ema. Konfiguracja ruchu jest taka:

    1. Internet - dostepny w ograniczonym zakresie z sieci Management i Hosting
    2. Hosting - dostepny z internetu (wybrane uslugi) oraz z Management
    3. Management - dostep TYLKO przez VPN
    4. BSides CTF - 80/tcp z internetu, wszystko inne przez VPN administracyjny (OpenVPN lub IPSec do wyboru)
    5. SANS Mentor LAB - tylko przez OpenVPN udostepniony studentom

    Masz podane co dostepne z jakiej sieci. Wszystko pozostale zablokowane kompletnie. Nie ma roznicy LAN/DMZ - kazda siec to LAN, niektore jednak maja nieco wiecej funkcji niz inne no i oczywiscie na WAN mam kilka adresow IP wiec moge miec spokojnie klika roznych serwerow www.

    Ma sens?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    Czy w takim razie DMZ to każdy komputer w sieci np:firmowej do którego jest bezpośredni dostęp z zewnątrz ?

    i świadczący różne usługi: telnet, ftp czy smtp

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    DMZ to nie komputer (choc wiele domowych routerkow ma takie cos jak 'DMZ host') - to cala siec wyznaczona jak siec o nizszym poziomie bezpieczenstwa bo jest dostepna z innej sieci (internet, inny lan, itp - ogolnie siec dla serwerow i uslug).
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    Tak TQM zły skrót myślowy, wiem, że to nie komp a wydzielony obszar sieci. To zapytam inaczej - czy każdy komputer w sieci firmowej, który da się zpingować z zewnątrz jest w strefie DMZ ?

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nie mozesz tego tak rozpatrywac doslownie. To ze maszyna jest dostepna z zewnatrz nie znaczy ze jest w DMZ - moze byc w LAN bo masz cos zle skonfigurowane albo w ogole nie masz firewall'a.

    1. Zaden komputer w firmie nie powinien odpowiadac na ZADNE pakiety (nie tylko pingi) z zewnatrz jesli sam nie zainicjowal polaczenia. Jesli jest dostepny z internetu to na prawde jest zle...
    2. Komputery biurowe powinny byc w jednej sieci - nazwijmy ja LAN
    3. Serwery firmowe (wewnetrzne) takie jak serwer plikow, drukarki itp umieszcza sie w drugiej sieci - jak ja nazwiesz to Twoja sprawa. Dostep z LAN do tej sieci idzie przez firewall abys mogl kontrolowac dostep do uslug.
    4. Teraz siec z osobnymi serwerami, tymi ktore dostepne sa z internetu, np serwer poczty i serwer WWW. To jest wlasciwy DMZ.
    5. Ostatnia siec to internet...

    LAN ma dostep do uslug DMZ czyli pracownicy moga zobaczyc strony WWW i maja dostep do poczty. Serwery wewnetrzne sa dostepne TYLKO z sieci LAN i jesli jest taka potrzeba to moga mec dostep do DMZ choc najczesciej nie jest to konieczne.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52