-
Dmz
Witam
Mam kilka pytań odnośnie DMZ. Czytałem, że jest to wydzielony obszar na Firewallu. Właśnie nie bardzo tego rozumiem. Jeśli przyjmiemy poniższy schemat:
[internet] ------> [server DMZ] -------> [sieć firmowa]
gdzie:
[server DMZ] = serwer exchange
1. To o co chodzi z tym firewallem ? Na czym to ma być wydzielony obszar ?przecież każdy komp ma swojego firewalla - ewentualnie kontorlowanego przez polisy.
2. Podobno potencjany włamywacz nie ma dostępu z DMZu do LANu. Dlaczego ?
-
[internet]
|
|
[Firewall]
| |
LAN DMZ
Firewall ma 3 interfejsy (Internet, DMZ, LAN).
W DMZ są serwery komunikujące się z Internetem oraz pozostałymi serwerami z DMZ, a w ograniczonym stopniu z LAN. Ograniczenie "DMZ - LAN" ma chronic sieć wewnetrzna w przypadku dobrania sie do DMZ.
-
1 załącznik(i)
Tak, na przykład:
Załącznik 367
-
Firewall moze miec bardzo duzo interfejsow tak na prawde ale zawsze jest to minimum dwa. Dla uproszczenia, niech kazdy interfejs to bedzie osobna podsiec. Firewall filtruje ruch pomiedzy sieciami tak samo jak to robi z ruchem z/do internetu.
Dla obrazowego przykladu:
Na wykresie nie ma tuneli VPN dajacych mi dostep do systemu itd ale tunele VPN sa traktowane tak samo jak kazdy inny interfejs na firewall'u - mozna okreslic do czego jest dostep a do czego ni ema. Konfiguracja ruchu jest taka:
1. Internet - dostepny w ograniczonym zakresie z sieci Management i Hosting
2. Hosting - dostepny z internetu (wybrane uslugi) oraz z Management
3. Management - dostep TYLKO przez VPN
4. BSides CTF - 80/tcp z internetu, wszystko inne przez VPN administracyjny (OpenVPN lub IPSec do wyboru)
5. SANS Mentor LAB - tylko przez OpenVPN udostepniony studentom
Masz podane co dostepne z jakiej sieci. Wszystko pozostale zablokowane kompletnie. Nie ma roznicy LAN/DMZ - kazda siec to LAN, niektore jednak maja nieco wiecej funkcji niz inne no i oczywiscie na WAN mam kilka adresow IP wiec moge miec spokojnie klika roznych serwerow www.
Ma sens?
-
Czy w takim razie DMZ to każdy komputer w sieci np:firmowej do którego jest bezpośredni dostęp z zewnątrz ?
i świadczący różne usługi: telnet, ftp czy smtp
-
DMZ to nie komputer (choc wiele domowych routerkow ma takie cos jak 'DMZ host') - to cala siec wyznaczona jak siec o nizszym poziomie bezpieczenstwa bo jest dostepna z innej sieci (internet, inny lan, itp - ogolnie siec dla serwerow i uslug).
-
Tak TQM zły skrót myślowy, wiem, że to nie komp a wydzielony obszar sieci. To zapytam inaczej - czy każdy komputer w sieci firmowej, który da się zpingować z zewnątrz jest w strefie DMZ ?
-
Nie mozesz tego tak rozpatrywac doslownie. To ze maszyna jest dostepna z zewnatrz nie znaczy ze jest w DMZ - moze byc w LAN bo masz cos zle skonfigurowane albo w ogole nie masz firewall'a.
1. Zaden komputer w firmie nie powinien odpowiadac na ZADNE pakiety (nie tylko pingi) z zewnatrz jesli sam nie zainicjowal polaczenia. Jesli jest dostepny z internetu to na prawde jest zle...
2. Komputery biurowe powinny byc w jednej sieci - nazwijmy ja LAN
3. Serwery firmowe (wewnetrzne) takie jak serwer plikow, drukarki itp umieszcza sie w drugiej sieci - jak ja nazwiesz to Twoja sprawa. Dostep z LAN do tej sieci idzie przez firewall abys mogl kontrolowac dostep do uslug.
4. Teraz siec z osobnymi serwerami, tymi ktore dostepne sa z internetu, np serwer poczty i serwer WWW. To jest wlasciwy DMZ.
5. Ostatnia siec to internet...
LAN ma dostep do uslug DMZ czyli pracownicy moga zobaczyc strony WWW i maja dostep do poczty. Serwery wewnetrzne sa dostepne TYLKO z sieci LAN i jesli jest taka potrzeba to moga mec dostep do DMZ choc najczesciej nie jest to konieczne.