Dmz e rede interna ?

[robsoncb]

Olá Pessoal uma dúvida de DMZ, se eu montar uma DMZ, haveria risco de eu colocar ela se comunicando com a minha rede interna ? Principalmente para algumas cpu´s de usuários e uns 2 servidores ?
Ou ela deve ficar isolada da minha rede interna para não favorecer ataques ?
Robson.

[seraosr]

Ola amigo, eu sugeria assim:

usar apenas endereços 10.0.0.x
Ou seja, a dmz por exemplo em 10.4.4.x e a rede interna 10.4.5.x e teres o servidor de internet por exemplo 10.4.6.x com as devidas rotas configuradas. Acrescento, que poria o servidor de internet apenas a aceder à DMZ por ambiente trablaho remoto,.. ou com permissoes de acesso mto restritas, em vez de colocar o servidor de internet na dmz

[danielmuskitim]

Acho que tudo depende da configuração do seu firewall.

Eu aconselho voce colocar a DMZ com IP de rede diferente da rede interna. E então fazer uma boa configuração de rotas no seu firewall.
Uso assim e nunca tive problemas.

[robsoncb]

Na verdade pessoal é o seguinte, essa servidor que ficaria na DMZ. Iria ser usado para hospedar um "programa de telemarketing", pois é uma máquina que está "disponível no local com W2003 e Bom Hardware", por isso a "questão de tentar usá-la". "Agora ela está fora da minha rede justamente por isso, muitos acessos externos". Esse servidor em questão tem um programa de cadastros, que pessoas externas acessam fora da minha rede, está ligado num ADSL da vida.
Enfim, o programa do telemarketing em questão teria ter que falar com minha rede interna, para os usuários na cpu´s A, B e C usarem o software do telemarketing.
Então por isso levantei essa questão de colocar esse servidor falando com cpu´s da minha rede interna.
Bom, pelo que notei todos me falaram que é possível, mas tem que ter cuidado correto !

Mas agora a dúvida é se o servidor da DMZ pode falar "só com essas cpu´s da minha rede interna A, B e C" que vão utilizar o software do telemarketing, ou tem que "falar com a rede toda sem excessão ?"
Como não vou usar nehum serviço comum como www, e-mail. Talvez tenha que liberar muitas portas não sei ainda, "isso já é um fator que complica a segurança da DMZ ?"

[seraosr]

O que tu tens a fazer é:

colocar essa maquina com um ip ex: 10.4.256.7 e criar uma rota no w2003, swicht (VLAN)e router, o que houver entre a maq. e a tua rede, e criar a rota correcta.

Essa maq. nunca vai estar na rede interna, e para acessar ao programa de telemarkting, usas o remote desktop.

Cria um utilzador no w2003 especifico, com password do estilo "@ce550@t3l3marting!" pq vai estar exposta no exterior.

[robsoncb]

O que tu tens a fazer é:

colocar essa maquina com um ip ex: 10.4.256.7 e criar uma rota no w2003, swicht (VLAN)e router, o que houver entre a maq. e a tua rede, e criar a rota correcta.

Essa maq. nunca vai estar na rede interna, e para acessar ao programa de telemarkting, usas o remote desktop.

Cria um utilzador no w2003 especifico, com password do estilo "@ce550@t3l3marting!" pq vai estar exposta no exterior.

Ok. Sua idéia é boa.

Só que minha rede interna está atrás de um firewall assim:

firewall linux -> servidores -> rede interna.

Tenho um problema:
O que rodaria nesse servidor seria a versão "server do software de telemarketing", e as "estações rodariam os clientes", com telas gráficas e tal. Talvez o acesso tenha que ser direto entre o servidor e os clientes nas estações. Ainda não consultei a empresa do software, mas estou supondo isso.
Dessa forma se for o caso de colocar o servidor na DMZ com ip 10.4.4.x e a rede interna 10.4.5.x, com rotas configuradas no servidor da DMZ para cpu´s da rede interna acessarem o software do servidor de telemarketing, como se fosse um servidor de arquivos da vida.

Será que isso já comprometeria a segurança da DMZ ? Pois numa invasão o acesso a rede interna já seria direto, correto !

[danielmuskitim]

Cara pra isso que você quer fazer, basta umas boas regras no iptables.
Por exemplo: Se voce quer que apenas as maquinas A, B e C se comuniquem com um servidor da DMZ, basta adicionar uma regra no iptables dizendo que "pedidos conexoes vindas da maquina A, B ou C na porta tal deve ser direcionado para o computador da DMZ. Caso seja de qualquer outra maquina, bloqueie.".

Pronto, sua rede estará segura ainda, pois ainda estará bloqueando qualquer tentativa de acesso vindo da internet.