Preciso criar uma DMZ , gostaria de saber se alguem tem alguma tutorial que possa me ajudar. Já procurei no google so e nao encontrei nada que pudesse me ajutar.
Grato pela atenção
Leandro
-
24-03-2005, 23:54 #1
- Ingresso
- Nov 2004
- Posts
- 364
DMZ
-
25-03-2005, 00:47 #2
- Ingresso
- Jan 2005
- Posts
- 363
DMZ
Qual seria a função da DMZ? O que você pretende por nela?
-
25-03-2005, 10:45 #3
- Ingresso
- Nov 2004
- Posts
- 364
DMZ
Preciso acessa um servidor web e um de banco de dados que ficam atraz do firewall, e outra precisso cessar as maquinas da minha rede por ssh.
-
25-03-2005, 11:05 #4nettVisitante DMZ
Amiguinho, vamos lá, temos diversas maneiras de se construir uma DMZ ( demilitarized zone) tudo depende de quanto está disposto a investir.
Para aplicaçoes web, ftp e outros servicos que estao abertos para internet. Voce pode criar uma rede especifica para esses servicos e no seu firewall voce criar regras de NAT, para mandar os pacotes para sua DMZ, entao o end. do seu web server é 192.168.0.1 e o seu IP valido é 200.221.41.222 entao no firewall voce faz un NAT para todos os pacotes que entrarem pela porta 80 irao para 192.168.0.1.
Isso já uma boa forma de se construir uma DMZ simples. Mas já é alguma coisa.
Agora, voce pode ter um IDS antes do seu Firewall como Honey Spot, depois um roteador, depois um firewall e sua DMZ. essa já seria uma estrutura mais complexa e cara, mas com alto grau de segurança.Mas o que voce precisa ter em mente é que nenhum sistema é 100% seguro. E sim mais dificil de ser invadido, com regras de mascaramento ( NAT ) voce pode complicar muito as coisas.
Espero ter ajudado.
-
25-03-2005, 13:59 #5
- Ingresso
- Jan 2005
- Posts
- 363
DMZ
Seguinte leo_jfa...
Quando você diz: "preciso acessar", você quer dizer que gostaria de prover o serviço do servidor web externamente para o mundo todo, correto?
Se sim, então realmente precisa de uma DMZ.
Esse seria +/- o desenho da sua rede com DMZ:
. . . . . . . . INTERNET
. . . . . . . . . . . |
. . . . . . . . . . . |
. . . . . . . . FIREWALL -------- DMZ
. . . . . . . . . . . |
. . . . . . . . . . . |
. . . . . . . REDE LOCAL
ps: ignore os "." :P
Agora você tem que ver alguns detalhes:
1) Você tem IPs validos disponiveis? Quantos? Se tiver IPs suficientes você pode distribui-los na sua DMZ. Se não tiver IPs validos disponiveis, tudo bem, pode ser feito com IP frio mesmo, mas utilizando NAT.
2) Seu Banco de Dados, ele pode ficar na DMZ? Ele tem acesso da rede local, ou apenas é acessado pelo servidor web?
3) Essa necessidade de acessa SSH das maquinas da rede local... Você queria acessar de qualquer lugar? Ou de um ponto especifico?
Aguardo news :P
-
25-03-2005, 14:51 #6
- Ingresso
- Nov 2004
- Posts
- 364
DMZ
Com relação ao ssh preciso das duas situações, de um local específico e de qualquer local. O desenho da DMZ é exatamente o que estou precisando.
Eus o tenho 1 IP fixo o resto e frio, o meu roteador vai reslamete ter q fazer NAT. Quanto ao banco de dados nao axo baom que ele fique na DMZ por eu usar uma maquina mais fraca (k6-2 500) enquanto que a maquina onde o banco ja esta instalado é uma semprom 3.2 GHZ. Como devo proceder .
tenho um roteador pentium 200 com 3 placas de rede D-Link 530TX e o coyote linux instalado. Como devo proceder para criar a DMZ nesse caso.
-
25-03-2005, 16:46 #7
- Ingresso
- Jan 2005
- Posts
- 363
DMZ
Bem...
Postado originalmente por leo_jfa
1) não recomendo você permitir SSH para rede interna exposto para 0.0.0.0, se for de um ponto fixo tudo bem pois se pode criar regra de PREROUTING permitindo apenas desse ponto.
2) Não entendi bem a questão do banco de dados, que maquina é essa k6-2 500? A ideia do banco ficar dentro da DMZ é que o banco só sirva para comunicar com o web, o ideal que estejam isolados.
3) Roteador Coyote (Linux) para fazer DMZ está fora de cogitação. Ele é muito limitado, e você para sua DMZ precisaria de além de um roteador, teria que ter um firewall completo tendo acesso a todos os recursos do iptables e IDS ativo.
-
26-03-2005, 00:40 #8
- Ingresso
- Nov 2004
- Posts
- 364
DMZ
Tudo bem a parte do coyote eu ja tinha imaginado haja visto suas limitações, a parte do banco de dados eu lhe peço desculpas pois entendi mal o que vc tinha expalndao anteriormente, a ideia e como vc realmebte citou em seu ultimo post:
"2) Não entendi bem a questão do banco de dados, que maquina é essa k6-2 500? A ideia do banco ficar dentro da DMZ é que o banco só sirva para comunicar com o web, o ideal que estejam isolados". A questao do SSH e exigencia do cliente uma vez q ele ker acessar o servidor de qualquer ponto do planeta.
-
26-03-2005, 01:26 #9
- Ingresso
- Jan 2005
- Posts
- 363
DMZ
O SSH será para acessar um servidor dentro da sua rede-local? Você administra esse servidor também? A preocupação disso fica por parte da segurança, principalmente se ela for feita apenas por esse cara que irá acessar remotamente, já que via SSH pode ser fazer uma "FESTA"... Se isso for feito, para diminuir as chances de problemas, deverão ser tomados alguns cuidados como: Postado originalmente por leo_jfa
1) Garantir um IDS bem configurado no Firewall
2) Redirecionar alguma porta alta de serviço desconhecido e não a 22 para o servidor na rede, ex.: redirecionar para quando bater no ip valido na porta 31701 vá para o 22 no servidor da rede local com ip frio.
3) No servidor dentro da rede local, configurar o sshd de forma que não permita login do root (permitrootlogin no), tenha que ser logado com um usuario especifico que não de sistema, e apenas esse usuario tenha acesso (allowusers <usuario>), e que utilize uma senha forte (possua caracteres maisculos,minusculos,numeros e caracteres especiais, maior que 10 digitos).
3.1) Se quiser reforçar mais, configure o su de forma que apenas esse usuario possa utiliza-lo...
3.2) Ainda mais...se você quiser ter controle das vezes desses logins no servidor, insira uma linha no /etc/bashrc, para que seja enviado um email (ou gravado log local em arquivo separado) cada vez que logarem via ssh ou console no servidor.
4) Ele precisa mesmo acessar do MUNDO todo? ou apenas no Brasil? Se for apenas no Brasil também pode se fazer essas regras de redir, apenas permitindo a origem 200.0.0.0/8 e 201.0.0.0/8....
Beleza?
-
26-03-2005, 01:50 #10
- Ingresso
- Nov 2004
- Posts
- 364
DMZ
Mio q isso so dois disso, muiot obrigrado pela atenção e pela paciencia, agente se esbarra por ia. Valeu.
-
07-04-2005, 21:33 #11FrizoVisitante Ótima ajuda
Dropall, agradeço muito suas citações referente a 200.0.0.0/8 e 201.0.0.0/8
Eu vinha sofrendo ataques diários ao meu SSH e não sabia como liberar "somente" para o Brasil.
Tentei 200.0.0.0/24 e 201.0.0.0/24, 200.0.0.0/18 e 201.0.0.0/18 e mais um monte de coisas, menos 200.0.0.0/8 e 201.0.0.0/8.
Tem alguma literatura sobre o por que desses números?
Muito obrigado,
Bruno
-
07-04-2005, 22:39 #12
- Ingresso
- Jan 2005
- Posts
- 363
DMZ
Existe em qualquer literatura basica de redes... :P
Esse numero depois da / eh a "mascara" da rede, que no caso /8
eh: 255.0.0.0
/8 = 255.0.0.0
/16 = 255.255.0.0
/24 = 255.255.255.0
/32 = 255.255.255.255 (esse tipo é mascara fechada, só vale para 1 unico ip, aquele que você estipulou antes da barra)
Quando digo 201.0.0.0/8, estou dizendo que vale apenas para os IPs que comecem com 201.x.x.x, ou seja 201.0.0.0 ate 201.255.255.255...
Se uso 201.0.0.0/16, vale: 201.0.0.0.0 a 201.0.255.255, e assim por diante... Enquanto quando você usava permissao no iptables apenas para 201.0.0.0/24 só liberava rede brasileira, o problema era que só permitia acessar quem tivesse a faixa de IP: 201.0.0.0 a 201.0.0.255, meio dificil de se achar e muito restringivel.... :P O que devia acontecer era que você não conseguia acessar depois de levantar essa regra
Para DETALHES só procurar qualquer coisa no google "ip rede mascara", ai você vai aprender o A B C de rede/mascara, com direito a contar bits de mascara e etc :P hehehe
[]s! :good:
Citação