+ Responder ao Tópico

DMZ



  1. #1

    Padrão DMZ

    Preciso criar uma DMZ , gostaria de saber se alguem tem alguma tutorial que possa me ajudar. Já procurei no google so e nao encontrei nada que pudesse me ajutar.

    Grato pela atenção

    Leandro

  2. #2

    Padrão DMZ

    Qual seria a função da DMZ? O que você pretende por nela?



  3. #3

    Padrão DMZ

    Preciso acessa um servidor web e um de banco de dados que ficam atraz do firewall, e outra precisso cessar as maquinas da minha rede por ssh.

  4. #4
    nett
    Visitante

    Padrão DMZ

    Amiguinho, vamos lá, temos diversas maneiras de se construir uma DMZ ( demilitarized zone) tudo depende de quanto está disposto a investir.
    Para aplicaçoes web, ftp e outros servicos que estao abertos para internet. Voce pode criar uma rede especifica para esses servicos e no seu firewall voce criar regras de NAT, para mandar os pacotes para sua DMZ, entao o end. do seu web server é 192.168.0.1 e o seu IP valido é 200.221.41.222 entao no firewall voce faz un NAT para todos os pacotes que entrarem pela porta 80 irao para 192.168.0.1.
    Isso já uma boa forma de se construir uma DMZ simples. Mas já é alguma coisa.
    Agora, voce pode ter um IDS antes do seu Firewall como Honey Spot, depois um roteador, depois um firewall e sua DMZ. essa já seria uma estrutura mais complexa e cara, mas com alto grau de segurança.Mas o que voce precisa ter em mente é que nenhum sistema é 100% seguro. E sim mais dificil de ser invadido, com regras de mascaramento ( NAT ) voce pode complicar muito as coisas.

    Espero ter ajudado.



  5. #5

    Padrão DMZ

    Seguinte leo_jfa...

    Quando você diz: "preciso acessar", você quer dizer que gostaria de prover o serviço do servidor web externamente para o mundo todo, correto?

    Se sim, então realmente precisa de uma DMZ.

    Esse seria +/- o desenho da sua rede com DMZ:

    . . . . . . . . INTERNET
    . . . . . . . . . . . |
    . . . . . . . . . . . |
    . . . . . . . . FIREWALL -------- DMZ
    . . . . . . . . . . . |
    . . . . . . . . . . . |
    . . . . . . . REDE LOCAL

    ps: ignore os "." :P

    Agora você tem que ver alguns detalhes:
    1) Você tem IPs validos disponiveis? Quantos? Se tiver IPs suficientes você pode distribui-los na sua DMZ. Se não tiver IPs validos disponiveis, tudo bem, pode ser feito com IP frio mesmo, mas utilizando NAT.
    2) Seu Banco de Dados, ele pode ficar na DMZ? Ele tem acesso da rede local, ou apenas é acessado pelo servidor web?
    3) Essa necessidade de acessa SSH das maquinas da rede local... Você queria acessar de qualquer lugar? Ou de um ponto especifico?

    Aguardo news :P

  6. #6

    Padrão DMZ

    Com relação ao ssh preciso das duas situações, de um local específico e de qualquer local. O desenho da DMZ é exatamente o que estou precisando.
    Eus o tenho 1 IP fixo o resto e frio, o meu roteador vai reslamete ter q fazer NAT. Quanto ao banco de dados nao axo baom que ele fique na DMZ por eu usar uma maquina mais fraca (k6-2 500) enquanto que a maquina onde o banco ja esta instalado é uma semprom 3.2 GHZ. Como devo proceder .
    tenho um roteador pentium 200 com 3 placas de rede D-Link 530TX e o coyote linux instalado. Como devo proceder para criar a DMZ nesse caso.



  7. #7

    Padrão DMZ

    Citação Postado originalmente por leo_jfa
    Com relação ao ssh preciso das duas situações, de um local específico e de qualquer local. O desenho da DMZ é exatamente o que estou precisando.
    Eus o tenho 1 IP fixo o resto e frio, o meu roteador vai reslamete ter q fazer NAT. Quanto ao banco de dados nao axo baom que ele fique na DMZ por eu usar uma maquina mais fraca (k6-2 500) enquanto que a maquina onde o banco ja esta instalado é uma semprom 3.2 GHZ. Como devo proceder .
    tenho um roteador pentium 200 com 3 placas de rede D-Link 530TX e o coyote linux instalado. Como devo proceder para criar a DMZ nesse caso.
    Bem...
    1) não recomendo você permitir SSH para rede interna exposto para 0.0.0.0, se for de um ponto fixo tudo bem pois se pode criar regra de PREROUTING permitindo apenas desse ponto.
    2) Não entendi bem a questão do banco de dados, que maquina é essa k6-2 500? A ideia do banco ficar dentro da DMZ é que o banco só sirva para comunicar com o web, o ideal que estejam isolados.
    3) Roteador Coyote (Linux) para fazer DMZ está fora de cogitação. Ele é muito limitado, e você para sua DMZ precisaria de além de um roteador, teria que ter um firewall completo tendo acesso a todos os recursos do iptables e IDS ativo.

  8. #8

    Padrão DMZ

    Tudo bem a parte do coyote eu ja tinha imaginado haja visto suas limitações, a parte do banco de dados eu lhe peço desculpas pois entendi mal o que vc tinha expalndao anteriormente, a ideia e como vc realmebte citou em seu ultimo post:
    "2) Não entendi bem a questão do banco de dados, que maquina é essa k6-2 500? A ideia do banco ficar dentro da DMZ é que o banco só sirva para comunicar com o web, o ideal que estejam isolados". A questao do SSH e exigencia do cliente uma vez q ele ker acessar o servidor de qualquer ponto do planeta.



  9. #9

    Padrão DMZ

    Citação Postado originalmente por leo_jfa
    Tudo bem a parte do coyote eu ja tinha imaginado haja visto suas limitações, a parte do banco de dados eu lhe peço desculpas pois entendi mal o que vc tinha expalndao anteriormente, a ideia e como vc realmebte citou em seu ultimo post:
    "2) Não entendi bem a questão do banco de dados, que maquina é essa k6-2 500? A ideia do banco ficar dentro da DMZ é que o banco só sirva para comunicar com o web, o ideal que estejam isolados". A questao do SSH e exigencia do cliente uma vez q ele ker acessar o servidor de qualquer ponto do planeta.
    O SSH será para acessar um servidor dentro da sua rede-local? Você administra esse servidor também? A preocupação disso fica por parte da segurança, principalmente se ela for feita apenas por esse cara que irá acessar remotamente, já que via SSH pode ser fazer uma "FESTA"... Se isso for feito, para diminuir as chances de problemas, deverão ser tomados alguns cuidados como:
    1) Garantir um IDS bem configurado no Firewall
    2) Redirecionar alguma porta alta de serviço desconhecido e não a 22 para o servidor na rede, ex.: redirecionar para quando bater no ip valido na porta 31701 vá para o 22 no servidor da rede local com ip frio.
    3) No servidor dentro da rede local, configurar o sshd de forma que não permita login do root (permitrootlogin no), tenha que ser logado com um usuario especifico que não de sistema, e apenas esse usuario tenha acesso (allowusers <usuario>), e que utilize uma senha forte (possua caracteres maisculos,minusculos,numeros e caracteres especiais, maior que 10 digitos).
    3.1) Se quiser reforçar mais, configure o su de forma que apenas esse usuario possa utiliza-lo...
    3.2) Ainda mais...se você quiser ter controle das vezes desses logins no servidor, insira uma linha no /etc/bashrc, para que seja enviado um email (ou gravado log local em arquivo separado) cada vez que logarem via ssh ou console no servidor.
    4) Ele precisa mesmo acessar do MUNDO todo? ou apenas no Brasil? Se for apenas no Brasil também pode se fazer essas regras de redir, apenas permitindo a origem 200.0.0.0/8 e 201.0.0.0/8....

    Beleza?

  10. #10

    Padrão DMZ

    Mio q isso so dois disso, muiot obrigrado pela atenção e pela paciencia, agente se esbarra por ia. Valeu.



  11. #11
    Frizo
    Visitante

    Padrão Ótima ajuda

    Dropall, agradeço muito suas citações referente a 200.0.0.0/8 e 201.0.0.0/8

    Eu vinha sofrendo ataques diários ao meu SSH e não sabia como liberar "somente" para o Brasil.

    Tentei 200.0.0.0/24 e 201.0.0.0/24, 200.0.0.0/18 e 201.0.0.0/18 e mais um monte de coisas, menos 200.0.0.0/8 e 201.0.0.0/8.

    Tem alguma literatura sobre o por que desses números?

    Muito obrigado,

    Bruno

  12. #12

    Padrão DMZ

    Existe em qualquer literatura basica de redes... :P

    Esse numero depois da / eh a "mascara" da rede, que no caso /8
    eh: 255.0.0.0

    /8 = 255.0.0.0
    /16 = 255.255.0.0
    /24 = 255.255.255.0
    /32 = 255.255.255.255 (esse tipo é mascara fechada, só vale para 1 unico ip, aquele que você estipulou antes da barra)

    Quando digo 201.0.0.0/8, estou dizendo que vale apenas para os IPs que comecem com 201.x.x.x, ou seja 201.0.0.0 ate 201.255.255.255...
    Se uso 201.0.0.0/16, vale: 201.0.0.0.0 a 201.0.255.255, e assim por diante... Enquanto quando você usava permissao no iptables apenas para 201.0.0.0/24 só liberava rede brasileira, o problema era que só permitia acessar quem tivesse a faixa de IP: 201.0.0.0 a 201.0.0.255, meio dificil de se achar e muito restringivel.... :P O que devia acontecer era que você não conseguia acessar depois de levantar essa regra



    Para DETALHES só procurar qualquer coisa no google "ip rede mascara", ai você vai aprender o A B C de rede/mascara, com direito a contar bits de mascara e etc :P hehehe

    []s! :good: