Como Fazer uma DMZ Segura

**fdotta** · 01-05-2005, 01:42

Pessoal,

Estou com uma duvida!!! Tenho varios firewalls, e sempre vejo todo mundo falando q os redirecionamentos nao sao seguros e etc. Tenho em um dos meus FW, um redirecionamento e manda de um ip valido porta 2210, para uma maquina interna 192.168.1.10 porta 22 (ssh). Agora a duvida, qual a forma de montar uma DMZ segura, para fazer este redirecionamentos???

[] Dotta :twisted:

**The-shadow** · 01-05-2005, 07:55

ae fdotta, é assim a DMZ (Zona desmilitarizada) é uma boa politica de segurança sim,mas ela só é possivel se vc tiver 2 IP's validos, isto serve para vc separar a rede local da rede de servidores, aumentando assim o nivel de segurança, imagine aí na sua empresa um utilizador era infectado com um trojan ou qualquer outra coisa, o atacante ia tentar explorar a rede e tentar aceder aos servidores pela rede interna, o quelhe poupava basante o trabalho. a DMZ é como se fosse outra rede que só é possivel contactar pelo IP valido, assim uma vez comprometida a rede interna torna-se mais complicado comprometer os servidores, ou vice versa.
Se vc so tem um IP válido na internet, entao na sua LAN vc pode optar por criar uma VLAN.
Espero que ajude

gmlinux · 01-05-2005, 08:31

internet <--> firewal (pode ser uma bridge) <--> DMZ, máquinas com serviço internet ou acessível ao meio externo (normalmente ip válido nelas) <--> firewall <--> rede interna.

Se você não possui serviços a oferecer a internet, não teria utilidade uma DMZ.
Se seu objetivo é apenas ter uma porta de ssh para as máquinas internas, force o uso chave na autenticação, um único ponto de entrada (por ele acessar os outros) e mantenha o ssh atualizado.

**fdotta** · 01-05-2005, 17:10

Postado originalmente por The-shadow

ae fdotta, é assim a DMZ (Zona desmilitarizada) é uma boa politica de segurança sim,mas ela só é possivel se vc tiver 2 IP's validos, isto serve para vc separar a rede local da rede de servidores, aumentando assim o nivel de segurança, imagine aí na sua empresa um utilizador era infectado com um trojan ou qualquer outra coisa, o atacante ia tentar explorar a rede e tentar aceder aos servidores pela rede interna, o quelhe poupava basante o trabalho. a DMZ é como se fosse outra rede que só é possivel contactar pelo IP valido, assim uma vez comprometida a rede interna torna-se mais complicado comprometer os servidores, ou vice versa.
Se vc so tem um IP válido na internet, entao na sua LAN vc pode optar por criar uma VLAN.
Espero que ajude

Atualmente estou usando somente 1 ip valido, mas possuo um range bem grade (uns 40 ips validos)...

[] Dotta

**fdotta** · 01-05-2005, 17:12

Postado originalmente por gmlinux

internet <--> firewal (pode ser uma bridge) <--> DMZ, máquinas com serviço internet ou acessível ao meio externo (normalmente ip válido nelas) <--> firewall <--> rede interna.

Se você não possui serviços a oferecer a internet, não teria utilidade uma DMZ.
Se seu objetivo é apenas ter uma porta de ssh para as máquinas internas, force o uso chave na autenticação, um único ponto de entrada (por ele acessar os outros) e mantenha o ssh atualizado.

Forcar o ssh usar chaves de autenticacao eu ja forco sem problemas, mas estava querendo saber como montar uma dmz com iptables ou outra ferramenta tb...

[] Dotta :twisted:

**mistymst** · 01-05-2005, 19:36

nao é o iptables bem que monta uma DMZ, é sim voce.

voce pega o seu bloco de ips e divide eles, criando uma outra sub rede, agora vai ter duas, uma da dmz e a outra "normal", basta voce criar as rotas nas maquinas para elas poderem acessar essa rede... dmz é como se fosse uma outra rede qualquer mas protegida por um firewall... é apenas um conceito e nao uma rede especial.

se tivers mais duvidas fale q eu tento explicar melhor.

Como Fazer uma DMZ Segura

Ferramentas de Tópicos