+ Responder ao Tópico

DMZ



  1. #1
    LeonardoDG
    Visitante

    Padrão DMZ

    Estou mudando a topologia da rede da minha empresa quero implantar uma DMZ que vão ter estes servidores:

    WWW
    E-mail
    CITRIX (acesso remoto ao ERP)

    Na rede local vão ter os seguintes servidores

    FileSERVER
    Banco de Dados

    Pergunta

    Se algum servidor da REDE DMZ precisar acessar algum servidor da REDE GOOD, como o servidor WWW acessando o BD e o CITRIX o BD isto é "permitido" ou seja ainda mantenho o conceito de DMZ ou NUNCA um servidor da DMZ poderá acessar DE MODO ALGUM outro servidor que não seja da mesma rede (DMZ)

    Esta informáção naum achei na internet

    Obrigado

  2. #2

    Padrão DMZ

    Cara permitido é, mas ae se vai o conceito de dmz, pois por exemplo se alguem invadir um server seu da dmz, vai ter acesso aos serves da rede interna de qq jeito, ae o conceito de dmz não funciona.

    falows

  3. #3

    Padrão DMZ

    Exatamente o que o ryuneto disse...

    Quando meus clientes quando me pedem consultoria a respeito de segurança sobre DMZ, que precisam de por exemplo um servidor WEB na DMZ acessando um banco de dados, porém esse banco de dados está na rede local. Na maioria dos casos (podem variar, claro): eu sugiro que seja instalado outro servidor de banco de dados na DMZ e que o servidor DB na rede local seja configurado para replicar sempre os dados modificados para o servidor DB na DMZ.

    Desta forma a DMZ nunca acessará a RedeLocal, somente a redelocal acessará a DMZ e a Internet acessará a DMZ (logico que no firewall você não irá permitir a Internet cair no teu servidor DB né...) e caso o servidor WEB seja invadido, ele no maximo invadirá seu servidor DB da DMZ que você facilmente pode recuperar com os dados que estarão em completa segurança dentro da RedeLocal...logico que dependendo do caso voce pode ainda jogar teus servidores atrás de outro firewall na rede local :P :P :P :P

    Ou fazer coisas ainda mais bizarras, haahahaa

  4. #4
    LeonardoDG
    Visitante

    Padrão DMZ

    Mas e se meu servidor WEB (DMZ) que vai acessar meu BD (na rede Good) acessar o firewall e o firewall atravez de direcionamento de portas acessar meu servidor de BD (na rede good). não é seguro?

  5. #5

    Padrão DMZ

    Nao pq fura o conceito de dmz, o conceito de dmz é basicamente o seguinte as portas abertas no firewall da rede interna so são portas altas e aleatorias pra acesso de paginas externas, verificação de e-mail e outras coisas, e todos os serviços acessados internamentes ou pela propria dmz ficam na dmz.

    falows

  6. #6

    Padrão DMZ

    Colega, ser seguro.. isso depende de caso para caso.. se vc tiver um firewall com windows 2000 sem patches, acredito que n seja mto seguro nao, agora se o seu firewall for um openbsd, sp actualizadinho.. nao digo que seja 100% seguro, mas pra lá caminha!

    mto bem, voltando ao assunto, para uma implementação de uma DMZ ser bem feita, obedecendo ao conceito de DMZ, tem que se fazer na pratica 2 redes distinctas, ou seja, a rede (GOOD) e a rede dos servidores, isto para que se alguma maquina da rede good for comprometida, n conseguir afectar a rede de servidores, e vice-versa...
    aqui em casa, eu tenho um logserver (meu kerido redhat 6.1 @ 100 MHz)
    fora da DMZ, no entanto as 2 maquinas da DMZ, acedem a ele, não pelo firewall, mas pela Internet (via VPN)..
    deste modo ambas as maquinas se comunicam sem terem de "furar" a DMZ
    espero que ajude colega, Um abraço[]

  7. #7
    fjacunha
    Visitante

    Padrão DMZ

    Galera eu estava procurando aqui outro assunto e encontrei esse que achei super interessante.
    O meu caso é bastante parecido com o do amigo aí o que ocorre é o seguinte
    eu tenho um Firewall rodando bonitinho
    tenho 5 placas de rede setadas nele com suas respectivas finalidades
    inclusive DMZ
    bem vamos lá
    Na minha DMZ eu tenho um WEB SERVICES rodando onde no firewall eu liberei o o acesso ext dele só na porta 80 para uma máquina WEB em um hospedeiro de host. onde só essa máquina acessa o meu webservice.
    Bem. aí novamente no firewall existe uma regra dizendo que o meu Webservice só deve acessar o meu servidor de banco de dados nas duas respectivas portas. Fora isso ele não acessa nada na minha rede interna. Mais duas máquinas da minha rede interna acessam essa máquina da DMZ. Analisando a resposta do DROPALL nessa atuais condições que existem na minha empresa, eu estou matando então o conceito de DMZ?
    Eu até compreendo o fato, mas, a questão as vezes tem muito mais a ver com disponibilidade de recursos $ para um segundo servidor de banco de dados para ser utilizando em conjunto com o servidor de web.
    Como alternativa o que vocês recomendariam então , continuar no esquema da DMZ incompleta, ou realmente implementar uma DMZ certinha?

    Abraços
    Chico