+ Responder ao Tópico



  1. #1

    Padrão Conselho para banker

    Galera estou com um desafio legal na empresa que estou trabalhando, estou montando os sevidores em um sistema de banker e gostaria do conselho da galera para me ajudar.
    vou precisar rodar os seguintes serviços
    server mail
    server dns
    server firewall proxy
    server web
    server db

    hoje eu tenho um server 2008 em uma maquina DELL e um firewall em outra

    a pergunta é para que eu implemente todos esses serviços com segurança como eu devo distribuir em relação a maquinas e serviços, posso comprar outras maquinas se necessarios.

    e estou penssando em montar com slack13 + webmin

    favor opinem e me ajude.

  2. #2

    Padrão

    defina "sistema banker".

    vamos dividir o projeto como deve ser:

    firewall/squid - uma máquina APENAS com êsses serviços, nada mais. Hardware pra isso é baratíssimo, não se justifica querer segurança com a possibilidade FORTE de comprometimento. Um PIV 3.2GHz com 2G de ram, hd de 40~120G dá e sobra, vai te custar - na sta. efigenia - uns 500 paus.

    DNS: se for um servidor de dominio, pode ficar na mesma máquina que faria o servidor de zémail; se for apenas um cache-DNS (atendimento da sua LAN), então pode ficar no firewall sem problemas.

    server web e zémail: se não for um tráfego absurdo (elevado) podem ser abrigados em u'a mesma máquina, senão precisarão ficar separados.

    servidor db: máquina à parte. Normalmente vai depender do volume de solicitações, do tuning do BD, do próprio BD selecionado. Independente de ser ou não linux/rwindows, é maquina separada, vc não vai querer que ela fique comprometida por alguma coisa que venha da 'net, né? se houver necessidade de acesso a ela a partir de usuários remotos, ou cria-se acesso html/php ou faz-se uma VPN.

    o servidor DB fica DENTRO da rede. Os demais, faça uma DMZ e "esconda-os" lá dentro.

    lembre-se: "economia é a base da porcaria". Repito: fwll/proxy NÃO tem qualquer outro serviço (salvo DNS, conforme já exposto).

    repito: fwll/proxy NÃO tem qualquer outro serviço.

    repito:.. (bem.. vc entendeu)

  3. #3

    Padrão

    Citação Postado originalmente por irado Ver Post
    defina "sistema banker".

    vamos dividir o projeto como deve ser:

    firewall/squid - uma máquina APENAS com êsses serviços, nada mais. Hardware pra isso é baratíssimo, não se justifica querer segurança com a possibilidade FORTE de comprometimento. Um PIV 3.2GHz com 2G de ram, hd de 40~120G dá e sobra, vai te custar - na sta. efigenia - uns 500 paus.

    DNS: se for um servidor de dominio, pode ficar na mesma máquina que faria o servidor de zémail; se for apenas um cache-DNS (atendimento da sua LAN), então pode ficar no firewall sem problemas.

    server web e zémail: se não for um tráfego absurdo (elevado) podem ser abrigados em u'a mesma máquina, senão precisarão ficar separados.

    servidor db: máquina à parte. Normalmente vai depender do volume de solicitações, do tuning do BD, do próprio BD selecionado. Independente de ser ou não linux/rwindows, é maquina separada, vc não vai querer que ela fique comprometida por alguma coisa que venha da 'net, né? se houver necessidade de acesso a ela a partir de usuários remotos, ou cria-se acesso html/php ou faz-se uma VPN.

    o servidor DB fica DENTRO da rede. Os demais, faça uma DMZ e "esconda-os" lá dentro.

    lembre-se: "economia é a base da porcaria". Repito: fwll/proxy NÃO tem qualquer outro serviço (salvo DNS, conforme já exposto).

    repito: fwll/proxy NÃO tem qualquer outro serviço.

    repito:.. (bem.. vc entendeu)
    O conceito de banker é simples, nas guerras erra construido umas casamatas para decisões e estrategias de ataque e defesa onde erra conhecido como banker por serrem muito resistentes aos ataques esse conceito veio para a sala onde acondiociona os sevidores e tambem é uma definição para hacker.
    Banker - Wikipédia, a enciclopédia livre

    Mas com isso eu soteria um servidor de DNS?
    o aconceilahdo não são dois, um para o primario e outro para secundario?
    ai vem minha outra pergunta eu posso colocar um servidor de e-mail dentro de um deles por economia?

  4. #4

    Padrão

    ah.. entendi. Em termos de rede, o que vc quer é uma DMZ que é QUASE o que delineei acima. Contudo note que QUALQUER que seja a segurança empregada, isso NÃO impede que os usuários continuem oferecendo seus préstimos para os "banker", hacker, cracker e etc. O elo mais fraco de qualquer ambiente é sempre o usuário.

    então, complementando (conforme seus questionamentos):

    a) o EXIGIDO são dois servidores DNS mesmo; pode ser máquina única, com dois ip-addr roteaveis mas o correto é vc ter dois em redes separadas (um em sp, outro em porto alegre, por ex).

    b) sim, PODE colocar um dêles na mesma máquina do servidor de e-mail mas sempre lembrando que TUDO tem que ser dimensionado para sua expectativa de tráfego. UOL e Terra (por ex) NÃO tem máquina única, são "farms" com mais de 20 máquinas poderosas, cada um (se não mais). O google/gmail deve ter mais ainda

    então, um planejamento/projeto cuidadoso evitará muitos problemas.

    tomei a liberdade de pesquisar DMZ para dar a vc uma idéia da coisa. IMHO, vale a pena.

    linux DMZ - Pesquisa Google

  5. #5

    Padrão

    Que massa, então nessa caso eu so precisaria colocar na DMZ os servidores de e-mail e DNS os de DB e Arquivo que eu ja tenho poderiam ficar dentro da LAN para ficarem mais protegidos é isso mesmo?

  6. #6

    Padrão

    sim, é isso. Idealmente, a DMZ deveria ter um fwll ANTES e um DEPOIS.. a dmz completamente isolada.

    Se o seu BD/Servidor de arquivos não precisa ser acessado via internet, então fica dentro da LAN. Se precisar ser acessado via 'net, então vc poderia colocar um 'fake' na DMZ e o real dentro da LAN (sync, etc). Enfim, tudo depende de quem (e como) vai se projetar isso.

    mas básico:

    DNS e servidores de zémail na DMZ. O DNS com split-view (pra não atrapalhar muito).

    divirta-se é legal fazer um projeto assim.