Организация DMZ

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-felix-
проходил мимо
Сообщения: 1
Зарегистрирован: 2007-03-02 23:53:44

Организация DMZ

Непрочитанное сообщение -felix- » 2007-03-03 0:00:41

Планирую создать DMZ зону в сети. Т.е. имеется NAT под FReeBSD6.2 c тремя сетевками
rl0 - LAN
rl1 - Inet
rl2 - DMZ.

Локальная сеть - контроллер домена Win2k3, AD; клиенты WinXP

В DMZ будет находиться пока одна машинка, на которой будет крутиться почтовик (Postfix) и прокся для доступа в инет (Squid) с авторизацией в AD.

У меня возникает сомнение по поводу работы данной схемы.

Я так понимаю DMZ это отдельная сеть и не должна иметь ни какого отношения к локальной сети, в целях безопасности. Тогда получается что авторизация юзеров через squid который в свою очередь по ntlm будет обращаться к AD - ни есть правильно и безопасно.

Ставить squid на машину с NAT не хотелось бы - во-первых она слабая, во-вторых это будет уже не DMZ

В общем хотелось бы услышать мнения и советы по поводу реализации данной схемы.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Непрочитанное сообщение alex3 » 2007-03-03 8:57:40

По классике -
выход в инет - брандмауэр - DMZ- брандмауэр - локалка
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Организация DMZ

Непрочитанное сообщение dikens3 » 2007-03-04 16:33:06

-felix- писал(а): У меня возникает сомнение по поводу работы данной схемы.

Я так понимаю DMZ это отдельная сеть и не должна иметь ни какого отношения к локальной сети, в целях безопасности. Тогда получается что авторизация юзеров через squid который в свою очередь по ntlm будет обращаться к AD - ни есть правильно и безопасно.
DMZ отдельная сеть и факты установки (попытки) соединений в твою сеть должны блокироваться и фиксироваться на Firewall'е (брэндмауэре).
Смысл DMZ - оградить в случае взлома свою сеть и внутренние сервера.

Вывод. при взломе будет известно о пользователях и IP-Адресах твоей внутренней сети, что не так уж страшно при невозможности войти и что-либо сделать в твоей сети.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Непрочитанное сообщение alex3 » 2007-03-04 21:47:36

по классике, ДМЗ - это сеть, в которой расположены сервера, к каким должен быть доступ из внешнего мира (http, ftp etc.) Они сами предусматривают дыры в системе безопасности. Именно для этого и служит ДМЗ, чтобы при взломе одного из этих серверов основная часть компов, расположенных в локальной сети не пострадала.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.