Планирую создать DMZ зону в сети. Т.е. имеется NAT под FReeBSD6.2 c тремя сетевками
rl0 - LAN
rl1 - Inet
rl2 - DMZ.
Локальная сеть - контроллер домена Win2k3, AD; клиенты WinXP
В DMZ будет находиться пока одна машинка, на которой будет крутиться почтовик (Postfix) и прокся для доступа в инет (Squid) с авторизацией в AD.
У меня возникает сомнение по поводу работы данной схемы.
Я так понимаю DMZ это отдельная сеть и не должна иметь ни какого отношения к локальной сети, в целях безопасности. Тогда получается что авторизация юзеров через squid который в свою очередь по ntlm будет обращаться к AD - ни есть правильно и безопасно.
Ставить squid на машину с NAT не хотелось бы - во-первых она слабая, во-вторых это будет уже не DMZ
В общем хотелось бы услышать мнения и советы по поводу реализации данной схемы.
Организация DMZ
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
-
dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Организация DMZ
DMZ отдельная сеть и факты установки (попытки) соединений в твою сеть должны блокироваться и фиксироваться на Firewall'е (брэндмауэре).-felix- писал(а): У меня возникает сомнение по поводу работы данной схемы.
Я так понимаю DMZ это отдельная сеть и не должна иметь ни какого отношения к локальной сети, в целях безопасности. Тогда получается что авторизация юзеров через squid который в свою очередь по ntlm будет обращаться к AD - ни есть правильно и безопасно.
Смысл DMZ - оградить в случае взлома свою сеть и внутренние сервера.
Вывод. при взломе будет известно о пользователях и IP-Адресах твоей внутренней сети, что не так уж страшно при невозможности войти и что-либо сделать в твоей сети.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
по классике, ДМЗ - это сеть, в которой расположены сервера, к каким должен быть доступ из внешнего мира (http, ftp etc.) Они сами предусматривают дыры в системе безопасности. Именно для этого и служит ДМЗ, чтобы при взломе одного из этих серверов основная часть компов, расположенных в локальной сети не пострадала.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.