DMZ

1>
(frit fra side 833 i Datakommunikation af Stig Jensen og Arne Gejlstrup):
DMZ - DeMilitariseret Zone
I den demilitariseret zone placeres de hosts som skal kunne nås fra en usikker zone (typisk Internettet). Disse hosts må kun have forbindelse til den sikre zone (typisk LAN) hvis dette sker med andre protokoller end TCP/IP.

En dmz virker således.

Du kan betragt din firewall sem et kommunikationskontor, der håndtere kommunikationen mellem tre bygninger. I første bygning har vi din interne sikre net, der ikke må blive kompromitteret. I anden bygning har vi dine usikre tjenester, der er svære at beskytte, det er f.eks. mail, web og ftp. I sidste bygning har vi det store farlige internet.

Din firewall håndtere al kommunikationen, d.v.s. der er ingen kommunikation mellem nogle af dine bygninger, der er kommunikation mellem dit interne net og firewallen og så mellem firewallen og internettet eller de usikre tjenester. Kommunikation fra internettet og ind håndteres på samme måde, internet brugere kommunikere med firewallen, der så kommunikere videre med det interne net eller med dmz.

Hvis en hacker kommer igennem til din mailserver, vil han kun kunne kompromittere dmz. Dit interne net forbliver urørt

ok.. det lyder som om jeg skal have gang i et 3. NIC til denne DMZ hvis jeg forstår det korrekt.

Og alle TCP pakker fra DMZ (output) sakl droppes. eller er jeg helt galt på den?

Noget a'la

Router med 3 netkort
1 WAN netkort
1 netkort direkte til DMZ
1 Netkort til LAN

Ingen OutPUT tilladt fra DMZ --> LAN netkort

Eller noget i den stil?

Og alle TCP pakker fra DMZ (output) sakl droppes. eller er jeg helt galt på den?
hvis du mener til wan:
hvis nu du vil have en webserver (eller andre tcp afhængige servere) placeret i dmz så er det jo nok ikke så smart..

hvis vi nu kigger på ordenes betydning, så betyder demilitariseret zone en zone hvor der ikke er noget forsvar...

ja ok.. jeg tænkte nu fra DMZ ---> LAN

Jeg har simpelthen bare svært ved at få ind i bolden ved i alverden der er smart ved det? Som jeg ser det så er der vel ingen grund til at åbne for andet end hvad der er nødvendigt?

Jeg må simpelthen have overset noget.

Iøvrigt er output (som jeg har forstået det) det som "startes" på den pågældende maskine. Et request til en webserver, hvor serveren svarer.. er vel ikke output....

men INPUT... :)

Eller FORWARD bliver det jo nok nærmere i dette tilfælde.. i ved hvad jeg mener.... ?

Du er faktisk nødt til at tillade output fra dmz, hvordan vil du ellers få præsenteret dine websider, tillade dine brugere at hente via ftp, tillade dine brugere at hente mail ?

DMZ er jo netop til at lade de farlige output fra de usikre tjenester ske i et område hvor et sikkerhedskompromis ikke ødelægger sikkerheden på det interne net.

Det vigtige er at firewallen eren applikations proxy firewall, så det er firewallen der håndtere kommunikationen og ikke blot firewallen der åbner nogle huller gennem sig

Buffer: Kan du se denne side: http://webmail2.qualitek.dk/src/login.php

???

Jeg formoder du kan se den fra WAN. Den virker i alle tilfælde fra LAN. Det er en testserver som jeg sidder og leget lidt med.

target    prot opt source              destination
ACCEPT    all  --  anywhere            anywhere          state RELATED,ESTABLISHED

Hvis denne maskine bliver rooted så kan vedkommende ikke komme videre. Wget, ping o.s.v. virker ikke fra denne maskine!

sorry.. ikke komplet:

Chain OUTPUT (policy DROP)
target    prot opt source              destination
ACCEPT    all  --  anywhere            anywhere          state RELATED,ESTABLISHED

ja det kan jeg sagtens

ok... Men der er som sagt med output DROP :o) men ok.. never mind dette med output.. det er vel ikke så væsentligt i forhold til det oprindelige ?

Det mener jeg ikke

jo det er vel uvæsentligt hvis en DMZ aligevel er en de-militariseret zone.. Så er der vel ingen grund til at gøre mere ud af det?

Ikke hvis din firewall er en ordentlig firewall, så skal den nok tage de meget få forsøg der kan komme på at gå udefra over dmz og ind på dit interne net (det vil kun være den øverste ene procent af hackerne der kan forsøge dette).

Det vigtige her er at sørge for at der ikke køre usikre tjenester på det interne net, at alle applikationer og styresystem er patchet og updatet, og at sikkerhedspolitiken enforces over for dine brugere

:o)