strefa DMZ

[damiano]

Witam. tak sie zastanawiam jak to jest dokladnie ze strefą DMZ. czy moze ona byc za NATem czy muszą być używane adresy publiczne? oraz przykladowo jesli jest sobie router z trzema interfejsami: jeden do polaczenia z Internetem, i następnie nalezy utworzyc dwie podsieci: jedną dlaa adresowania kompow,a druga jako strefę DMZ. to jakie jest najlepsze rozwiązanie: czy zrobić na switchu dwa VLANy, jeden VLAN dla adresowania kompow, natomiast drugi VLAN jako strefe DMZ, czy powinno się osobno tworzyc takie podsieci: czyli jedną podsiec osobno do jednego interfejsu, i druga do drugiego interfejsu??
jakie rozwiązanie jest najlepsze? i najbardziej stosowane?

[lbromirs]

Witam. tak sie zastanawiam jak to jest dokladnie ze strefą DMZ. czy moze ona byc za NATem czy muszą być używane adresy publiczne? oraz przykladowo jesli jest sobie router z trzema interfejsami: jeden do polaczenia z Internetem, i następnie nalezy utworzyc dwie podsieci: jedną dlaa adresowania kompow,a druga jako strefę DMZ. to jakie jest najlepsze rozwiązanie: czy zrobić na switchu dwa VLANy, jeden VLAN dla adresowania kompow, natomiast drugi VLAN jako strefe DMZ, czy powinno się osobno tworzyc takie podsieci: czyli jedną podsiec osobno do jednego interfejsu, i druga do drugiego interfejsu??
jakie rozwiązanie jest najlepsze? i najbardziej stosowane?

Coś się koledze pojęcia mylą.

DMZ to nazwa umowna - to czy użyjesz w niej adresów prywatnych czy publicznych nie ma tak naprawdę znaczenia (poza oczywiście koniecznością zamapowania prywatnych na publiczne gdyby przypadkiem okazało się, że z DMZtu ma korzystać ktoś z Internetu).

VLAN w L2 jest tożsamy (zwykle) z podsiecią w L3, a zatem dwa VLANy na przełączniku (umownym) to pewnie i dwie podsieci IP na routerze - choć zwykle to już przełącznik może realizować routing i pewnie robienie tego na nim umożliwiałoby zapewnienie dużej wydajności pomiędzy LANem a DMZtem.

[stentor]

Podbijam temat.
Interesują mnie "dobre praktyki" w tworzeniu DMZ.

Obecnie mam VLAN20 i w nim kilka serwerów o zewnetrznych IP.
na tym int założona ACLka, blokująca ruch z tych serwerów do LANu firmowego.

[weis]

Hmm a gdzie tu jest jakieś pytanie?

[stentor]

no może pytania wprost nie ma - liczę na "dobre praktyki" - może ktos powie "a ja mam tak DMZeta", czy cuś

[Seba]

no może pytania wprost nie ma - liczę na "dobre praktyki" - może ktos powie "a ja mam tak DMZeta", czy cuś

Jak napisal Lukasz, DMZ to taka umowna nazwa dla pewnego segmentu sieci. Ogolnie DMZ to fragment sieci jak kazdy inny i zastosowane w nim mechanizmy moga byc dokladnie takie same jak w kazdej sieci, wiec patrz w kierunku best-practice dla sieci.

Pod dobre praktyki mozna pewnie zakwalifikowac to, ze najczesciej DMZ jest tworzone w oparciu o dedykowany hardware (czytaj switch). Druga rzecz to to, ze najczesciej jest to fragment sieci, ktory "siedzi" za jakims Firewall. Z tym, ze oba przyklady nie definiuja DMZ jako takiego i moga byc uzyte w dowolnej czesci sieci, aby odizolowac np. dwa departamenty.

[aid]

Powtórzę za Łukaszem i Sebą: DMZ to umowne hasło jak VPN. Tak jak VPN służy do zapewnienia poufności, niezaprzeczalności i integralności, tak DMZ służy do wyeliminowania/ograniczenia bezpośrednich połączeń pomiędzy sieciami zaufanymi a niezaufanymi.

Do tego co napisali poprzednicy: utrzymanie jednego kierunku inicjacji połączeń - podsieci/vlany/strefy dla połączeń przychodzących i dla wychodzących do internetu.
W strefach dla połączeń wychodzących np. dnscache i webcache, w strefach dla połączeń przychodzących np. serwery web, waf.

W większych infrastrukturach standardem są minimum dwie linie zapór sieciowych różnych producentów: zewnętrzna do usług internetowych i wan, wewnętrzna do serwerów aplikacyjnych, baz danych itp, a strefa tranzytowa pomiędzy nimi.

Co do używania NAT czy reverse proxy w DMZach (w sensie używania prywatnej adresacji), to bardziej praktyczne rozwiązanie niż "security".