[FUG-BR] Off topic: DMZ

Marcello Costa unixmafia em yahoo.com.br
Sexta Julho 7 13:38:43 BRT 2006 

Em Qui, 2006-07-06 às 23:53 -0300, Pedro Henrique Morsch Mazzoni
escreveu:
> Olá,
> 
> Estou fazendo um projeto de segurança na rede de um amigo e estou com
> um problema que não vejo solução segura. Vamos fazer uma DMZ
> back-to-back, com um fw externo e um interno.
> No projeto atual, apenas os servidores Web e de e-mail externo é que
> ficam na DMZ, e o servidor web só hospedaria sites sem conteúdo
> crítico.
> Acontece que empresa quer disponibilizar para acesso externo um portal
> que precisa acessar arquivos e bancos de dados que contém informações
> críticas.
> Minha primeira sugestão foi colocar esse sistema na rede interna e
> fazer uma VPN. O que não é viável pro cliente.
> Não quero colocar os servidores de banco de dados e de arquivos na
> DMZ, mas deixá-los dentro também não é bom pois os sistemas que rodam
> na DMZ ( Webbased) teriam que ter acesso, o que comprometeria a
> segurança.
> 
> Sugestões?
> 
> Pedro Mazzoni
> -------------------------
Alguns colegas ja te deram algumas sugestões , mas eu tb já usei alguns
recursos como :

No caso tinha um pessoal que tinha que acessar uma maquina , eu criei um
script que retirava e colocava as regras do firewall a cada 5 minutos,
isso porque eles usavam ip dinamico, então essas regras eram e relação a
dominio no-ip, mudava o ip mudava a regra, no caso de queda do cliente
no maximo tinham q esperar 5 minutos para que o firewall atualizasse as
regras.

Uso de outra placa com outro ip e outro dominio é uma outra coisa que
pode ser usada tb em conjunto.

Ainda pode fazer esse acesso a uma maquina diferente e que seja dado um
comite startado pelo admin, ou seja atualizam a aplicação que esta em
outra maquina, qdo estiverem satisfeito pedem ao admin para atualizar a
o servidor que responde pelo dominio.

Quanto a estar ou não em DMZ é relativo mas acho que nem tanto se tem
firewall entre a internet e a DMZ , e se o OS do servidor de aplicação
for BSD vc pode tb levantar o firewall só com uma meia duzia de regras e
negando o resto.

Bem eu usava esse conjuntinho de coisas para ajudar e nunca tive
problemas algum.

[]'s

-- 
Marcello Costa
BSD System Engineer
unixmafia at yahoo dot com dot br


		
_______________________________________________________ 
Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! 
http://br.mobile.yahoo.com/mailalertas/

Mais detalhes sobre a lista de discussão freebsd