DMZPo co? Kiedy? Jak?Daniel Stefaniak, PJWSTK

http://w-files.pl

CCNA, MCP, MCTS, MCSA, MCSE, MCITP, MCT

O mnie Lider PLGSC Aktywny członek MSSUG Ekspert WSS Administrator, ćwiczeniowiec

akademicki, trener Pasjonat nowinek technologicznych

^^

DMZ – co to znaczy?

DMZ komputerowy??

Inne nazwy Data Management Zone Demarcation Zone – Strefa

Demarkacyjna Perimeter Network – Sieć brzegowa Screened Subnet – Podsieć

ekranowana/ekranująca

DMZ w IT Strefa buforowa pomiędzy sieciami:

wewnętrzną i „wrogą” Wroga sieć – np. Internet

Kontrola i własność Geopolityczny – pas ziemi niczyjej Sieciowy – pod naszą kontrolą:

adresacja IP, kontakt z LANem

Setup

Źródło: http://articles.techrepublic.com.com/5100-22_11-5756029.html

Założenia LAN – sieć w zamyśle całkowicie

bezpieczna i zaufana – bez 1-to-1 NAT

DMZ – Średnio-zaufana, sieć pośrednia, bufor – bezpośrednio podłączona do wrogiej sieci

Internet - ]:->

Po co? Ochrona LANu przed włamaniami Złamanie jednego serwera nie

powoduje zagrożenia całej sieci

Alternatywy Zewnętrzny hosting

Koszt Brak kontroli

Umieszczenie zewnętrznych serwisów na Firewallu Niezgodne z zalecanymi praktykami

Jak? (1) Osobna podsieć Oddzielona od LANu i wrogiej sieci

przez Firewall/Router/Switch trzeciej warstwy

Jak? (2) - podsieć Adresy zewnętrzne lub wewnętrzne

(10.x.x.x; 172.x.x.x; 192.168.x.x) Osobny segment i/lub VLAN 802.1q Przy adresacji lokalnej zastosować 1-

to-1 (static) NAT Przy adresach publicznych –

wydzielona pula/podsieć

Jak? (3) – Trihommed Firewall

Źródło - http://en.wikipedia.org/wiki/DMZ_%28computing%29

Jak? (3) – Firewall back to back

Źródło - http://en.wikipedia.org/wiki/DMZ_%28computing%29

Trihommed vs back-to-backTrihommed Taniej Ograniczenie do

jednego rozwiązania Trudniejsza

implementacja reguł

Back-to-back Wydajniej:

Front – filtrowanie po pakietach

Back – filtrowanie na warstwie aplikacji (ALF)

DMZ – reguły Internet -> DMZ – restrykcyjny NAT DMZ -> LAN – restrykcje Internet -> LAN – restrykcje LAN -> Internet – PAT LAN -> DMZ – PAT DMZ -> Internet – NAT

http://en.wikipedia.org/wiki/Port_address_translation

Komunikacja LAN -> Internet 1-to-many NAT (PAT) Web Proxy Restricted Access

Komunikacja LAN<->DMZ Ograniczona Ruch uwierzytelniony (KRB, X.509) Ruch Podpisany (IPSec)

DMZ host Hardening

Wyłączenie niepotrzebnych usług Uruchamianie usług z najniższymi

uprawnieniami Mocne hasła Zabezpieczenie kont Aktualizacje Silne logowanie

Bastion Host

Honeynet Przynęta na szkodniki Jeden lub więcej honeypot-ów Specjalny rodzaj DMZ-a Często maszyny wirtualne Stosowanie IDS-a

Wsparcie sprzętowe CISCO – routery, ASA SonicWall – dedykowany port DMZ Check point ISA Server 2004+/TMG2010 UAG2010

Architektury zabezpieczania Ruch anonimowy Ruch uwierzytelniany

Non-authenticated DMZ Publiczne WWW Zewnętrzne DNS-y Publiczne FTP Mail Delivery Agents (MDA) Intrusion Detection System (IDS) !!!

Authenticated DMZ WWW wymagające logowania FTP dla ograniczonego grona Serwer pocztowy dla pracowników

poza biurem Sharepoint Dostępne dopiero po zestawieniu

VPNa

Konfiguracje niestandardowe Exchange Sharepoint OCS Terminal Services ADDS Aplikacje Web wymagające dostępu

do wewnętrznych baz danych (AD, SQL, File Servers)

Reverse Proxy

Konfiguracja dzielona „Split Configuration” Zastosowanie bram (gateway) Serwery proxy przekazujące

poświadczenia

AD w sieci brzegowej (1)

AD w sieci brzegowej (2)

AD w sieci brzegowej (3)

AD w sieci brzegowej (4)

AD w sieci brzegowej (5) – RODC

AD w sieci brzegowej (5) – RODC

Exchange w sieci brzegowej Standardowo nie polecane TYLKO Edge transport z Exch2007

(tylko SMTP) Niestety OWA i AtiveSync wymagają

dostępu do Client Access Servera (CAS)

Best practice – dostęp tylko z Authenticated DMZ

UAG 2010 w authenticated DMZ Pozwala na delegacje poświadczeń –

KCD (Kerberos Constrained Delegation)

Sprzedawany jako virtual appliance (tylko maszyna wirtualna)

Musi być członkiem domeny

Źródła http://

articles.techrepublic.com.com/5100-22_11-5756029.html http://

articles.techrepublic.com.com/5100-22_11-5758204.html?tag=rbxccnbtr1 http://en.wikipedia.org/wiki/DMZ_%

28computing%29 http://

www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=c1d0fd00-bf31-4b20-95c6-279a4ce7c2b4

PYTANIA ?Dziękuję za uwagę