DMZ Po co? Kiedy? Jak?
37
DMZ Po co? Kiedy? Jak? Daniel Stefaniak, PJWSTK http://w-files.pl CCNA, MCP, MCTS, MCSA, MCSE, MCITP, MCT
description
http://w-files.pl. DMZ Po co? Kiedy? Jak?. Daniel Stefaniak, PJWSTK. CCNA, MCP, MCTS, MCSA , MCSE, MCITP, MCT. O mnie. Lider PLGSC Aktywny członek MSSUG Ekspert WSS Administrator, ćwiczeniowiec akademicki, trener Pasjonat nowinek technologicznych ^^. DMZ – co to znaczy?. - PowerPoint PPT Presentation
Transcript of DMZ Po co? Kiedy? Jak?
DMZPo co? Kiedy? Jak?Daniel Stefaniak, PJWSTK
http://w-files.pl
CCNA, MCP, MCTS, MCSA, MCSE, MCITP, MCT
O mnie Lider PLGSC Aktywny członek MSSUG Ekspert WSS Administrator, ćwiczeniowiec
akademicki, trener Pasjonat nowinek technologicznych
^^
DMZ – co to znaczy?
DMZ komputerowy??
Inne nazwy Data Management Zone Demarcation Zone – Strefa
Demarkacyjna Perimeter Network – Sieć brzegowa Screened Subnet – Podsieć
ekranowana/ekranująca
DMZ w IT Strefa buforowa pomiędzy sieciami:
wewnętrzną i „wrogą” Wroga sieć – np. Internet
Kontrola i własność Geopolityczny – pas ziemi niczyjej Sieciowy – pod naszą kontrolą:
adresacja IP, kontakt z LANem
Setup
Źródło: http://articles.techrepublic.com.com/5100-22_11-5756029.html
Założenia LAN – sieć w zamyśle całkowicie
bezpieczna i zaufana – bez 1-to-1 NAT
DMZ – Średnio-zaufana, sieć pośrednia, bufor – bezpośrednio podłączona do wrogiej sieci
Internet - ]:->
Po co? Ochrona LANu przed włamaniami Złamanie jednego serwera nie
powoduje zagrożenia całej sieci
Alternatywy Zewnętrzny hosting
Koszt Brak kontroli
Umieszczenie zewnętrznych serwisów na Firewallu Niezgodne z zalecanymi praktykami
Jak? (1) Osobna podsieć Oddzielona od LANu i wrogiej sieci
przez Firewall/Router/Switch trzeciej warstwy
Jak? (2) - podsieć Adresy zewnętrzne lub wewnętrzne
(10.x.x.x; 172.x.x.x; 192.168.x.x) Osobny segment i/lub VLAN 802.1q Przy adresacji lokalnej zastosować 1-
to-1 (static) NAT Przy adresach publicznych –
wydzielona pula/podsieć
Jak? (3) – Trihommed Firewall
Źródło - http://en.wikipedia.org/wiki/DMZ_%28computing%29
Jak? (3) – Firewall back to back
Źródło - http://en.wikipedia.org/wiki/DMZ_%28computing%29
Trihommed vs back-to-backTrihommed Taniej Ograniczenie do
jednego rozwiązania Trudniejsza
implementacja reguł
Back-to-back Wydajniej:
Front – filtrowanie po pakietach
Back – filtrowanie na warstwie aplikacji (ALF)
DMZ – reguły Internet -> DMZ – restrykcyjny NAT DMZ -> LAN – restrykcje Internet -> LAN – restrykcje LAN -> Internet – PAT LAN -> DMZ – PAT DMZ -> Internet – NAT
http://en.wikipedia.org/wiki/Port_address_translation
Komunikacja LAN -> Internet 1-to-many NAT (PAT) Web Proxy Restricted Access
Komunikacja LAN<->DMZ Ograniczona Ruch uwierzytelniony (KRB, X.509) Ruch Podpisany (IPSec)
DMZ host Hardening
Wyłączenie niepotrzebnych usług Uruchamianie usług z najniższymi
uprawnieniami Mocne hasła Zabezpieczenie kont Aktualizacje Silne logowanie
Bastion Host
Honeynet Przynęta na szkodniki Jeden lub więcej honeypot-ów Specjalny rodzaj DMZ-a Często maszyny wirtualne Stosowanie IDS-a
Wsparcie sprzętowe CISCO – routery, ASA SonicWall – dedykowany port DMZ Check point ISA Server 2004+/TMG2010 UAG2010
Architektury zabezpieczania Ruch anonimowy Ruch uwierzytelniany
Non-authenticated DMZ Publiczne WWW Zewnętrzne DNS-y Publiczne FTP Mail Delivery Agents (MDA) Intrusion Detection System (IDS) !!!
Authenticated DMZ WWW wymagające logowania FTP dla ograniczonego grona Serwer pocztowy dla pracowników
poza biurem Sharepoint Dostępne dopiero po zestawieniu
VPNa
Konfiguracje niestandardowe Exchange Sharepoint OCS Terminal Services ADDS Aplikacje Web wymagające dostępu
do wewnętrznych baz danych (AD, SQL, File Servers)
Reverse Proxy
Konfiguracja dzielona „Split Configuration” Zastosowanie bram (gateway) Serwery proxy przekazujące
poświadczenia
AD w sieci brzegowej (1)
AD w sieci brzegowej (2)
AD w sieci brzegowej (3)
AD w sieci brzegowej (4)
AD w sieci brzegowej (5) – RODC
AD w sieci brzegowej (5) – RODC
Exchange w sieci brzegowej Standardowo nie polecane TYLKO Edge transport z Exch2007
(tylko SMTP) Niestety OWA i AtiveSync wymagają
dostępu do Client Access Servera (CAS)
Best practice – dostęp tylko z Authenticated DMZ
UAG 2010 w authenticated DMZ Pozwala na delegacje poświadczeń –
KCD (Kerberos Constrained Delegation)
Sprzedawany jako virtual appliance (tylko maszyna wirtualna)
Musi być członkiem domeny
Źródła http://
articles.techrepublic.com.com/5100-22_11-5756029.html http://
articles.techrepublic.com.com/5100-22_11-5758204.html?tag=rbxccnbtr1 http://en.wikipedia.org/wiki/DMZ_%
28computing%29 http://
www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=c1d0fd00-bf31-4b20-95c6-279a4ce7c2b4
PYTANIA ?Dziękuję za uwagę
