[GTER] Squid + DMZ
Lao DanTong
danton at inexo.com.br
Fri Feb 25 15:09:30 -03 2005
On Fri, 25 Feb 2005, Thiago Sobral wrote:
>> achei meio esquisito que a dmz tenha endereços BCP5. no meu entender DMZ
>> faz parte da internet e deveria ter endereços válidos na internet. se
>> fosse assim certamente seu squid não se perderia.
> Concordo que não se perderia, mas o conceito de se usar endereços não
> roteáveis implica no uso de apenas um firewall, pois se essa máquina tivesse
> um IP válido, estaria na mesma linha do firewall e não seria protegido por
> ele e ainda essa máquina com o webserver necessitaria de um firewall próprio,
> até mesmo dispensando o uso de NAT.
> Até aonde eu falei besteira ?!
dê uma olhada no livro "building internet firewalls", Second Edition,
Zwicky, Elizabeth D. / Cooper, Simon, O'Reilly, ISBN 1565928717
voce pode ter um só roteador com três portas, uma para a internet, uma
para a DMZ e uma para a rede interna, o importante nesta filosofia de
firewall é que a rede interna não fala com a internet de jeito nenhum, só
com a DMZ.
Voce NÃO deve usar proxies tipo NAT para "sair" para a internet, senão
voce quebra o conceito de firewall baseado em DMZ. navegação na Web tem
que ser intermediada pelo squid e o servidor do squid tem que morar no
DMZ.
não entendi a história de estar "na mesma linha" do firewall. A DMZ É
PARTE do firewall! e não importa que endereços tenha, fica sempre atrás de
um roteador com filtro de pacotes (que é o que voce está chamando de
firewall, mas não é), quer tenha endereços internet ou bcp5.
DMZ é uma arquitetura de firewall bastante paranóica, não se deve partir
para ela só porque viu em algum artigo em revista ou demonstração por aí.
Ao se usar esse tipo de firewall muitas aplicações ficam inacessíveis de
dentro, tipo MSN, ICQ, etc. Será que você realmente precisa desse tipo de
firewall? está disposto a aguentar a choradeira dos usuários que não podem
entrar na MSN? Note que, como disse antes, se você colocar um NAT "para
fora" você estará quebrando o paradigma de DMZ, e entrando numa situação
perigosa, aquela em que você PENSA que está protegido, mas não está.
Finalmente, atualmente os grandes perigos não estão nas camadas de rede e
transporte, que é do que os firewalls tratam. O monstro hoje ronda a
camada de aplicação e aquela criatura que fica entre o banco e o teclado.
Pode ser uma eonrme perda de tempo e representar um bocado de desgaste
investir em firewalls com alto índice de paranóia (como DMZ), e não
segurar a camada de aplicação. A corrente quebra no elo mais fraco.
Segurar a camada de aplicação é, porém, uma das coisas mais difíceis que
eu já vi. Boa Sorte.
More information about the gter
mailing list