[GTER] Squid + DMZ

Lao DanTong danton at inexo.com.br
Fri Feb 25 15:09:30 -03 2005 

On Fri, 25 Feb 2005, Thiago Sobral wrote:

>> achei meio esquisito que a dmz tenha endereços BCP5. no meu entender DMZ
>> faz parte da internet e deveria ter endereços válidos na internet. se
>> fosse assim certamente seu squid não se perderia.
> Concordo que não se perderia, mas o conceito de se usar endereços não
> roteáveis implica no uso de apenas um firewall, pois se essa máquina tivesse
> um IP válido, estaria na mesma linha do firewall e não seria protegido por
> ele e ainda essa máquina com o webserver necessitaria de um firewall próprio,
> até mesmo dispensando o uso de NAT.
> Até aonde eu falei besteira ?!

dê uma olhada no livro "building internet firewalls", Second Edition, 
Zwicky, Elizabeth D. / Cooper, Simon, O'Reilly, ISBN 1565928717

voce pode ter um só roteador com três portas, uma para a internet, uma 
para a DMZ e uma para a rede interna, o importante nesta filosofia de 
firewall é que a rede interna não fala com a internet de jeito nenhum, só 
com a DMZ.

Voce NÃO deve usar proxies tipo NAT para "sair" para a internet, senão 
voce quebra o conceito de firewall baseado em DMZ. navegação na Web tem 
que ser intermediada pelo squid e o servidor do squid tem que morar no 
DMZ.

não entendi a história de estar "na mesma linha" do firewall. A DMZ É 
PARTE do firewall! e não importa que endereços tenha, fica sempre atrás de 
um roteador com filtro de pacotes (que é o que voce está chamando de 
firewall, mas não é), quer tenha endereços internet ou bcp5.

DMZ é uma arquitetura de firewall bastante paranóica, não se deve partir 
para ela só porque viu em algum artigo em revista ou demonstração por aí. 
Ao se usar esse tipo de firewall muitas aplicações ficam inacessíveis de 
dentro, tipo MSN, ICQ, etc. Será que você realmente precisa desse tipo de 
firewall? está disposto a aguentar a choradeira dos usuários que não podem 
entrar na MSN? Note que, como disse antes, se você colocar um NAT "para 
fora" você estará quebrando o paradigma de DMZ, e entrando numa situação 
perigosa, aquela em que você PENSA que está protegido, mas não está.

Finalmente, atualmente os grandes perigos não estão nas camadas de rede e 
transporte, que é do que os firewalls tratam. O monstro hoje ronda a 
camada de aplicação e aquela criatura que fica entre o banco e o teclado. 
Pode ser uma eonrme perda de tempo e representar um bocado de desgaste 
investir em firewalls com alto índice de paranóia (como DMZ), e não 
segurar a camada de aplicação. A corrente quebra no elo mais fraco.

Segurar a camada de aplicação é, porém, uma das coisas mais difíceis que 
eu já vi. Boa Sorte.

More information about the gter mailing list