[GTER] Posicionamento de DNS externos.

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Tue Jan 20 12:29:45 -02 2009 

Cristina Fernandes Silva escreveu:
> Não entendi como eu posso ter uma DMZ com ips públicos ??
> sendo inspecionado pelo firewall e IPD/IDS..
> 
> gostaria de mais detalhes.. se possível, um exemplo com essa
> implementação. até que eu tenho conhecimento a minha DMZ
> é com ip privado de outra faixa da minha rede local o meu Firewall
> fazendo os redirecionamento.

Uma DMZ por definição não tem nada a ver com ter IPs na RFC1928. Essa é 
uma confusão comum causada por algumas bibliografias, mas uma estudo 
adequado como Sans Security ou Juniper vai clarear isso. "Designing a 
DMZ" é um  pdf pequeno com uma otima dose conceito, em 
http://www.sans.org/reading_room/whitepapers/firewalls/; se o fosse ter 
uma DMZ em IPv6 seria impossivel, ou, teria que usar endereços 
site-local obrigatoriamente.

Resumindo, pra ter uma DMZ basta que entre a rede militarizada 
(internet) e a interna (que voce quer proteger) exista uma outra rede, 
de preferencia fisica, sob a qual voce e so voce tem controle.

O conceito de DMZ precede o de firewall ou NAT, e era originalmente 
feito com null routing.

> 
> Quanto a GTS nem todo mundo tem acesso a lista.
> 
> 
> 2009/1/20 Patrick Tracanelli <eksffa at freebsdbrasil.com.br>:
>>> Srs.,
>>>
>>> Gostaria de ouvir sua opinião: é boa prática colocar DNS externos (i.e.
>>> que informam 'a internet sobre a zona TRF3.JUS.BR) dentro da DMZ? Depois
>>> de feito o "hardening", evidentemente, não é preferível que eles estejam
>>> "do lado de fora"?
>>>
>> IMHO, Dentro. Como qualquer serviço primário, principalmente sendo público,
>> atrás do firewall e atrás do IPS. Você não vai querer um serviço primário
>> numa região da rede onde você não possa inspecionar. Você também não vai
>> querer no próprio firewall ou IPS/IDS pois um potencial problema na
>> implementação do serviço pode levar o consumo de CPU pra cima, ao ponto de
>> concorrer em performance com o IPS/IDS, consumir memória excessivamente ou
>> qualquer outro problema pior que gere consequencias na disponibilidade ou
>> segurança do seu firewall.
>>
>> Já, colocar IP real e natear é tarefa básica de translation e roteamento e
>> não vai causar impacto nao firewall. É função dele alias.
>>
>> Não vejo pq deixar fora.
>>
>> Essa conversa é bem apropriada ao GTS tbm =)
>>
>> --
>> Patrick Tracanelli
>>
>> FreeBSD Brasil LTDA.
>> Tel.: (31) 3516-0800
>> 316601 at sip.freebsdbrasil.com.br
>> http://www.freebsdbrasil.com.br
>> "Long live Hanin Elias, Kim Deal!"
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

More information about the gter mailing list