[GTER] Posicionamento de DNS externos.

Cristina Fernandes Silva cristinafs.listas at gmail.com
Tue Jan 20 12:37:35 -02 2009


Nesta caso então a DMZ o Firewall é no modo brigde ?

2009/1/20 Patrick Tracanelli <eksffa at freebsdbrasil.com.br>:
> Cristina Fernandes Silva escreveu:
>>
>> Não entendi como eu posso ter uma DMZ com ips públicos ??
>> sendo inspecionado pelo firewall e IPD/IDS..
>>
>> gostaria de mais detalhes.. se possível, um exemplo com essa
>> implementação. até que eu tenho conhecimento a minha DMZ
>> é com ip privado de outra faixa da minha rede local o meu Firewall
>> fazendo os redirecionamento.
>
> Uma DMZ por definição não tem nada a ver com ter IPs na RFC1928. Essa é uma
> confusão comum causada por algumas bibliografias, mas uma estudo adequado
> como Sans Security ou Juniper vai clarear isso. "Designing a DMZ" é um  pdf
> pequeno com uma otima dose conceito, em
> http://www.sans.org/reading_room/whitepapers/firewalls/; se o fosse ter uma
> DMZ em IPv6 seria impossivel, ou, teria que usar endereços site-local
> obrigatoriamente.
>
> Resumindo, pra ter uma DMZ basta que entre a rede militarizada (internet) e
> a interna (que voce quer proteger) exista uma outra rede, de preferencia
> fisica, sob a qual voce e so voce tem controle.
>
> O conceito de DMZ precede o de firewall ou NAT, e era originalmente feito
> com null routing.
>
>>
>> Quanto a GTS nem todo mundo tem acesso a lista.
>>
>>
>> 2009/1/20 Patrick Tracanelli <eksffa at freebsdbrasil.com.br>:
>>>>
>>>> Srs.,
>>>>
>>>> Gostaria de ouvir sua opinião: é boa prática colocar DNS externos (i.e.
>>>> que informam 'a internet sobre a zona TRF3.JUS.BR) dentro da DMZ? Depois
>>>> de feito o "hardening", evidentemente, não é preferível que eles estejam
>>>> "do lado de fora"?
>>>>
>>> IMHO, Dentro. Como qualquer serviço primário, principalmente sendo
>>> público,
>>> atrás do firewall e atrás do IPS. Você não vai querer um serviço primário
>>> numa região da rede onde você não possa inspecionar. Você também não vai
>>> querer no próprio firewall ou IPS/IDS pois um potencial problema na
>>> implementação do serviço pode levar o consumo de CPU pra cima, ao ponto
>>> de
>>> concorrer em performance com o IPS/IDS, consumir memória excessivamente
>>> ou
>>> qualquer outro problema pior que gere consequencias na disponibilidade ou
>>> segurança do seu firewall.
>>>
>>> Já, colocar IP real e natear é tarefa básica de translation e roteamento
>>> e
>>> não vai causar impacto nao firewall. É função dele alias.
>>>
>>> Não vejo pq deixar fora.
>>>
>>> Essa conversa é bem apropriada ao GTS tbm =)
>>>
>>> --
>>> Patrick Tracanelli
>>>
>>> FreeBSD Brasil LTDA.
>>> Tel.: (31) 3516-0800
>>> 316601 at sip.freebsdbrasil.com.br
>>> http://www.freebsdbrasil.com.br
>>> "Long live Hanin Elias, Kim Deal!"
>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 at sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list