[GTER] Posicionamento de DNS externos.

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Tue Jan 20 12:56:01 -02 2009


Cristina Fernandes Silva escreveu:
> Nesta caso então a DMZ o Firewall é no modo brigde ?

Não. É roteando. Em bridge tudo fica nas costas do filtro de pacotes.

> 
> 2009/1/20 Patrick Tracanelli <eksffa at freebsdbrasil.com.br>:
>> Cristina Fernandes Silva escreveu:
>>> Não entendi como eu posso ter uma DMZ com ips públicos ??
>>> sendo inspecionado pelo firewall e IPD/IDS..
>>>
>>> gostaria de mais detalhes.. se possível, um exemplo com essa
>>> implementação. até que eu tenho conhecimento a minha DMZ
>>> é com ip privado de outra faixa da minha rede local o meu Firewall
>>> fazendo os redirecionamento.
>> Uma DMZ por definição não tem nada a ver com ter IPs na RFC1928. Essa é uma
>> confusão comum causada por algumas bibliografias, mas uma estudo adequado
>> como Sans Security ou Juniper vai clarear isso. "Designing a DMZ" é um  pdf
>> pequeno com uma otima dose conceito, em
>> http://www.sans.org/reading_room/whitepapers/firewalls/; se o fosse ter uma
>> DMZ em IPv6 seria impossivel, ou, teria que usar endereços site-local
>> obrigatoriamente.
>>
>> Resumindo, pra ter uma DMZ basta que entre a rede militarizada (internet) e
>> a interna (que voce quer proteger) exista uma outra rede, de preferencia
>> fisica, sob a qual voce e so voce tem controle.
>>
>> O conceito de DMZ precede o de firewall ou NAT, e era originalmente feito
>> com null routing.
>>
>>> Quanto a GTS nem todo mundo tem acesso a lista.
>>>
>>>
>>> 2009/1/20 Patrick Tracanelli <eksffa at freebsdbrasil.com.br>:
>>>>> Srs.,
>>>>>
>>>>> Gostaria de ouvir sua opinião: é boa prática colocar DNS externos (i.e.
>>>>> que informam 'a internet sobre a zona TRF3.JUS.BR) dentro da DMZ? Depois
>>>>> de feito o "hardening", evidentemente, não é preferível que eles estejam
>>>>> "do lado de fora"?
>>>>>
>>>> IMHO, Dentro. Como qualquer serviço primário, principalmente sendo
>>>> público,
>>>> atrás do firewall e atrás do IPS. Você não vai querer um serviço primário
>>>> numa região da rede onde você não possa inspecionar. Você também não vai
>>>> querer no próprio firewall ou IPS/IDS pois um potencial problema na
>>>> implementação do serviço pode levar o consumo de CPU pra cima, ao ponto
>>>> de
>>>> concorrer em performance com o IPS/IDS, consumir memória excessivamente
>>>> ou
>>>> qualquer outro problema pior que gere consequencias na disponibilidade ou
>>>> segurança do seu firewall.
>>>>
>>>> Já, colocar IP real e natear é tarefa básica de translation e roteamento
>>>> e
>>>> não vai causar impacto nao firewall. É função dele alias.
>>>>
>>>> Não vejo pq deixar fora.
>>>>
>>>> Essa conversa é bem apropriada ao GTS tbm =)
>>>>
>>>> --
>>>> Patrick Tracanelli
>>>>
>>>> FreeBSD Brasil LTDA.
>>>> Tel.: (31) 3516-0800
>>>> 316601 at sip.freebsdbrasil.com.br
>>>> http://www.freebsdbrasil.com.br
>>>> "Long live Hanin Elias, Kim Deal!"
>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> Patrick Tracanelli
>>
>> FreeBSD Brasil LTDA.
>> Tel.: (31) 3516-0800
>> 316601 at sip.freebsdbrasil.com.br
>> http://www.freebsdbrasil.com.br
>> "Long live Hanin Elias, Kim Deal!"
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"




More information about the gter mailing list