[GTER] Posicionamento de DNS externos.

Cristina Fernandes Silva cristinafs.listas em gmail.com
Terça Janeiro 20 13:02:05 BRST 2009


Desculpe.

Agora que fiquei confusa..poderia me fornecer maiores
detalhes.. estou curiosa.

Obrigada pela atenção

2009/1/20 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
> Cristina Fernandes Silva escreveu:
>>
>> Nesta caso então a DMZ o Firewall é no modo brigde ?
>
> Não. É roteando. Em bridge tudo fica nas costas do filtro de pacotes.
>
>>
>> 2009/1/20 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
>>>
>>> Cristina Fernandes Silva escreveu:
>>>>
>>>> Não entendi como eu posso ter uma DMZ com ips públicos ??
>>>> sendo inspecionado pelo firewall e IPD/IDS..
>>>>
>>>> gostaria de mais detalhes.. se possível, um exemplo com essa
>>>> implementação. até que eu tenho conhecimento a minha DMZ
>>>> é com ip privado de outra faixa da minha rede local o meu Firewall
>>>> fazendo os redirecionamento.
>>>
>>> Uma DMZ por definição não tem nada a ver com ter IPs na RFC1928. Essa é
>>> uma
>>> confusão comum causada por algumas bibliografias, mas uma estudo adequado
>>> como Sans Security ou Juniper vai clarear isso. "Designing a DMZ" é um
>>>  pdf
>>> pequeno com uma otima dose conceito, em
>>> http://www.sans.org/reading_room/whitepapers/firewalls/; se o fosse ter
>>> uma
>>> DMZ em IPv6 seria impossivel, ou, teria que usar endereços site-local
>>> obrigatoriamente.
>>>
>>> Resumindo, pra ter uma DMZ basta que entre a rede militarizada (internet)
>>> e
>>> a interna (que voce quer proteger) exista uma outra rede, de preferencia
>>> fisica, sob a qual voce e so voce tem controle.
>>>
>>> O conceito de DMZ precede o de firewall ou NAT, e era originalmente feito
>>> com null routing.
>>>
>>>> Quanto a GTS nem todo mundo tem acesso a lista.
>>>>
>>>>
>>>> 2009/1/20 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
>>>>>>
>>>>>> Srs.,
>>>>>>
>>>>>> Gostaria de ouvir sua opinião: é boa prática colocar DNS externos
>>>>>> (i.e.
>>>>>> que informam 'a internet sobre a zona TRF3.JUS.BR) dentro da DMZ?
>>>>>> Depois
>>>>>> de feito o "hardening", evidentemente, não é preferível que eles
>>>>>> estejam
>>>>>> "do lado de fora"?
>>>>>>
>>>>> IMHO, Dentro. Como qualquer serviço primário, principalmente sendo
>>>>> público,
>>>>> atrás do firewall e atrás do IPS. Você não vai querer um serviço
>>>>> primário
>>>>> numa região da rede onde você não possa inspecionar. Você também não
>>>>> vai
>>>>> querer no próprio firewall ou IPS/IDS pois um potencial problema na
>>>>> implementação do serviço pode levar o consumo de CPU pra cima, ao ponto
>>>>> de
>>>>> concorrer em performance com o IPS/IDS, consumir memória excessivamente
>>>>> ou
>>>>> qualquer outro problema pior que gere consequencias na disponibilidade
>>>>> ou
>>>>> segurança do seu firewall.
>>>>>
>>>>> Já, colocar IP real e natear é tarefa básica de translation e
>>>>> roteamento
>>>>> e
>>>>> não vai causar impacto nao firewall. É função dele alias.
>>>>>
>>>>> Não vejo pq deixar fora.
>>>>>
>>>>> Essa conversa é bem apropriada ao GTS tbm =)
>>>>>
>>>>> --
>>>>> Patrick Tracanelli
>>>>>
>>>>> FreeBSD Brasil LTDA.
>>>>> Tel.: (31) 3516-0800
>>>>> 316601 em sip.freebsdbrasil.com.br
>>>>> http://www.freebsdbrasil.com.br
>>>>> "Long live Hanin Elias, Kim Deal!"
>>>>>
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>>> Patrick Tracanelli
>>>
>>> FreeBSD Brasil LTDA.
>>> Tel.: (31) 3516-0800
>>> 316601 em sip.freebsdbrasil.com.br
>>> http://www.freebsdbrasil.com.br
>>> "Long live Hanin Elias, Kim Deal!"
>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list