[GTER] RES: Posicionamento de DNS externos.

Toledo, Luis Carlos lscrlstld em gmail.com
Terça Janeiro 20 13:53:28 BRST 2009


Falando a grosso modo, voce separa uma parte do seu range de ips válidos e
atribui essa subnet a uma interface interna do firewall.

Obviamente tem os detalhes de roteamento, etc.

Em seguinda vc atribui regras de filtragem, limitações, IDS, etc.

Abs Toledo

> Desculpe.
> 
> Agora que fiquei confusa..poderia me fornecer maiores 
> detalhes.. estou curiosa.
> 
> Obrigada pela atenção
> 
> 2009/1/20 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
> > Cristina Fernandes Silva escreveu:
> >>
> >> Nesta caso então a DMZ o Firewall é no modo brigde ?
> >
> > Não. É roteando. Em bridge tudo fica nas costas do filtro 
> de pacotes.
> >
> >>
> >> 2009/1/20 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
> >>>
> >>> Cristina Fernandes Silva escreveu:
> >>>>
> >>>> Não entendi como eu posso ter uma DMZ com ips públicos ??
> >>>> sendo inspecionado pelo firewall e IPD/IDS..
> >>>>
> >>>> gostaria de mais detalhes.. se possível, um exemplo com essa 
> >>>> implementação. até que eu tenho conhecimento a minha DMZ 
> é com ip 
> >>>> privado de outra faixa da minha rede local o meu 
> Firewall fazendo 
> >>>> os redirecionamento.
> >>>
> >>> Uma DMZ por definição não tem nada a ver com ter IPs na RFC1928. 
> >>> Essa é uma confusão comum causada por algumas 
> bibliografias, mas uma 
> >>> estudo adequado como Sans Security ou Juniper vai clarear isso. 
> >>> "Designing a DMZ" é um  pdf pequeno com uma otima dose 
> conceito, em 
> >>> http://www.sans.org/reading_room/whitepapers/firewalls/; 
> se o fosse 
> >>> ter uma DMZ em IPv6 seria impossivel, ou, teria que usar 
> endereços 
> >>> site-local obrigatoriamente.
> >>>
> >>> Resumindo, pra ter uma DMZ basta que entre a rede militarizada 
> >>> (internet) e a interna (que voce quer proteger) exista uma outra 
> >>> rede, de preferencia fisica, sob a qual voce e so voce 
> tem controle.
> >>>
> >>> O conceito de DMZ precede o de firewall ou NAT, e era 
> originalmente 
> >>> feito com null routing.
> >>>
> >>>> Quanto a GTS nem todo mundo tem acesso a lista.
> >>>>
> >>>>
> >>>> 2009/1/20 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
> >>>>>>
> >>>>>> Srs.,
> >>>>>>
> >>>>>> Gostaria de ouvir sua opinião: é boa prática colocar 
> DNS externos 
> >>>>>> (i.e.
> >>>>>> que informam 'a internet sobre a zona TRF3.JUS.BR) 
> dentro da DMZ?
> >>>>>> Depois
> >>>>>> de feito o "hardening", evidentemente, não é 
> preferível que eles 
> >>>>>> estejam "do lado de fora"?
> >>>>>>
> >>>>> IMHO, Dentro. Como qualquer serviço primário, 
> principalmente sendo 
> >>>>> público, atrás do firewall e atrás do IPS. Você não vai 
> querer um 
> >>>>> serviço primário numa região da rede onde você não possa 
> >>>>> inspecionar. Você também não vai querer no próprio firewall ou 
> >>>>> IPS/IDS pois um potencial problema na implementação do serviço 
> >>>>> pode levar o consumo de CPU pra cima, ao ponto de concorrer em 
> >>>>> performance com o IPS/IDS, consumir memória excessivamente ou 
> >>>>> qualquer outro problema pior que gere consequencias na 
> >>>>> disponibilidade ou segurança do seu firewall.
> >>>>>
> >>>>> Já, colocar IP real e natear é tarefa básica de translation e 
> >>>>> roteamento e não vai causar impacto nao firewall. É função dele 
> >>>>> alias.
> >>>>>
> >>>>> Não vejo pq deixar fora.
> >>>>>
> >>>>> Essa conversa é bem apropriada ao GTS tbm =)
> >>>>>
> >>>>> --




More information about the gter mailing list