[GTER] RES: Posicionamento de DNS externos.
Toledo, Luis Carlos
lscrlstld at gmail.com
Tue Jan 20 13:53:28 -02 2009
Falando a grosso modo, voce separa uma parte do seu range de ips válidos e
atribui essa subnet a uma interface interna do firewall.
Obviamente tem os detalhes de roteamento, etc.
Em seguinda vc atribui regras de filtragem, limitações, IDS, etc.
Abs Toledo
> Desculpe.
>
> Agora que fiquei confusa..poderia me fornecer maiores
> detalhes.. estou curiosa.
>
> Obrigada pela atenção
>
> 2009/1/20 Patrick Tracanelli <eksffa at freebsdbrasil.com.br>:
> > Cristina Fernandes Silva escreveu:
> >>
> >> Nesta caso então a DMZ o Firewall é no modo brigde ?
> >
> > Não. É roteando. Em bridge tudo fica nas costas do filtro
> de pacotes.
> >
> >>
> >> 2009/1/20 Patrick Tracanelli <eksffa at freebsdbrasil.com.br>:
> >>>
> >>> Cristina Fernandes Silva escreveu:
> >>>>
> >>>> Não entendi como eu posso ter uma DMZ com ips públicos ??
> >>>> sendo inspecionado pelo firewall e IPD/IDS..
> >>>>
> >>>> gostaria de mais detalhes.. se possível, um exemplo com essa
> >>>> implementação. até que eu tenho conhecimento a minha DMZ
> é com ip
> >>>> privado de outra faixa da minha rede local o meu
> Firewall fazendo
> >>>> os redirecionamento.
> >>>
> >>> Uma DMZ por definição não tem nada a ver com ter IPs na RFC1928.
> >>> Essa é uma confusão comum causada por algumas
> bibliografias, mas uma
> >>> estudo adequado como Sans Security ou Juniper vai clarear isso.
> >>> "Designing a DMZ" é um pdf pequeno com uma otima dose
> conceito, em
> >>> http://www.sans.org/reading_room/whitepapers/firewalls/;
> se o fosse
> >>> ter uma DMZ em IPv6 seria impossivel, ou, teria que usar
> endereços
> >>> site-local obrigatoriamente.
> >>>
> >>> Resumindo, pra ter uma DMZ basta que entre a rede militarizada
> >>> (internet) e a interna (que voce quer proteger) exista uma outra
> >>> rede, de preferencia fisica, sob a qual voce e so voce
> tem controle.
> >>>
> >>> O conceito de DMZ precede o de firewall ou NAT, e era
> originalmente
> >>> feito com null routing.
> >>>
> >>>> Quanto a GTS nem todo mundo tem acesso a lista.
> >>>>
> >>>>
> >>>> 2009/1/20 Patrick Tracanelli <eksffa at freebsdbrasil.com.br>:
> >>>>>>
> >>>>>> Srs.,
> >>>>>>
> >>>>>> Gostaria de ouvir sua opinião: é boa prática colocar
> DNS externos
> >>>>>> (i.e.
> >>>>>> que informam 'a internet sobre a zona TRF3.JUS.BR)
> dentro da DMZ?
> >>>>>> Depois
> >>>>>> de feito o "hardening", evidentemente, não é
> preferível que eles
> >>>>>> estejam "do lado de fora"?
> >>>>>>
> >>>>> IMHO, Dentro. Como qualquer serviço primário,
> principalmente sendo
> >>>>> público, atrás do firewall e atrás do IPS. Você não vai
> querer um
> >>>>> serviço primário numa região da rede onde você não possa
> >>>>> inspecionar. Você também não vai querer no próprio firewall ou
> >>>>> IPS/IDS pois um potencial problema na implementação do serviço
> >>>>> pode levar o consumo de CPU pra cima, ao ponto de concorrer em
> >>>>> performance com o IPS/IDS, consumir memória excessivamente ou
> >>>>> qualquer outro problema pior que gere consequencias na
> >>>>> disponibilidade ou segurança do seu firewall.
> >>>>>
> >>>>> Já, colocar IP real e natear é tarefa básica de translation e
> >>>>> roteamento e não vai causar impacto nao firewall. É função dele
> >>>>> alias.
> >>>>>
> >>>>> Não vejo pq deixar fora.
> >>>>>
> >>>>> Essa conversa é bem apropriada ao GTS tbm =)
> >>>>>
> >>>>> --
More information about the gter
mailing list