390 likes | 611 Views
http://w-files.pl. DMZ Po co? Kiedy? Jak?. Daniel Stefaniak, PJWSTK. CCNA, MCP, MCTS, MCSA , MCSE, MCITP, MCT. O mnie. Lider PLGSC Aktywny członek MSSUG Ekspert WSS Administrator, ćwiczeniowiec akademicki, trener Pasjonat nowinek technologicznych ^^. DMZ – co to znaczy?.
E N D
http://w-files.pl DMZPo co? Kiedy? Jak? Daniel Stefaniak, PJWSTK CCNA, MCP, MCTS, MCSA, MCSE, MCITP, MCT
O mnie • Lider PLGSC • Aktywny członek MSSUG • Ekspert WSS • Administrator, ćwiczeniowiec akademicki, trener • Pasjonat nowinek technologicznych ^^
Inne nazwy • Data Management Zone • DemarcationZone – Strefa Demarkacyjna • Perimeter Network – Sieć brzegowa • Screened Subnet – Podsieć ekranowana/ekranująca
DMZ w IT • Strefa buforowa pomiędzy sieciami: wewnętrzną i „wrogą” • Wroga sieć – np. Internet
Kontrola i własność • Geopolityczny – pas ziemi niczyjej • Sieciowy – pod naszą kontrolą: adresacja IP, kontakt z LANem
Setup Źródło: http://articles.techrepublic.com.com/5100-22_11-5756029.html
Założenia • LAN – sieć w zamyśle całkowicie bezpieczna i zaufana – bez 1-to-1 NAT • DMZ – Średnio-zaufana, sieć pośrednia, bufor – bezpośrednio podłączona do wrogiej sieci • Internet - ]:->
Po co? • Ochrona LANu przed włamaniami • Złamanie jednego serwera nie powoduje zagrożenia całej sieci
Alternatywy • Zewnętrzny hosting • Koszt • Brak kontroli • Umieszczenie zewnętrznych serwisów na Firewallu • Niezgodne z zalecanymi praktykami
Jak? (1) • Osobna podsieć • Oddzielona od LANu i wrogiej sieci przez Firewall/Router/Switch trzeciej warstwy
Jak? (2) - podsieć • Adresy zewnętrzne lub wewnętrzne (10.x.x.x; 172.x.x.x; 192.168.x.x) • Osobny segment i/lub VLAN 802.1q • Przy adresacji lokalnej zastosować 1-to-1 (static) NAT • Przy adresach publicznych – wydzielona pula/podsieć
Jak? (3) – Trihommed Firewall Źródło - http://en.wikipedia.org/wiki/DMZ_%28computing%29
Jak? (3) – Firewall back to back Źródło - http://en.wikipedia.org/wiki/DMZ_%28computing%29
Trihommed vs back-to-back Trihommed Back-to-back Wydajniej: Front – filtrowanie po pakietach Back – filtrowanie na warstwie aplikacji (ALF) • Taniej • Ograniczenie do jednego rozwiązania • Trudniejsza implementacja reguł
DMZ – reguły • Internet -> DMZ – restrykcyjny NAT • DMZ -> LAN – restrykcje • Internet -> LAN – restrykcje • LAN -> Internet – PAT • LAN -> DMZ – PAT • DMZ -> Internet – NAT http://en.wikipedia.org/wiki/Port_address_translation
Komunikacja LAN -> Internet • 1-to-many NAT (PAT) • Web Proxy • Restricted Access
Komunikacja LAN<->DMZ • Ograniczona • Ruch uwierzytelniony (KRB, X.509) • Ruch Podpisany (IPSec)
DMZ host • Hardening • Wyłączenie niepotrzebnych usług • Uruchamianie usług z najniższymi uprawnieniami • Mocne hasła • Zabezpieczenie kont • Aktualizacje • Silne logowanie • Bastion Host
Honeynet • Przynęta na szkodniki • Jeden lub więcej honeypot-ów • Specjalny rodzaj DMZ-a • Często maszyny wirtualne • Stosowanie IDS-a
Wsparcie sprzętowe • CISCO – routery, ASA • SonicWall – dedykowany port DMZ • Check point • ISA Server 2004+/TMG2010 • UAG2010
Architektury zabezpieczania • Ruch anonimowy • Ruch uwierzytelniany
Non-authenticated DMZ • Publiczne WWW • Zewnętrzne DNS-y • Publiczne FTP • Mail Delivery Agents (MDA) • Intrusion Detection System (IDS) !!!
Authenticated DMZ • WWW wymagające logowania • FTP dla ograniczonego grona • Serwer pocztowy dla pracowników poza biurem • Sharepoint • Dostępne dopiero po zestawieniu VPNa
Konfiguracje niestandardowe • Exchange • Sharepoint • OCS • Terminal Services • ADDS • Aplikacje Web wymagające dostępu do wewnętrznych baz danych (AD, SQL, File Servers) • Reverse Proxy
Konfiguracja dzielona • „Split Configuration” • Zastosowanie bram (gateway) • Serwery proxy przekazujące poświadczenia
Exchange w sieci brzegowej • Standardowo nie polecane • TYLKO Edge transport z Exch2007 (tylko SMTP) • Niestety OWA i AtiveSync wymagają dostępu do Client Access Servera (CAS) • Best practice – dostęp tylko z Authenticated DMZ
UAG 2010 w authenticated DMZ • Pozwala na delegacje poświadczeń – KCD (KerberosConstrainedDelegation) • Sprzedawany jako virtualappliance (tylko maszyna wirtualna) • Musi być członkiem domeny
Źródła • http://articles.techrepublic.com.com/5100-22_11-5756029.html • http://articles.techrepublic.com.com/5100-22_11-5758204.html?tag=rbxccnbtr1 • http://en.wikipedia.org/wiki/DMZ_%28computing%29 • http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=c1d0fd00-bf31-4b20-95c6-279a4ce7c2b4
Dziękuję za uwagę Pytania ?