1 / 37

DMZ Po co? Kiedy? Jak?

http://w-files.pl. DMZ Po co? Kiedy? Jak?. Daniel Stefaniak, PJWSTK. CCNA, MCP, MCTS, MCSA , MCSE, MCITP, MCT. O mnie. Lider PLGSC Aktywny członek MSSUG Ekspert WSS Administrator, ćwiczeniowiec akademicki, trener Pasjonat nowinek technologicznych ^^. DMZ – co to znaczy?.

wallis
Download Presentation

DMZ Po co? Kiedy? Jak?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. http://w-files.pl DMZPo co? Kiedy? Jak? Daniel Stefaniak, PJWSTK CCNA, MCP, MCTS, MCSA, MCSE, MCITP, MCT

  2. O mnie • Lider PLGSC • Aktywny członek MSSUG • Ekspert WSS • Administrator, ćwiczeniowiec akademicki, trener • Pasjonat nowinek technologicznych ^^

  3. DMZ – co to znaczy?

  4. DMZ komputerowy?? 

  5. Inne nazwy • Data Management Zone • DemarcationZone – Strefa Demarkacyjna • Perimeter Network – Sieć brzegowa • Screened Subnet – Podsieć ekranowana/ekranująca

  6. DMZ w IT • Strefa buforowa pomiędzy sieciami: wewnętrzną i „wrogą” • Wroga sieć – np. Internet

  7. Kontrola i własność • Geopolityczny – pas ziemi niczyjej • Sieciowy – pod naszą kontrolą: adresacja IP, kontakt z LANem

  8. Setup Źródło: http://articles.techrepublic.com.com/5100-22_11-5756029.html

  9. Założenia • LAN – sieć w zamyśle całkowicie bezpieczna i zaufana – bez 1-to-1 NAT • DMZ – Średnio-zaufana, sieć pośrednia, bufor – bezpośrednio podłączona do wrogiej sieci • Internet - ]:->

  10. Po co? • Ochrona LANu przed włamaniami • Złamanie jednego serwera nie powoduje zagrożenia całej sieci

  11. Alternatywy • Zewnętrzny hosting • Koszt • Brak kontroli • Umieszczenie zewnętrznych serwisów na Firewallu • Niezgodne z zalecanymi praktykami

  12. Jak? (1) • Osobna podsieć • Oddzielona od LANu i wrogiej sieci przez Firewall/Router/Switch trzeciej warstwy

  13. Jak? (2) - podsieć • Adresy zewnętrzne lub wewnętrzne (10.x.x.x; 172.x.x.x; 192.168.x.x) • Osobny segment i/lub VLAN 802.1q • Przy adresacji lokalnej zastosować 1-to-1 (static) NAT • Przy adresach publicznych – wydzielona pula/podsieć

  14. Jak? (3) – Trihommed Firewall Źródło - http://en.wikipedia.org/wiki/DMZ_%28computing%29

  15. Jak? (3) – Firewall back to back Źródło - http://en.wikipedia.org/wiki/DMZ_%28computing%29

  16. Trihommed vs back-to-back Trihommed Back-to-back Wydajniej: Front – filtrowanie po pakietach Back – filtrowanie na warstwie aplikacji (ALF) • Taniej • Ograniczenie do jednego rozwiązania • Trudniejsza implementacja reguł

  17. DMZ – reguły • Internet -> DMZ – restrykcyjny NAT • DMZ -> LAN – restrykcje • Internet -> LAN – restrykcje • LAN -> Internet – PAT • LAN -> DMZ – PAT • DMZ -> Internet – NAT http://en.wikipedia.org/wiki/Port_address_translation

  18. Komunikacja LAN -> Internet • 1-to-many NAT (PAT) • Web Proxy • Restricted Access

  19. Komunikacja LAN<->DMZ • Ograniczona • Ruch uwierzytelniony (KRB, X.509) • Ruch Podpisany (IPSec)

  20. DMZ host • Hardening • Wyłączenie niepotrzebnych usług • Uruchamianie usług z najniższymi uprawnieniami • Mocne hasła • Zabezpieczenie kont • Aktualizacje • Silne logowanie • Bastion Host

  21. Honeynet • Przynęta na szkodniki  • Jeden lub więcej honeypot-ów • Specjalny rodzaj DMZ-a • Często maszyny wirtualne • Stosowanie IDS-a

  22. Wsparcie sprzętowe • CISCO – routery, ASA • SonicWall – dedykowany port DMZ • Check point • ISA Server 2004+/TMG2010 • UAG2010

  23. Architektury zabezpieczania • Ruch anonimowy • Ruch uwierzytelniany

  24. Non-authenticated DMZ • Publiczne WWW • Zewnętrzne DNS-y • Publiczne FTP • Mail Delivery Agents (MDA) • Intrusion Detection System (IDS) !!!

  25. Authenticated DMZ • WWW wymagające logowania • FTP dla ograniczonego grona • Serwer pocztowy dla pracowników poza biurem • Sharepoint • Dostępne dopiero po zestawieniu VPNa

  26. Konfiguracje niestandardowe • Exchange • Sharepoint • OCS • Terminal Services • ADDS • Aplikacje Web wymagające dostępu do wewnętrznych baz danych (AD, SQL, File Servers) • Reverse Proxy

  27. Konfiguracja dzielona • „Split Configuration” • Zastosowanie bram (gateway) • Serwery proxy przekazujące poświadczenia

  28. AD w sieci brzegowej (1)

  29. AD w sieci brzegowej (2)

  30. AD w sieci brzegowej (3)

  31. AD w sieci brzegowej (4)

  32. AD w sieci brzegowej (5) – RODC

  33. AD w sieci brzegowej (5) – RODC

  34. Exchange w sieci brzegowej • Standardowo nie polecane • TYLKO Edge transport z Exch2007 (tylko SMTP) • Niestety OWA i AtiveSync wymagają dostępu do Client Access Servera (CAS) • Best practice – dostęp tylko z Authenticated DMZ

  35. UAG 2010 w authenticated DMZ • Pozwala na delegacje poświadczeń – KCD (KerberosConstrainedDelegation) • Sprzedawany jako virtualappliance (tylko maszyna wirtualna) • Musi być członkiem domeny

  36. Źródła • http://articles.techrepublic.com.com/5100-22_11-5756029.html • http://articles.techrepublic.com.com/5100-22_11-5758204.html?tag=rbxccnbtr1 • http://en.wikipedia.org/wiki/DMZ_%28computing%29 • http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=c1d0fd00-bf31-4b20-95c6-279a4ce7c2b4

  37. Dziękuję za uwagę Pytania ?

More Related