[dr Tr0jan]

Не знаю, куда ближе тема - к железу или софту, посему пишу сюда.

 

Занялся вопросом грамотного дизайна DMZ в организации и понял, что ничего не знаю на эту тему, а источников то в принципе (даже зарубежных) толком и нет.

На настоящий момент выяснил, что DMZ - это сеть, "грязнее" интранета, но "чище" интернета, отсюда и надо отталкиватся.

Положим, что в сети есть четыре типа ресурсов (все остальные сервисы, в т.ч. внутрисетевые, отброшу) - AD DC, Mail, NAS и Zabbix. Ну AD DC уходят в свой VLAN by design. Mail уходит в классическую DMZ - ибо доступ нужен как из интернета, так и из локалки. NAS - фактически RADIUS для WiFi-контроллера и VPN-сервера, теоретически становится уязвим при их взломе, и можно получить через взломанные учетки доступ почти куда-угодно. Zabbix в свою очередь должен иметь доступ вообще везде (использование proxy-серверов кажется запутанным решением), следовательно при его взломе можно тоже получить доступ практически везде.

Как, в общем, быть с двумя последними серверами? По отдельному VLAN на каждый сервер или другой вариант? Какие дизайны кто порекомендует? Интерес в большей степени практический.

[s.lobanov]

Вы путаете мух с котлетами. Когда говорят о DMZ и прочем, то речь идёт о сетях(!) и взаимодействии сетей, а L2 тут принципиального значения не имеет, т.е. делать влан на сервер или не делать это зависит скорее от того есть ли вероятность перенос части серверов на другие точки терминирования или нет и к вопросу о dmz отношения не имеет

 

Вообще, делать доступ к внутренней системе мониторинга извне не очень понятно зачем, а мониторить внешний мир можете через zabbix-proxy и запретить коннектиться с zabbix-proxy в zabbix. Кроме того, решение zabbix-прокси очень удобно, когда надо мониторить не только свой интернет, но ещё и чужой(для сравнения)

 

И даже решение без proxy тоже есть. Настраиваете на самом сервере фаервол(или на внешнем фаерволе), который запрещает входящие коннекты извне, разрешаеттолько исходящие во внешний мир (да и по отношению к оборудованию тоже можно такое сделать, кроме traps и syslog)

 

Нужен доступ извне - подключайтесь в рабочее адресное пространство через тунель.

[-Ars-]

Когда говорят о DMZ и прочем

То сначала, ИМХО, надо определиться к какой "школе" принадлежит собеседник ;)

У нас работают несколько выходцев из "Чек-пойнта", они свято уверены, что DMZ - это некая "черная дыра" в сети, место, куда пакеты попадают, но их никто не встречает, соответственно никто не может ничего о сети узнать.

Их повергло в почти священный ужас сообщение, что в домашних СРЕ конфигурируют DMZ , чтобы, например, не возиться с port forwarding ;)

[s.lobanov]

но в любом случае не про L2 идёт речь

[dr Tr0jan]

Вы путаете мух с котлетами.

Согласен, посему и создал тему, чтобы разобраться в вопросе.

 

Настраиваете на самом сервере фаервол(или на внешнем фаерволе)

Ну а если взять не Zabbix, а тот же Mail. Если настраивать фаервол непосредственно на сервере, тогда, я так понимаю, и DMZ никакой не нужен. Т.е., грубо говоря, этот фаервол и будет выполнять роль DMZ.

Однако, если настраивать внешний фаервол, то невозможно будет ограничивать взаимодействие серверов в пределах зоны (например L2). В этом я вижу проблему (ибо настраивать фаервол на каждом сервере мне не очень удобно).

 

То сначала, ИМХО, надо определиться к какой "школе" принадлежит собеседник ;)

Скорее к Cisco.

[snvoronkov]

DMZ - "не особо доверенная зона", в отличае от внутренней сети.

Способ создания ее не особо принципиален. Речь о том, что внутренние сервисы могут инициировать соединения в DMZ, а вот обратное - не особо (или через шлюзы с проверкой параметров).

 

Т.е., вы устанавливаете сервера, которые враг может взломать. Пусть шанс невелик (иначе вы вообще не ту профессию выбрали), но он есть. И вы прикрываете собственный зад, вынося эти сервера/сервисы в отдельный сегмент.

 

// Пакетник не есть DMZ. Как и tcpd/libwrap. И в DMZ пакетник настраивать желательно на КАЖДОМ сервере, ибо он потенциально окупируется врагом.

[dr Tr0jan]

Пакетник не есть DMZ

Пакетник = встроенный в ОС фаервол?

[snvoronkov]

Пакетник не есть DMZ

Пакетник = встроенный в ОС фаервол?

Угу. Пакетный фильтр.

 

В DMZ его надо активно применять. Чтоб отсеч работу потенциально вломанных соседей и троянов у себя.

[s.lobanov]

а тот же Mail

Если говорить про mail-сервер, то нужно определиться что это за сервер. если он для абонентов, то вообще сделать его как будто он в где-то в интернете и не давать никакого доступа в свою корпоративную/технологическую сеть

 

если он для корпоративной почты (и входящие по tcp/25 неизбежны), то тоже его можно сделать как будто он в интернете, с логами только неудобно будет (не будет видно серого адреса). ну или же отдельный влан, если не хотите не вешать фаервол на другие сервера

 

и ещё, если у вас точка терминирования и фаервол это одно и тоже, то можно делать proxy-arp и L2-изоляцию между серверами, чтобы все политики жили на сетевом оборудовании, а не на серверах

 

но лично я не сторонник концепции "вся защита в одной точке", многоуровневая защита может спасти от взлома одного уровня (например похакают сам фаервол)