Distinção entre uma extranet e uma DMZ [fechada]

8

Eu tenho lido sobre intranets, extranets, DMZs e VPNs agora, e precisaria de alguns esclarecimentos relacionados a extranets e DMZs. Entendo que são diferentes tipos de conceitos - a extranet permite acesso limitado a alguns recursos da intranet, enquanto a DMZ é uma sub-rede que fica entre a Internet e a intranet e hospeda os serviços externos. No entanto, gostaria de saber qual é a sua distinção na prática em uma configuração usual? O artigo da Wikipedia sobre extranets diz que as extranets são semelhantes às DMZs porque são usadas para o mesmo propósito (fornecendo acesso a alguns serviços / recursos sem expor toda a intranet). O artigo também afirma que uma extranet é parte de uma VPN, e este artigo do TechNet também declara que o acesso à extranet é frequentemente implementado de forma semelhante ao acesso remoto à intranet, por exemplo com uma VPN. O artigo da TechNet também diz que normalmente a extranet está hospedada dentro da DMZ. Este artigo da Pearson diz "Embora [o DMZ] esteja tecnicamente localizado na intranet , [ele] pode servir como a extranet também ". Isso é um pouco confuso.

Considere este cenário: uma empresa tem um site B2C hospedado na DMZ. O site pode ser acessado de qualquer lugar, mas requer autenticação do usuário. O aplicativo Web subjacente tem seu banco de dados dentro da intranet e também interage com alguns serviços da Web hospedados na intranet (por exemplo, acessa recursos da intranet). Do jeito que eu vejo, o site efetivamente oferece acesso restrito à intranet. Mas isso pode ser considerado uma extranet? Se tomarmos literalmente a definição da Wikipedia de uma extranet - "Uma extranet é uma rede de computadores que permite o acesso controlado de fora da intranet de uma organização" - eu acho que pode.

Digamos que o acima não possa ser considerado uma extranet. E se mudarmos um pouco o cenário e dissermos que é um site B2B, onde o acesso é, por ex. limitado a conexões provenientes de um parceiro de negócios específico (usando VPN site a site, por exemplo). Neste caso, certamente é uma extranet, certo? Se esse for o caso, a diferença entre os serviços da extranet e quaisquer outros serviços hospedados na DMZ é simplesmente restrições de acesso?

    
por Markus Yrjölä 21.08.2014 / 13:20

3 respostas

13

Estas são distinções acadêmicas. No mundo real, você encontrará uma combinação de todos esses conceitos por termos diferentes.

Em algumas organizações, uma DMZ tem uma conexão de rede ISP separada e não tem acesso a recursos internos. Em outras organizações, existem máquinas associadas ao domínio na DMZ que podem se comunicar com um conjunto restrito de máquinas internas. Às vezes, o interno e o DMZ têm firewalls separados. Às vezes, eles têm interfaces separadas no mesmo firewall.

É importante saber por que alguém deve usar uma extranet ou DMZ, porque esses são os conceitos de segurança que importam. A partir daí, você pode escolher como permitir o acesso a determinados recursos. O que é realmente chamado não importa. Em alguns casos, está dividindo os cabelos.

    
por 21.08.2014 / 14:13
7

Eu não acho que recentemente ouvi falar de uma extranet fora dos livros didáticos e salas de aula.

Uma DMZ é uma topologia de rede comum com um segmento de rede que é segregado por firewalls da rede interna e redes externas não confiáveis (também conhecidas como internet ).

Em contraste, a Extranet , se estiver realmente incluída no design da rede, implica um pouco que ela esteja conectada a VPNs ou redes privadas reais em vez de toda a internet maior.

Muitas empresas têm várias redes DMZ e consideram uma rede com um gateway / roteador VPN ou uma interconexão privada apenas com outra DMZ.

Mais frequentemente, uma extranet é / não é uma topologia de rede, mas está mais implícita como um serviço separado da rede interna, que é fornecido para um conjunto restrito de usuários externos, empresas e redes confiáveis, conhecidos e / ou autenticados. .

De uma perspectiva de rede, seu servidor da Web deve residir na rede DMZ. O fato de seu site permitir que seus revendedores efetuem login, navegem em seu catálogo, visualizem estoque e pedidos, significa que seu site seria chamado de extranet pelos departamentos de marketing. O custo de desenvolvimento iria de $$ a $$$$.

    
por 21.08.2014 / 14:32
2

Para mim, eu reduzo isso à política de segurança. Escrevemos a política de que nenhum sistema publicamente acessível terá acesso de entrada à intranet, a menos que uma exceção específica seja autorizada. Também temos uma política de que a DMZ não terá acesso de entrada a nossa intranet e que nossa extranet o faz. Por exemplo, temos um servidor da Web com banco de dados de back-end que deve sincronizar dados com um banco de dados baseado em intranet. Colocamos o servidor da web na DMZ, o banco de dados de back-end na Extranet e ele é sincronizado com o banco de dados de intranet de produção. Assim, para a classificação de confiança, a rede pública seria 0, a DMZ seria 1, a Extranet seria 2 e a intranet seria 3.

    
por 07.07.2016 / 22:31