Uma DMZ adequada isolará os hosts na DMZ uns dos outros, além de gerenciar o acesso entre os hosts e a Internet / rede interna. O ambiente DMZ fornece um único ponto de estrangulamento para reforçar as políticas de segurança e acesso e fornece um único ponto para monitorar o tráfego para dentro, fora e dentro da DMZ.
A DMZ não é apenas uma rede que tem acesso à internet e à rede interna. Isso é chamado de risco de segurança e planejamento ruim.
Há possíveis saturações de buffer e riscos de segurança em qualquer aplicativo que esteja tirando dados de fontes não controladas, especialmente se o aplicativo estiver sendo executado com privilégios de root / superusuário. Isto é verdade para o wireshark, isto é verdade para o sendmail, IIS, verdadeiro de qualquer coisa .
No meu conhecimento, não há nenhuma "porta traseira RDP" no wireshark.
Meu ponto é "E se abrir uma porta dos fundos?"
Uma DMZ adequada deve
- impede que o sistema comprometido interaja com qualquer outra coisa, exceto na forma predefinida (DNS para o servidor DNS, ftp para o servidor FTP, http para o servidor http, mas sem ssh para nada, nenhum rdp para nada, etc. )
- Identifique que o tráfego inadequado está tentando ocorrer (acabei de receber um alerta de que o servidor SQL está recebendo tráfego RDP / VNC do servidor FTP!)
- Seja fácil de usar para todos os outros funcionários da empresa. Se o DMZ aplicar corretamente a segurança, é mais seguro colocar coisas "perigosas" lá do que na rede corporativa. A equipe da DMZ preferiria ter uma porta traseira na rede da empresa ou na DMZ? A resposta deve ser "DMZ, porque monitoramos e restringimos o tráfego em e fora da DMZ."