Acessando a Internet da DMZ

1

Estou tentando configurar um DMZ usando o IPCop, mas parece que a configuração padrão para um DMZ no IPCop é sem DHCP e sem acesso à Internet.

Mesmo quando configuro manualmente o IPCop como meu gateway padrão e o resolvedor de DNS, parece que não há nenhum NAT configurado da DMZ para a Internet (apenas na outra direção).

Eu estou querendo saber sobre os prós e contras de ter acesso à Internet dentro da DMZ.

Prós

  • Eu posso executar facilmente atualizações nos sistemas DMZ e até agendar o pateamento automático para atualizações de segurança
  • Será muito mais fácil instalar um sistema Ubuntu baixando apenas os pacotes necessários do que instalar a partir de um CDROM

Contras

  • Se comprometida, a máquina pode ser usada como parte de um ataque DDoS

Além do argumento único de "se alguém comprometer minha máquina, ela pode ser usada para comprometer alguém na Internet", não vejo razão para não dar acesso à Internet em minhas máquinas DMZ.

É uma má ideia?

    
por Vincent Robert 17.10.2011 / 19:39

3 respostas

2

Não faz sentido algum permitir o acesso total e não regulamentado à Internet a partir de qualquer máquina na DMZ, nem deve ser necessário. Você deve ser capaz de configurar o acesso de saída, mas deve fazê-lo apenas para o que é necessário, como as portas e os endereços de destino necessários para suas atualizações. O DHCP não é normalmente usado em uma DMZ, e é por isso que não está disponível.

It will be much easier to install an Ubuntu system by downloading only necessary packages than installer from a CDROM

A prática normal é configurar a máquina na rede interna e movê-la para a DMZ quando ela estiver totalmente configurada e pronta para uso.

    
por 17.10.2011 / 22:35
2

Eu não sou um usuário do IPCop, mas a teoria geral de segurança é fornecer acesso de saída limitado do seu DMZ para quaisquer sites e serviços específicos que seus sistemas DMZ precisem.

No meu caso - minha DMZ hospeda alguns servidores Linux e algumas caixas Windows - eu forneço acesso HTTP / S de saída a uma pequena lista de sites aprovados.

Eles incluíam os sites de atualização do Windows, um espelho para minhas caixas CentOS e o servidor de atualização para meus produtos antivírus baseados no Windows. Achei que esses sites são seguros o suficiente para deixar em uma configuração sempre ativa.

    
por 17.10.2011 / 19:51
0

É provavelmente uma má idéia, mas depende inteiramente do que é um risco aceitável para você e sua empresa (seu primeiro argumento é um risco aceitável?).

Também depende de qual outra segurança você tem em vigor. Eu geralmente tendem a bloquear o DMZ (bem a maioria das minhas redes) para apenas dar acesso onde e quando necessário. Outros não assinam a mesma política. Por exemplo, na DMZ em meu último local, eu tinha regras em vigor no meu firewall, dando acesso de saída a atualizações do Windows e só habilitaria as regras ao atualizar os servidores. Depois, eles seriam desligados.

    
por 17.10.2011 / 19:49