sslug-teknik team mailing list archive

[storner@xxxxxxxx]

In <37E7F7BC.C406BF6C@xxxxxxxx> Simon Nielsen <simon@xxxxxxxx> writes:

>Nu vil jeg gerne have koblet en server på det eksterne net [...]
>Det jeg gerne vil er at sætte den nye server bag firewallen men den skal
>ikke beskyttes. 

Set fra et sikkerhedsmæssigt synspunkt er det en EKSTREMT dårlig ide.
Hvis du placerer en offentligt tilgængelig server på dit interne net
bag firewallen, vil en angriber have to steder han kan forsøge at bryde
ind hvis han vil ind på dit interne net: Enten i firewall'en (som nu),
eller på den nye server. Hvis det lykkes ham at bryde ind i den nye 
server, er der jo fri adgang til det interne net derfra.

Med andre ord: sikkerheden på dit net bliver nu afhængig af, at du får
lukket alle hullerne på to systemer, i stedet for blot at skulle
koncentrere dig om at sikre firewallen (som er nemmere at sikre, da 
den - forhåbentlig - ikke har nogen offentlige services).

Jeg ville købe en større hub til det eksterne net, og så sætte serveren
der hvor den hører hjemme: På det eksterne netværk.

-- 
Henrik Storner     | "Software engineering is a race between engineers 
<storner@xxxxxxxx> |  who try to create foolproof software and the 
                   |  universe which is trying to create bigger fools.
                   |  So far, the universe is winning..."