sslug-teknik team mailing list archive

[Simon Nielsen <simon@xxxxxxxx>]

storner@xxxxxxxx wrote:

> >Nu vil jeg gerne have koblet en server på det eksterne net [...]
> >Det jeg gerne vil er at sætte den nye server bag firewallen men den skal
> >ikke beskyttes.
>
> Set fra et sikkerhedsmæssigt synspunkt er det en EKSTREMT dårlig ide.
> Hvis du placerer en offentligt tilgængelig server på dit interne net
> bag firewallen, vil en angriber have to steder han kan forsøge at bryde
> ind hvis han vil ind på dit interne net: Enten i firewall'en (som nu),
> eller på den nye server. Hvis det lykkes ham at bryde ind i den nye
> server, er der jo fri adgang til det interne net derfra.
Ja.. Jeg glemte vist at skrive det, men jeg tænkte netop også på at
sætte et ekstra netkort i firewallen og lavet en DeMilitarized Zone, men
da serveren i DMZ'en skal have et dynamisk IP via DHCP ved jeg ikke om
dette er muligt..? Det vil jo både kræve at DHCP slippes igennem
firewallen og at firewallen kan finde ud af hvilket IP serveren i DMZ
har når den skal route trafik til den..

> Med andre ord: sikkerheden på dit net bliver nu afhængig af, at du får
> lukket alle hullerne på to systemer, i stedet for blot at skulle
> koncentrere dig om at sikre firewallen (som er nemmere at sikre, da
> den - forhåbentlig - ikke har nogen offentlige services).
Det skal siges at det ikke er meget følsomme maskiner der er bag
firewallen. Det er for det meste bare min egen linux maskine der har et
nogenlunde sikkerhedsniveau..

> Jeg ville købe en større hub til det eksterne net, og så sætte serveren
> der hvor den hører hjemme: På det eksterne netværk.
Det ville være det bedste ja, men det er desvære ikke en mulighed da jeg
ikke selv styrer det eksterne net...

-- 
Simon Nielsen, hostmaster nitro.dk