sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #26984
Re: www og firewall via ADSL
In <39B12088.4EF38F38@xxxxxxxx> Jan Rasmussen <linux@xxxxxxxx> writes:
>"Henrik Størner" wrote:
>> Klassisk eksempel - må kunne findes i et dusin bøger om firewalls:
>>
>> Internet
>> |
>> |
>> |
>> Router
>> |
>> Router-net (192.168.1.x/24) |
>> |
>> Firewall---+--------+---- DMZ-net
>> | | | (192.168.2.x/24)
>> | Mail Web
>> |
>> |
>> --+-------+---------+--------+--------+--- Internt net
>> | | | | | (10.x.x.x/8)
>> PC1 PC2 PC3
>>
>> "DMZ" står for "De-Militarized Zone"
>>
>Er det ikke mere sikkert (men også dyrere i HW) med en konfig a la:
> Internet
> |
> Router
> |
> Firewall
> |
> +--------+-----+-----+ DMZ-net (192.168.x.0/24)
> | | | |
> Firewall Mail Web FTP
> |
> +-------+-----+-----+-- Lokalt Net (192.168.y.0/24-30)
> | | | |
>Filserver PC1 PC2 PC3
>(NFS/SMB/
>evt TFTP)
>Begge Firewalls kører Masq. På denne måde skal 2 boxe kompromitteres,
>før der er adgang til det interne net.
Jo, lidt sikrere er det - men som du også skriver så kræver det lidt
mere hardware. Ideelt set skulle de to firewalls så være af forskellig
type, og konfigureret af to forskellige personer.
Angreb mod det interne netværk udføres dog ofte fra en DMZ server, og
det er oftest på f.eks. web servere at jeg ser sikkerheds-
problemerne. Og så er den forreste firewall knapt så effektiv! Så hvis
man har en DMZ zone, så er det afgørende at man ikke tillader nogen
form for forbindelser til det interne net fra hosts i DMZ
zonen. Desværre giver det tit problemer, når Web-serveren lige skal
snuppe nogle oplysninger i en intern database ...
--
Henrik Storner | "Crackers thrive on code secrecy. Cockcroaches breed
<henrik@xxxxxxxxxx> | in the dark. It's time to let the sunlight in."
|
| Eric S. Raymond, re. the Frontpage backdoor
References
