Posizionamento di un server nel DMZ vs aperture porte firewall

Quando dovresti inserire un server in una port DMZ vs apertura sul firewall e mantenerlo all'interno della networking? Mi riferisco ai server di directory attivi, ai server IIS e, soprattutto, a una configuration basata su Windows.

Alcuni problemi che ho notato con l'immissione nel DMZ sono che non sono più nel dominio, non hanno l'accesso ai server dei nomi ai nostri server interni e alcune altre cose che lo rendono strano per lavorare.

  • Vantaggi di performance di aggiunta di una seconda networking
  • Posso eseguire Apache & Nginx sullo stesso server, sulla stessa port, ma legato a IP diversi?
  • Che contatori wmi può indicare l'esaurimento della port
  • Aggiunta permanente delle regole di routing delle policy di origine
  • Virtualizzazione adatta all'applicazione intensiva di pacchetti?
  • opvnvpn: indirizzamento dei nodes in LAN-behinds
  • Backup di un server sul DMZ
  • Subnet DMZ: a NAT o non a NAT?
  • Sicurezza per i sisthemes di laboratorio di ricerca universitaria
  • Distinzione tra un extranet e un DMZ
  • C'è un modo sicuro per consentire a IIS 7 in un DMZ di accedere a un server DB dietro il firewall?
  • Come distribuire un'applicazione basata su API e browser basata su ASP.NET in un ambiente di produzione
  • 3 Solutions collect form web for “Posizionamento di un server nel DMZ vs aperture porte firewall”

    Un server inserito in un DMZ non può aprire la connessione alla networking perché c'è un firewall al centro (dalla stessa definizione di DMZ), quindi la tua networking sarà protetta da essa , se mai wheresse essere compromise da un utente malintenzionato: in in questo scenario, il server compromesso non potrebbe essere utilizzato come punto di partenza per lanciare nuovi attacchi contro il resto della networking. Questo non è invece il caso se il server è collocato all'interno della networking e si apre le porte del firewall per consentire agli utenti esterni di accedervi utilizzando i servizi forniti. Lo stesso attacco esterno efficace (fe contro un sito web) porterebbe a conseguenze molto diverse se il server è in un DMZ ben protetto o all'interno della LAN.

    Detto questo, mettendo un server in un DMZ è veramente utile solo se puoi effettivamente filtrare il traffico tra esso e la tua networking interna; se richiede l'accesso al controller di dominio per l'authentication, l'accesso al database per i dati di back-end e l'accesso alla posta per l'invio di messaggi (come ad esempio un Exchange CAS) e si devono aprire tutte quelle porte tra esso e server interni per poter effettivamente fare qualcosa di utile, quindi non c'è molto di un punto nel posizionarlo in un DMZ. I server membri di dominio sono i peggiori delinquenti qui: l'accesso al dominio richiede così tante porte aperte tra un computer ei suoi controller di dominio che potrebbero anche essere collocati nella stessa networking; e un computer membro del dominio compromesso è un grande dolore di sicurezza, perché può accedere a molte cose nel dominio.

    Regole di command per i server Windows: se ha bisogno di essere un membro di dominio, mettendolo in un DMZ è A) un dolore per farlo funzionare correttamente e B) quasi inutile; mantenerli nella LAN, ma assicuratevi di mantenerli completamente patchati, eseguendo un buon antivirus e protetti da un firewall esterno ben bloccato. L'approccio migliore è quello di utilizzare un proxy inverso, un relay di posta in arrivo o qualsiasi altra cosa che possa agire come gateway di applicazioni e evitare di esporre direttamente a Internet.

    Una buona norma è considerare i danni che potrebbero essere potenzialmente compiuti se il server wheresse essere compromesso tramite il servizio che hai aperto. Vorresti considerare due fattori per each dispositivo: il livello di rischio ("Quanto è probabile che questo sia compromesso?" – questa misura dovrebbe andare avanti non appena un servizio è esposto a Internet) e il livello di sensibilità ("Come molto di una perdita sarebbe se questo sistema fosse compromesso? Esistono dati importnti / riservati? ").

    Per i sisthemes ad alto rischio, si dovrebbe cercare di mantenere la loro sensibilità al più basso ansible. Questo è il motivo per cui costruisci un DMZ.

    L'idea di un DMZ è di isolare i sisthemes ad alto rischio, in modo che un attaccante deve penetrare un ulteriore livello di protezione (un altro firewall) per accedere ai sisthemes altamente sensibili. Avrà probabilmente bisogno di alcune connessioni tra il DMZ e la networking interna, ma cercare di spingere i dati verso l'esterno al DMZ anziché consentire le connessioni in entrata nella networking interna.

    Se il server viene compromesso quando si apre le porte alla networking interna, potenzialmente l'attaccante avrà accesso o modo molto più semplice per eseguire attacchi nei confronti dei sisthemes interni. Nel mondo di oggi, la maggior parte del sistema che si sta progettando di distribuire in DMZ può essere modificata e configurata per eseguire un tipo di networking interna / DMZ. Infatti, l'unico modo in cui il traffico deve fluire è dalla tua networking INTERNAL a DMZ, in sostanza, i server interni che aprono i collegamenti verso i server in DMZ.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.