Zmena IP adresy bez wokynek

Michal Dobes dobes na tesnet.cz
Úterý Říjen 1 10:17:41 CEST 2002 

Jan Houstek wrote:
> Vetsinou se budu rozhodovat mezi dvema moznostmi. Bud postavim
> router/firewall z nejakeho slabsiho pocitace (pokud to zrovna nebude
> stavovy firewall s 1000 pravidly na 100M siti) a sluzby jako web, samba
> mail apod. sverim jinemu pocitaci/pocitacum ve vnitrni siti s tim, ze to,
> co ma byt pristupne zvenku patricne DNATuju na tom firewallu. Druha
> moznost je samozrejme dat to vsechno na jeden pocitac.

Neni to az moc zjednodusujici pohled?
Pokud mam vsechno na jednom stroji, situace je jasna. Pokud to nekdo
nalomi, vlastni vse, pokud ten kompl umre, chcipne vse (pokud padne
jen jedna sluzba na chybu nebo neco, tak ostatek obvykle jede).

Druha varianta, ze dam kompl jako firewall a router a za nej do 
intranetu dum jeden stroj, co bude delat vse ostatni, tak z pohledu
bezpecnosti se v podstate nic nezmenilo. Pokud budu na tom FW
pomoci DNAT a spol umoznovat prichozi spojeni na nejake sluzby,
tak je mnohem beznejsi, ze bude chyba v dane sluzbe nez ve vlastnim
FW, takze utocnik klidne je pomoci FW preposlan dovnitr a tam
si ulomi neco nad SSL/bind/sendmail (atd co prave frci:) a je opet
uvnitr a ma vse pod kontrolou.
Splehlivost se zvysila o to, ze umreti stroje s FW neohrozi vnitrni
sluzby.

Dalsi reseni je, ze FW bude mit 3 rozhrani: internet, intranet
a DMZ. Tak pokud dam opet jen ten jeden dalsi kompl do DMZ,
tak s bezpecnosti to bude lepsi, protoze nalomeni toho jednoho
stroje se sluzbami jeste nemusi znamenat prunik do intranetu
(ale data na tom stroji v DMZ jsou v haji). Spolehlivost tohoto
reseni muze byt dokonce horsi nez prvni varianta, protoze 
k znaschopneni sluzeb staci vypadek bud FW nebo stroje DMZ 
(predpoladejme, ze provoz intranet->extranet musi prochazet 
pres proxy server v DMZ, pokud ne, tak pri vypadku serveru 
v DMZ, muze pristup k internetu byt zachovan).

Takze jsme u dalsiho reseni, mame jedne stroj FW/router (klidne
speialozavana krabicka), ta ma porty intra/extra/DMZ.
V DMZ mame server(y) starajici se o komunikaci s vnejskem
nebo jako proxy servery a v intranetu mame dalsi server(y)
zajistujici sluzby pro moji lokalni site (samba, DHCP, DB, ..).
Pak se nam uz muze zacit spolehlivost a bezpecnost zvysovat,
naklady take. A priznejme si, firma o 5 lidech na takoveto
reseni neuslysi a spokoji se v naproste vetsine pripadu
s veriantou c. 1. :-)

Toto by slo asi rozvijeti dal, ale vetsinou se to dal malokde
dostane.

	Majkl

Další informace o konferenci Linux