Zmena IP adresy bez wokynek

Zdenek Mazanec Zdenek.Mazanec na contactel.cz
Úterý Říjen 1 10:34:51 CEST 2002 

> Neni to az moc zjednodusujici pohled?
> Pokud mam vsechno na jednom stroji, situace je jasna. Pokud to nekdo
> nalomi, vlastni vse, pokud ten kompl umre, chcipne vse (pokud padne
> jen jedna sluzba na chybu nebo neco, tak ostatek obvykle jede).
Pravda.

> Druha varianta, ze dam kompl jako firewall a router a za nej do
> intranetu dum jeden stroj, co bude delat vse ostatni, tak z pohledu
> bezpecnosti se v podstate nic nezmenilo. Pokud budu na tom FW
> pomoci DNAT a spol umoznovat prichozi spojeni na nejake sluzby,
> tak je mnohem beznejsi, ze bude chyba v dane sluzbe nez ve vlastnim
> FW, takze utocnik klidne je pomoci FW preposlan dovnitr a tam
> si ulomi neco nad SSL/bind/sendmail (atd co prave frci:) a je opet
> uvnitr a ma vse pod kontrolou.
> Splehlivost se zvysila o to, ze umreti stroje s FW neohrozi vnitrni
> sluzby.
Tohle ovsem predpoklada, ze fw se stejne zranitelny stroj jako aplikacni
server a/nebo je nastaven velmi naivne. Pokud pusti dovnitr jen nezbytne
minimum, je bezpecnost takoveho reseni imho mnohem vyssi nez by se na prvni
pohled zdalo (pokud ne, tak vetsina reseni postavenych na sunech (rekl bych
bez firewallu docela zranitelne stroje) schovavajich se prave za dobre
postavenym firewallem je vlastne srot...)

> Dalsi reseni je, ze FW bude mit 3 rozhrani: internet, intranet
> a DMZ. Tak pokud dam opet jen ten jeden dalsi kompl do DMZ,
> tak s bezpecnosti to bude lepsi, protoze nalomeni toho jednoho
> stroje se sluzbami jeste nemusi znamenat prunik do intranetu
> (ale data na tom stroji v DMZ jsou v haji). Spolehlivost tohoto
> reseni muze byt dokonce horsi nez prvni varianta, protoze
> k znaschopneni sluzeb staci vypadek bud FW nebo stroje DMZ
> (predpoladejme, ze provoz intranet->extranet musi prochazet
> pres proxy server v DMZ, pokud ne, tak pri vypadku serveru
> v DMZ, muze pristup k internetu byt zachovan).
Tohle opet predpoklada, ze pravdepodobnost kompromitace fw a aplikacniho
stroje je stejna, stejne jako jejich spolehlivost. Imho spolehlivost dobreho
firewallu je blizka spolehlivosti privodu el. energie (na rozdil od
spolehlivosti bezneho pc) toto neplati.

> Takze jsme u dalsiho reseni, mame jedne stroj FW/router (klidne
> speialozavana krabicka), ta ma porty intra/extra/DMZ.
> V DMZ mame server(y) starajici se o komunikaci s vnejskem
> nebo jako proxy servery a v intranetu mame dalsi server(y)
> zajistujici sluzby pro moji lokalni site (samba, DHCP, DB, ..).
> Pak se nam uz muze zacit spolehlivost a bezpecnost zvysovat,
> naklady take. A priznejme si, firma o 5 lidech na takoveto
> reseni neuslysi a spokoji se v naproste vetsine pripadu
> s veriantou c. 1. :-)
Je samozrejme idealni, kdyz je vice specializovanych serveru, jen je to
drahe :-(
Nicmene presto mi prijde evidentni, ze stroje schovane za dobrych firewallem
(zadny disk, minimum vetraku) jsou mnohem lepsi reseni nez "vsechno v
jednom"

---
Zdenek Mazanec, Contactel s.r.o.
http://mandrake.redbox.cz

Další informace o konferenci Linux