Hallo,
Ik heb een vraagje betreffende een dmz setup.
In ons netwerk (geografisch sterk verspreid) is er een dmz zone op de firewall aangemaakt waar een aantal servers in zitten.
Een aantal van deze 'DMZ-servers' zitten geografisch gezien niet bij de firewall maar in een serverroom op een andere locatie (samen met nog een aantal servers in het gewone LAN netwerk).
Blijkt nu dat deze DMZ servers 2 lan connecties hebben, eentje naar de DMZ zone en eentje naar de LAN zone. Deze connectie naar de LAN zone, is om te vermijden dat alle traffiek over de WAN moet lopen en dus de snelheid te verbeteren.
Ik stel me hier echter een aantal vragen bij gezien er geen firewall (ISA bijvoorbeeld) draait op deze DMZ servers.
=> Mijn vraag is : Kan dit effectief kwaad en hoe kun je dit risico inschatten?
Mij lijkt dit not done en ik zie het nut niet in dat deze servers in DMZ zone staan (routering is moeilijker en als men de server kan hacken zit men vrij op het LAN => dan kun je even goed de server in LAN plaatsen)
Als oplossing zie ik 2 mogelijkheden, ofwel alle verkeer die voor LAN bestemd is, sturen over de WAN, via de firewall. Ofwel een 2e firewall bij plaatsen, met als voordeel dat alle verkeer dan op LAN snelheid blijft en niet over de WAN gestuurd moet worden.
Klopt mijn redenering of zoek ik het te ver (in therorie klopt dit niet, maar in praktijk wordt dit misschien vaak zo geconfigureerd?)? Als dit klopt zoek ik nog een aantal redenen waarmee ik het management kan overtuigen dat de huidige setup niet veilig is. Hoe zouden jullie dit verwoorden?
Alvast bedankt voor de feedback!
Ik heb een vraagje betreffende een dmz setup.
In ons netwerk (geografisch sterk verspreid) is er een dmz zone op de firewall aangemaakt waar een aantal servers in zitten.
Een aantal van deze 'DMZ-servers' zitten geografisch gezien niet bij de firewall maar in een serverroom op een andere locatie (samen met nog een aantal servers in het gewone LAN netwerk).
Blijkt nu dat deze DMZ servers 2 lan connecties hebben, eentje naar de DMZ zone en eentje naar de LAN zone. Deze connectie naar de LAN zone, is om te vermijden dat alle traffiek over de WAN moet lopen en dus de snelheid te verbeteren.
Ik stel me hier echter een aantal vragen bij gezien er geen firewall (ISA bijvoorbeeld) draait op deze DMZ servers.
=> Mijn vraag is : Kan dit effectief kwaad en hoe kun je dit risico inschatten?
Mij lijkt dit not done en ik zie het nut niet in dat deze servers in DMZ zone staan (routering is moeilijker en als men de server kan hacken zit men vrij op het LAN => dan kun je even goed de server in LAN plaatsen)
Als oplossing zie ik 2 mogelijkheden, ofwel alle verkeer die voor LAN bestemd is, sturen over de WAN, via de firewall. Ofwel een 2e firewall bij plaatsen, met als voordeel dat alle verkeer dan op LAN snelheid blijft en niet over de WAN gestuurd moet worden.
Klopt mijn redenering of zoek ik het te ver (in therorie klopt dit niet, maar in praktijk wordt dit misschien vaak zo geconfigureerd?)? Als dit klopt zoek ik nog een aantal redenen waarmee ik het management kan overtuigen dat de huidige setup niet veilig is. Hoe zouden jullie dit verwoorden?
Alvast bedankt voor de feedback!