Hoe DMZ gebruiken?

LAN--routerFW--<<dmz/webserver>>--routerFW--Inet.

Dure, commerciele firewalls doen ook layer 7 inspection, oftewel: proxyen

shit, te laat :-)

Heb toevallig net het artikeltje voor me liggen:

internet -- router -- DMZ met daarin servers -- firewall -- LAN

wattis een dmz?

Op vrijdag 18 januari 2002 14:34 schreef bonzz.netninja het volgende:
wattis een dmz?

De-militarized Zone (*zucht* weer telaat)

Ik zou het toch anders doen hoor, dan dat boekje van jou.

..............................- LAN
............................./
INTERNET - ROUTER - FIREWALL
.............................\
..............................- DMZ - SERVERS (MAIL/PROXY/WEB)

Ik ben het grotendeels eens met bovenstaande, alleen zou ik m'n proxy ergens anders zetten:

Waarom de proxy in het LAN en niet DMZ?? DMZ beshouw ik als een stukje netwerk wat ook voor het internet bereikbaar moet zijn. Een proxy hoeft voor het internet niet beschikbaar te zijn (stel je hebt geen authenticatie of goede ACL op die proxy, is ie anoniem, dat wil je niet)...

Just my € 0,02

Op vrijdag 18 januari 2002 15:03 schreef Whizzer het volgende:
Ik ben het grotendeels eens met bovenstaande, alleen zou ik m'n proxy ergens anders zetten:

code:

1 2 3 4 5

Internet | Firewall - DMZ (mail, web, externe DNS als je zelf host) | LAN, proxy, interne DNS

Waarom de proxy in het LAN en niet DMZ?? DMZ beshouw ik als een stukje netwerk wat ook voor het internet bereikbaar moet zijn. Een proxy hoeft voor het internet niet beschikbaar te zijn (stel je hebt geen authenticatie of goede ACL op die proxy, is ie anoniem, dat wil je niet)...

Just my € 0,02

Ik vind het zo ook logischer. De proxy is een service die de gebruikers de mogelijkheid moet bieden om externe connecties te maken. Van binnen naar buiten.
Niet andersom.
Je moet er dan wel natuurlijk voor zorgen dat dit ook zo is

Dit in contrast met mail/ftp/web...
Dus vind ik ook dat ie meer in de LAN zelf thuis hoort.

Maar dat is voor discussie vatbaar...

Regel nummer 1 in de beveiligingswereld:

NOOIT VANUIT HET LAN EEN RECHSTREEKSE VERBINDING HET INTERNET OP.

Als jullie de proxy in het LAN zetten, dan heb je dat wel, immers, jullie proxy moet een verbinding hebben met het internet. Daarom, PROXY ook in DMZ, zodat het LAN nooit een verbinding met het internet heeft. Dit maakt het monitoren met programma's als ISS ook een stuk makkelijker.

Klein vraagje mbt DMZ, hoe moet ik dit zien, moet je hier een apart subnet voor aanmaken, hoe deel je dit zeg maar in ip technisch gezien?

Je hebt een lan, je hebt een server gedeelte welke in de DMZ komt, inclusief proxy.

Is het zo dat je achter je proxy je veilige zone maakt?

Iemand?

Nog zo eentje: twee firewalls, met daartussen de DMZ. Deze firewalls dienen verschillend te zijn, om te voorkomen dat een zwakke plek twee keer uitgebuit kan worden.

De geschetste driesprong is an sich niet zo'n probleem, mist het verkeer via de DMZ (proxy e.d.) geleid wordt. Echter, zodra de FW 'valt', is men ook meteen binnen ook...

Als je dit doortrekt wil je eigenlijk zelfs 2 proxies hebbeb: 1 in je LAN, en 1 in je DMZ. Slechts bekend verkeer (IP, poort, enz) tussen de twee proxies komt door de FW.

Rismo: een DMZ is een apart subnet. Afhankelijk van het ontwerp kan dit een publiek of een prive reeks zijn, of een combinatie van beiden (bv een proxy met meerdere interfaces).