DMZ gennem Firewall - Hvor sikkert er det ?

Dmz er en forkortelse for demilitariceret zone og foregår på følgende måde.

Forestil dig en firewall med 3 netkort. Kort 1 er til dit eget sikre net, kort 2 er til internettet og kort 3 er til dmz, På dmz placeres alle de usiker tjenerster, det er f.eks. ftp, web, og mail. Hvis din firewall er en god firewall foregår kommunikationsn således:

Hvis du skal kommunikere på internettet (fra kort 1 til 2) kommunikere det indterne net (kort 1) med firewallen, der så kommunikere videre ud på kort 2, og omvendt den anden vej. Hvis du skal have fat i din web server på dmz, kommunikere du med din firewall, der så kommunikere videre på kort 3. osv. Hvis en hacker forsøger at hacke dit net, vil han næsten altid benytte usikre tjenester til at komme ind, men i dit tilfælde vil det kun betyde at han kompromittere din dmz og da det er firewallen der håndtere kommunikationen er det ret svært for ham at komme vidre ind på dit sikre net (kort 1), der er jo ingen usikre tjenester han kan benytte til at komme ind gennem.

Du kan betrakte det således: Med dmz placeres alle de ting der giver en hacker muligheder for at komme ind, uden for det der skal beskyttes, hvorfor han kun får adgang til det der placeres i dmz.

Hmmmm.

Dvs. at den PC jeg kører som server (FTP, WWW & SMTP) IKKE bør køre som DMZ. ??

Den maskine der køre firewall MÅ under ingen omstendigheder køre andet end firewall. På det 3. netkort (dmz kortet) placeres ftp, web, mail.

Du må aldrig installere en firewall på en server, det ville jo svare til at du placerede bankens portvagt inde i bankboksen, han skal selvfølgelig side ved døren hvor han kan gøre nytte og standse folk FØR de kommer ind i boksen. Af samme årsag skal firewallen også sidde foran serveren og ikke på serveren

Ved det, men min firewall er en hardware firewall, indbygget i en router, og denne kan pege et internt IP til en DMZ - og hvor usikkert er det at pege (=bruge) sin DMZ som server ???

Hvorvidt man kan kjøre server tjenester på en maskin som også fungerer som firewall / router det vil jeg vel mene kommer litt an på hva slags maskin og hva slags firewal og hva slags anvendelse det dreier seg om. Dersom det dreier seg om en Linux med 2.4 kernel så går det vel bra langt på vei. Dreier det seg om en 2.2 kernel så går det vel i utgangspunktet ikke like bra. (Etter som datatransporten skjer på en annen måte.)

Dersom en tre ports harware nat firewall har et dmz uttak så er dette beregnet for å tilkoples en server. dmz uttaket er beregnet for å kjøre med mindre sikkerhet enn det som eller gjelder for lan uttaket. Noe mindre sikkerhet eller "åpninger i firewall" er nødvendig for at brukerne på internett skal få tilgang til serverfunksjonene. Skal man for eksempel kjøre web server så må man ha åpning for port 80 osv. For workstations så ønsker man vanligvis ikke dette.

Sikkerhet og tilgjengelighet er således slik som jeg ser det to litt motstridende størelser.

Hvor mye sikkerheten er redusert og hvor store åpninger som finnes inn til dmz porten vil avhenge av hvorledes firewall er laget og hvordan den er konfigurert.

Når man lager en tre port firewall i Linux da er det ganske valig å bare gi dmz kortet bare akkurat de åpninger som er nødvendig for at datatrafikken skal kunne skje, slik at firewall også utfører en "riktig" firewall funksjon ut til dmz kortet. Da behøves det i prinsipp ikke flere firewalls heller ikke på serveren.

En hardware firewall kan og vil vel ofte være laget på denne måten (vil jeg tro) men det vil nok også være teknisk mulig å lage den på den annen måte, slik at alle portene til dmz står åpne. Ville ikke tro at en produsent av firewalls vanligvis ville synes at dette er en god ide (men man vet jo ikke).

Sannsynligheten må vel være er størst for at firewall kan settes opp med forwarding bare av de porter som man ønsker fram til dmz og server. Dette gir i så fall full / vanlig packet firewall filtering fuction fram til server.

Dersom det dreier seg om en Linux eller Microsoft server med innebygget firewall fuksjon så skader det ikke å ta i bruk dette også. Dette gir firewalling i flere nivåer hvilket sikkerhetsmassig er av det gode (selv om det ikke er absolutt nødvendig.)

"Jeg har en 3com Gateway" Hvilken type / modell dreier det seg om ??

Forklaringen med de 3 netkort virker udemærket til at illustrere zone-opdelinger, men 3Com produktet er en filter firewall, der laver DMZ vhja. NAT. At du aktivere denne facilitet, betyder ikke, at du *ikke* bør tænke over selv, at lave et filter til DMZen - F.eks for at beskytte de services, som du ved køre på din maskine, men som kun bør tilgåes af maskinen selv - som f.eks MySql eller MSSql ol. - Forskellen mellem LAN og DMZ er netop, at du nu tillader indgående forespørgsler at etablere forbindelse til din maskine via NAT, hvorimod du fra LAN siden *kun* tillader etablering af forbindelser i udgående retning. Normalt er der 2 firkantede måder at se sikkerheden på:

1. Det der *ikke* er tilladt - er forbudt.
2. Det der *ikke* er forbudt - er tilladt.

Som sikkerhedsmand er jeg tilhænger af 1.:)

"men 3Com produktet er en filter firewall, der laver DMZ vhja. NAT."

Identisk helt likt vil det typisk fungere på en Linux maskin som eventuelt er satt opp som 3 port firewall met internett tilkopling via adsl. Her benytter man typisk dnat (destignation nat) i forhold til dmz og server og snar (source nat) i forhold til lan.

dnat benyttes til å framsende trafikk utenfra inn til servere på dmz.

snat brukes for å gi flere lokale ip en delt internettforbindelse.

Det store spørsmål i denne sammenheng, hvos sikker dmz porten er, det er hvordan man har satt opp trafikken til zmz.

Enten så kan man sette opp dnat som nevnt i punkt 2 over, samtlige porter er forwarded eller videresendt til server på dmz, og så vil man behøve en filtering firewall på serveren for å begrense trafikken.

Alternativt så kan man sette opp dnat slik som beskrevet i pukt 2 over, dvs ingen av portene er i utgangspunktet er forwardet eller "fremsendt" til den lokale server adressen på dmz. Det vil da være nødvendig gjennom konfigurering å sette opp forwarding for en og en port, eventuelt intervaller av porter.
Ved en slik konfigureringsmåte så er det i prinsipp ikke nødvendig med firewall ute ved serveren.

Det er i utgangspunktet umulig å vite om en fabrikant eller en leverandør leverer en firewall der det hele i utgangspunktet står helt åpent eller helt lukket i forhold til dmz fordi begge deler rent teknisk sett er like mulig.

Doen ganger så leveres firewalls med faktisk temmelig dårlig defaultkonfigurering slik at det skal være rimelig enkelt å få trafikken opp å kjøre. (Men hva skal man egentlig da med en firewall.)

Dersom mannkopler opp og testkjører og ellers om man utfører en portscan utenfra så oppdager man hurtig om man har en default "forwarding av all trafikk" eller "forwarding av ingen trafikk" i forhold til dmz.

Måske skulle jeg uddybe nedenstående punkt lidt bedre:
"men 3Com produktet er en filter firewall, der laver DMZ vhja. NAT."

Her er en mulig forskel alt efter 3Com model:
3Com: eth0 <-> eth1<->switch ->IP(1),IP(2) etc
(eth1 fungere sammen med indbygget level2 switch, sikkerhed = NAT)

PCer: eth0 <-> eth1/eth2/eth3
(fysisk adskillelse af LAN/DMZ er muligt, sikkerhed behøver ikke være NAT)
<