DMZ - Hvad kan man, hvad kan man ikke fra LAN siden?

"Men hvad betyder det, rent praktisk, hvis man placerer en server på DMZ?"

Det betyr blandt annet at den har en mindre grad av beskyttelse i forhold til angrep fra andre maskiner på internet enn det som gjelder for lan maskinene. Det vil normalt være åpning inn fra internet og til dmz, men ikke fra internet til lan. (Men for returtrafikk for forbindelser som er satt opp innefra så er det åpning. Dersom det dreier seg om en firewall som åpner for returtrafikken dynamisk og automatisk etter behov, så kaller man dette prinsippet for "statefull inspection".)

"Har man f.eks. adgang til netshares på serveren fra LAN siden?"

Hvis det dreier seg om Windows netshare så har man normalt ikke slik tilgang. Dette komer av at Windows ifb med netshares bruker en protokoll som ikke er beregnet til å passere routere.

"Kan man bruge FTP til at tilgå en server på DMZ fra LAN siden?"

Det kan man i utgangspunktet godt fordi ftp er laget for å passere forbi routere. Det kan allikevel være litt tricky å få tingene konfigurert riktig.

Kan en server på DMZ tilgå data på LAN via ODBC?

I utgangspunktet ikke. Da må man jo ha en eller annen "overføringsmekanisme" eller komunikasjon fra PC A til PC B.

MVH Langbein.

Egentlig så er historien litt lengere, det finnes natede og ikke natede dmz routere, det finnes 2 port dmz og 3 port dmz og så videre ..

Du kan alt, det kommer helt an på hvad du tillader. Det er klart at jo mere trafik du tillader (her må du lige holde tungen meget lige i munden) FRA DMZ TIL LAN jo dårligere bliver sikkerheden. Trafik fra LAN Btil DMZ udgør også en potentiel risiko, men den er ikke så stor som omvendt.

Det er klart at det er sikrest at der overhoved ikke er trafik mellem de to områder, men det er sjældent realistisk. Hver gang du åbner for trafik, skal det overvejes nøje og ofte kan du gøre således at den ulembe i sikkerhed du får imødegås.

Prøv at læse denne artikel, den kan give dig nogle pointers
http://www.eksperten.dk/artikler/554

Hva som tillates av trafikk varierer jo fra merke til merke og modell til modell. Satte faktisk nylig opp en som hadde en slik grunkonfigurering at den tillot all trafikk fram til dmz porten. Det mer vanlige er nok at en treport router med dmz tillater den riktige trafikken inn til dmz og i utgangspunktet ingen trafikk in til lan. Hovedprinsippet er at dmz utgjør en litt mindre sikker zone enn lan. For noen firewalls aå bruker man en rød kode for wan/internet, gul for dmz og grøn for lan. Det ilustrerer jo litt.

Bortsett fra at man kan jo i utgangspunktet ikke tillate mer enn 100 % enn det som kan passere gjennom en "routed" forbindelse fordi trafikken til fra en dmz sone i utgangspunktet må passere gjennom en "router".

Her et det visse typer trafikk som ikke er laget for å kunne la seg route. Windows shares på lan vil vel vanligvis ikke passere gjennom en router og in til dmz, heller ikke hvis routeren står 100 % åpen.

Den mest kjente dmz oppsettet, det er jo det man lager ved å sette opp en tre port router med wam, dmz og lan port. Det beste dmz oppsettet man kan lage etter min mening, det er ved å seriekople 2 stk 2 port firewalls slik som dette.

Her ser man jo tydelig prinsippet med den røde usikre zone ytterst, den gule litt usikre zone i et midtsegment og den grønne lan zonen bak en firewall no 2 som tillater i prinsipp ingen trafikk inn.

http://computing-dictionary.thefreedictionary.com/DMZ

Hvis man lager en firewall selv (eller 2) ved hjelp av Linux så er det ganske besværlig å få 3 port modellen til å virke helt slik som man ønsker fra lan og fra wan. Benytter man seg av 2 stk PC og prinsippet med dmz i et midtsegment, slik som over, så er dette faktisk meget enkelt å sette opp. Man kan selvfølgelig også bruke 2 stk billige firewall routere til 500 Kr av en eller annen type.

Ved 2 seriekoplede 2 port firewall, så vil det "normalt" være full åpning fra lan til dmz, men full åpning vil dog normalt være begrenset til de routbare protokollene. For Linux så kan man dog om man ønsker det konfigurere for broadcast retransmitering slik at normalt ikke routbare protokoller også kan passere.

Variasjonmulighetene er tilnærmet uendelig og det er nesten et fritt valg hvordan man ønsker at det skal fungere og hva man bestemmer som "normalt".

---> Langbein: Du skriver som svar på mit spørgsmål vedr. ODBC "I utgangspunktet ikke. Da må man jo ha en eller annen "overføringsmekanisme" eller komunikasjon fra PC A til PC B."

Det er ellers mit indtryk, at den generelle anbefaling er, at webservere mv. skal placeres på DMZ, men hvordan får man så afviklet f.eks. ASP/PHP sider, som skal tilgå data fra en server på LAN siden? Det kan da ikke være meningen, at man skal replikere produktionsdata over på webserveren, for at få korrekte dynamiske data genereret på webserveren, eller kan det?

---> Bufferzone: tak for linket. Det er en udmærket artikel, som dog er lidt for generel, og ikke helt giver svar på mine specifikke spørgsmål.



For at blive lidt mere konkret, så er der tale om en Intel PIX 515E router. Vi har hidtil haft vore web- og ftp servere siddende på LAN siden, men alle eksperterne siger, at disse hører til på DMZ.

FTP serveren bruges bl.a. til at modtage ordrer, som vi herefter tilgår og bearbejder via windows shares. Det vil så ikke længere kunne lade sig gøre, uden at kompromitere sikkerheden, læser jeg mellem linierne. Det er også ok, så må det bare gøres via ftp i stedet.

Hvis det heller ikke kan anbefales at åbne for FTP trafik mellem DMZ og LAN, er anbefalingen så, at vi skal gå via det offentlige internet, hver gang vi vil have fat i vores egen FTP server? Det virker lidt omvendt på mig, at skulle benytte en (relativ) langsom internet forbindelse til at kommunikere med en server, som står 2 meter fra klienten.

Vores webserver sidder ligeledes i dag på LAN, hvilket igen ikke er velset blandt sikkerhedseksperterne. Men hvis ODBC trafik mellem DMZ og LAN som udgangspunkt heller ikke er ønskeligt, begrænses webserveren jo til rene "frysevarer". Så kan der vel ikke genereres levende up-to-date sider, hvor man bruger data fra produktionsserveren? Produktionsserveren skal jo netop være placeret på LAN for at give denne den højeste sikkerhed mod uautoriseret adgang til sensitive data. Hvordan klarer man så denne gordiske knude?

"Det er ellers mit indtryk, at den generelle anbefaling er, at webservere mv. skal placeres på DMZ, men hvordan får man så afviklet f.eks. ASP/PHP sider, som skal tilgå data fra en server på LAN siden?"

Man bør vel ikke sette databaser mm inne på lan som skal accesseres fra web server mm i dmz sonen.

Hvis man allikevel av en eller annen grunn skulle gjøre dette så kunne man vel kanskje monte lan ressursen via nfs http://nfs.sourceforge.net/nfs-howto/intro.html#WHAT

Tror nok at en slik mounting fra dmz til lan vil stride i mot de fleste normer for god sikkerhet.

"Hvis det heller ikke kan anbefales at åbne for FTP trafik mellem DMZ og LAN"

Fra lan til dmz så kan man vel åpne uten problem. Fra dmz til lan så skulle det normalt ikke være noe behov for ftp ettersom ftp server er på dmz (??).

"Vores webserver sidder ligeledes i dag på LAN, hvilket igen ikke er velset blandt sikkerhedseksperterne. Men hvis ODBC trafik mellem DMZ og LAN som udgangspunkt heller ikke er ønskeligt, begrænses webserveren jo til rene "frysevarer". Så kan der vel ikke genereres levende up-to-date sider, hvor man bruger data fra produktionsserveren? Produktionsserveren skal jo netop være placeret på LAN for at give denne den højeste sikkerhed mod uautoriseret adgang til sensitive data. Hvordan klarer man så denne gordiske knude?"

Men hvordan accesseres ODBC data i dag ? Vi nettverk ? Dreier det seg om Windows/Linux/Unix servere ? (Eventuell mounting via NFS som nevnt over er jo en ren Unix/Linux sak.)

Ellers så er det jo slik at tilgjengelighet/accessability og sikkerhet ofte er to ting som må vurderes opp mot hverandre.

En database inne på lan vil jo normalt ikke være tilgjengelig for web serverne ute på dmz.

Hvis man skal ha både sikkerhet og tilgjengleighet så kunne man for eksempel sette opp en master database inne på lan og så legge en kopi av denne databasen ute på DMZ området.

Hvor praktisk mulig dette er, eller kanskje rettere sagt, hva det koster, vil jo avhenge av hva slags database det er. En annen problemstilling er jo hvor nøyaktig denne oppdateringen av kopidatabasen må være. Dersom det hadde dreid seg om Linux/Mysql så ville det være en forholdsvis enkel sak å legge opp en rutine med automatisk oppdatering av kopidatabase for eksmpel hver natt.

Det dreier seg kanskje om Windows utstyr ? Se da eventuelt bort fra tips om nfs.

Hvis problemstillingen er sikkerheten til arbeidsmaskinene på lan, så kan man oppnå en god løsning mht denne problemstillingen meget enkelt og for noen hundrelapper (Eventuelt en PC med Smoothwall):


-Internett--Firewall--Eksisterende nettverk----ny firewall--nytt sikkert lan

Det eksisterende nettverket vil da få en rolle som dmz segment, og så vil man kunne opprette et nytt sikkert lan segment på innsiden av denne. Med denne løsningen så kan vel det meste av det eksisterende kjøre slik som det er. Sikkerhetsgevinsten vil imidlertid være begrenset til arbeidsstasjonene på det nye innvendige lan.

MVH Langbein.

Tilbake til det opprinnelige spørsmål:

Fra dmz til lan (I ugangspunktet ingen trafikk tillatt, men det kan endres.)
Fra lan til dmz (I utgangspunktet all trafikk tillatt, men begrenset til routbare protokoller. Windows shares er til eksempel ikke routbar.)

Tak for svarene, det klarede begreberne... :-)

---> bufferzone: Beklager. Jeg ville egentlig gerne have givet dig nogen af pointene, men jeg kunne ikke få den manuelle pointdelingsfunktion til at virke. Og da jeg trods alt syntes, at langbein fortjente mere end 50% for hans store arbejde, blev det til 0 point til dig i denne omgang. Blaim it on the webmaster!