Forum Datorer och system Server Tråd

Hur isolerad ska en DMZ vara?

1
Skriv svar
Permalänk
Medlem

Hur isolerad ska en DMZ vara?

Det ligger ju i begreppets själva natur att en DMZ har någon slags länk till övriga LAN:et och inte är en fysiskt isolerad infrastruktur helt på egen hand. Men vilken grad av isolering "krävs" för att inte skjuta sig i foten? Jag ser ofta rådet att en DMZ inte ska få upprätta kommunikation själv, men att den kan svara om LAN vill ha kontakt (lawrencesystems är väl den enda jag minns har sagt det nyligen, men jag tror jag läste det i nån pfsenseintroduktion också).

Ni som är hemma på DMZ:s, är det okej, eller kan en komprometterad webbserver (el dyl) i en DMZ piggybacka på paketen som går tillbaka till LAN och släpps igenom av t.ex. pfsense på tillbakavägen, eftersom godkänd anslutning initierades från LAN.

Bakgrunden till min fråga är att om det nu ska vara "dubbelisolerat", varför då alls bry sig om att ha en DMZ överhuvudtaget. Bättre då att bygga en separat infrastruktur. Eller är DMZ nåt som hittats på för entusiaster hemma som inte vill ha för mycket hårdvara.

??

Redigera
Citera flera Citera
Permalänk
Medlem

Det bror ju lite på vad du vill skydda och till vilket pris. I större företagsmiljöer vill du kanske inte låta LAN prata obegränsat med DMZ utan all hanteringen och kontakt måste gå via en jumpststion. Vore dumt om någon öppnar ett skadligt e-postmeddelande som sen ändrar något på webbservern där företagets kunder handlar i webbshoppen som ett exempel.

Sen gäller det att ha minimalt med portar öppna inåt och även utåt, gärna över krypterade protokoll.

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Rekordmedlem

Är inte frågan ställd totalt baklänges för en DMZ ska inte vara isolerad på något sätt utan det är lanet som ska vara isolerat.

Visa signatur

Ryzen 5 2400G, Asus ROG STRIX B350-F Gaming, 500GB Samsung 970EVO NVMe M.2 och en väldig massa masslagring. Seasonic Focus+ Gold 650W, Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, Tittar på en Acer ET430Kbmiippx 43" 4K
Främre ljudkanalerna återges via Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop, mätmikrofon och en Colorimeter.

Redigera
Citera flera Citera
Permalänk
Medlem

En DMZ skall normalt ligga utanför ordinarie brandväggar. (Man kan naturligtvis ha extra brandvägg som skyddar just DMZ.)
Vad gäller övriga enheter på ditt LAN skall de i stort sett betrakta din DMZ som en del av det stora suspekta Internet och vara lika misstänksamma mot den som slumpmässiga andra servrar - med undantag för specifika tjänster där du behöver ha uppkopplingar mellan DMZ och övriga enheter.

Redigera
Citera flera Citera
Permalänk
Medlem

Det beror helt på för vilket syfte man har DMZ. Men behöver systemet ingen koppling mot interna system så klassas det som ett externt nätverk för det interna nätverket.

Men säg att du hostar en webbshop i DMZ. Då måste det finnas en koppling till det interna systemet så att ordnarna kommer in i det interna affärssystemet.

Visa signatur

Car pc (bygglogg) | Fishtank server (galleri) | HTPC (galleri)

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara