Fontos biztosági kérdés.

Linux-security

Üdv Mindenkinek!

Van egy jól működő tűzfalas hálózatom, viszont ismerősöm azt tanácsolta hogy a webservert azt vegyem ki a belső hálóból és azt használjam külön kintről.
Szóval hogy érthetőbb legyen: a mail, az ftp, az egy tűzfal szerveren kereszül portforwarddal belső hálózatban lévő gépek.
Ha joomlat és egyéb (szerinte vackokat) akarok használni a webszerveren akkor a feltörhetőség miatt legyen az csak kinnt. Ha azt hekkelik szét, kb 10 perc alatt helyreállítható és semmi köze a belső rendszerhez. (Állítólag nem biztonságos a php meg ezek)
Szerintetek?

  • 1259 megtekintés

( mazursky | 2008. 05. 21., sze – 10:27 )

A jónak mondott megoldás a NET + LOCal + DMZ használata:

NET: ide csatlakozik a befele jövő internet és itt megy ki minden.

DMZ: ide kell tenni azokat a szolgáltatásokat, amit kintről is el akarsz érni (MAIL, FTP-ha nem csak belső, JOOMLA-eseteben, meg Apache PHP MySQL)

LOC: csak a belső hálózaton lévő gépek és az ahhoz tartozó PrintServer-ha van, nyilván a SAMBA/NFS itt lesz csak.

A router az összes hozzád tartozó netes szolgáltatást rout-olja a DMZ-s gépre, amibe jó ha RACK-es a HDD, amin a rendszert megfelelő beállítás után leimage-elted, és azután rakod ki publikusnak (mentés!)

Továbbá a router az összes belső hálózati kérést DROP-olja (drop_smb_all), és csak azt engeded ki a NET zónába, amit nagyon muszáj.

Valahogy így, persze a shorewall nem kötelező, csak itt találtam meg éppen...

/mazursky

A WEB servernek semmi keresnivalója nincs a LOCAL network-ben! Tedd ki nyugodtan a DMZ-be.
Vállalati belső webfelületnek ott az INTRAWEB/CompanyWEB, ami csak belülről látszik, illetve annak, aki kívülről VPN kapcsolattal lép be.

Shorewall-os implementécióban (de akár ip_tables-ben is) csak néhány sorral több, mint a LOC + NET megoldás (a DMZ-s sorok miatt), azonban jobban átlátható. És még példák is vannak a shorewall config fájlokban, így kikeresheted a Neked megfelelőt.

/mazursky

( eax | 2008. 05. 21., sze – 12:10 )

Igaza van.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( Jason v | 2008. 05. 21., sze – 14:19 )

"és semmi köze a belső rendszerhez."

Igen, meg pl az összes http forgalma nem megy át a tűzfal szabályain, nem tesz rá terhelést fölöslegesen.

Joomla sztem is gány, inkabb Drupal vagy saját fejlesztésű akkor már :)

"(Állítólag nem biztonságos a php meg ezek)"

Jahogy java huszár az illető. Aki nem tud arabusul, ne beszéljen arabusul, de főleg ne fikázza, mert még egy szablyával életveszélyesen megközelítik.
--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.