Vai al contenuto


Foto
- - - - -

Dmz

dmz

  • Per cortesia connettiti per rispondere
9 risposte a questa discussione

#1 francesco.monte

francesco.monte

    HTastinator

  • Members
  • 395 messaggi

Inviato 04 January 2007 - 10:02 PM

Ciao ragazzi, non ho anora capio cos'è una DMZ...attenzione solo ad una cosa, chiedo aiuto solo a chi ne ha implemntata una e sa spiegarmela...su internet ho trovato articoli che confondono e spesso usano termini imporpi facendo confusione anche col NAT ecc...

Vi ringrazio in anticipo
www.montemurro.info by Francesco Montemurro

#2 limbo

limbo

    HT Member

  • Members
  • StellettaStellettaStelletta
  • 48 messaggi

Inviato 04 January 2007 - 10:17 PM

Ciao ragazzi, non ho anora capio cos'è una DMZ...attenzione solo ad una cosa, chiedo aiuto solo a chi ne ha implemntata una e sa spiegarmela...su internet ho trovato articoli che confondono e spesso usano termini imporpi facendo confusione anche col NAT ecc...

Vi ringrazio in anticipo


Allora in sintesi una DMZ è un segmento di una LAN (o piu' propriamente una sotto-rete di una lan) nella quale gli host presenti sono raggiungibili sia dalla lan sia dall'esterno ma che permettono connessioni solo verso l'esterno. Cio' si traduce in maggiore sicurezza per web/mail-server aziendali
i quali se fossero nella stessa sotto-rete aziendale ne potrebbero compromettere la sicurezza. Tutto cio' si puo' realizzare con un firewall con poche righe di codice.

#3 francesco.monte

francesco.monte

    HTastinator

  • Members
  • 395 messaggi

Inviato 04 January 2007 - 10:20 PM

non ti stai contraddicendo?

nella quale gli host presenti sono raggiungibili sia dalla lan sia dall'esterno ma che permettono connessioni solo verso l'esterno

ma non basterebbe un router qualsiasi senza mappature di porte?
www.montemurro.info by Francesco Montemurro

#4 limbo

limbo

    HT Member

  • Members
  • StellettaStellettaStelletta
  • 48 messaggi

Inviato 04 January 2007 - 10:27 PM

non ti stai contraddicendo?

nella quale gli host presenti sono raggiungibili sia dalla lan sia dall'esterno ma che permettono connessioni solo verso l'esterno

ma non basterebbe un router qualsiasi senza mappature di porte?


In effetti è un concetto un po' strano ;)
In pratica sei tu, tramite oppurtune regole di firewall, a decidere quali connessioni possono partire dalla dmz verso la rete interna.

#5 francesco.monte

francesco.monte

    HTastinator

  • Members
  • 395 messaggi

Inviato 04 January 2007 - 10:28 PM

perfettpo, ho un idea comunque piu chiara :(
www.montemurro.info by Francesco Montemurro

#6 limbo

limbo

    HT Member

  • Members
  • StellettaStellettaStelletta
  • 48 messaggi

Inviato 04 January 2007 - 10:29 PM

perfettpo, ho un idea comunque piu chiara :(



Lol, cosè che non riesci a capire. Fai domande piu' specifiche :)

#7 limbo

limbo

    HT Member

  • Members
  • StellettaStellettaStelletta
  • 48 messaggi

Inviato 04 January 2007 - 10:38 PM

Ti faccio un esempio forse riesci a capire meglio:

ipotetica azienda A che ha una lan con un router/firewall che permette di uscire all'esterno(internet). Oltre ai computer della LAN questa fantomatica azienda ha un mail server e anche un web server (con windows :D). Stessa rete. Ovviamente sul router/firewall ci saranno delle regole che dicono che se si ricevono richieste http/smtp le deve smistare verso queste due macchine. Ecco ora arriva il bello, se queste due macchine vengono compromesse l'attacker puo' fare quello che vuole nella lan dato che non ce nulla che lo blocca o che rivela cio' che sta facendo.

#8 limbo

limbo

    HT Member

  • Members
  • StellettaStellettaStelletta
  • 48 messaggi

Inviato 04 January 2007 - 10:49 PM

Ora arriviamo all'azienda B.
I SuperSysAdmin hanno implementato una bella DMZ. LAN-DMZ con un bel firewall/router. In sintesi gli utenti di internet possono accedere ai server della DMZ e non alla lan ovviamente. Le macchine della LAN possono accedere alla DMZ. Le macchine della DMZ possono si connetersi verso la LAN ma con regole superristrette. In questo modo, anche se il webserver venisse compromesso il traffico verso la LAN dovrebbe cmq passare attraverso il router/firewall e quindi visto, limitato o bloccato.

#9 limbo

limbo

    HT Member

  • Members
  • StellettaStellettaStelletta
  • 48 messaggi

Inviato 04 January 2007 - 10:52 PM

Semplice e stupido esempio server web. Sappiamo che il servizio http risponde sulla porta 80 lato server ma che riceve connessioni da porte superiori la 1024 (essendo riservate appunto ai servizi). Se io sul firewall blocco DMZ->LAN tutte le connessioni sotto la porta 1024 l'attacker che fa? Si attacca :D

Spero di esserti stato d'aiuto. Cmq come dicevo se hai qualche domanda piu' specifica vedo di risponderti.

#10 SeFlow

SeFlow

    Provider

  • Members
  • 1,506 messaggi

Inviato 04 January 2007 - 10:55 PM

Francesco, la DMZ viene definita zona demilitarizzata e serve per creare una nuova lan interna all' azienda nel quale implementare regole totalmente differenti, per alcuni servizi, ai classici bisogni che può avere una rete aziendale, come per esempio un servizio mail o web (come detto da limbo).

Tu immaginati di avere a monte un firewall che protegge la tua azienda di 100 computer. 1 pc gestisce la posta, 1 gestisce il web e gli altri 98 sono pc interni dei tuoi dipendenti. Se tengo tutto nella stessa sottorete rischio che se mi bucano il server web l' intrusore possa girare agevolmente anche per tutti i pc della stessa sottorete, quindi di tutti e 100 i pc aziendali. Se io limito i servizi web (quindi http e mail) in una propria rete, detta dmz, se dovessero bucarmi quei servizi per l' intrusore risulterà molto più difficile gironzolare per la rete perchè effettivamente sono due reti diverse. L' implementazione più classica è:

- firewall a 1 lan



- qui c'era un disegno ma con la formattazione del forum non si capisce nulla :D

Come vedi se mi bucano la lan2 non significhi che abbia l' accesso alla lan1 :approved:
DomFlow.it - http://www.domflow.it - Il tuo nome a dominio .it da € 4.40 ! Account Rivenditori e modulo WHMCS gratuiti. Cloud Servers con ridondanza geografica




0 utente(i) stanno leggendo questa discussione

0 utenti, 0 visitatori, 0 utenti anonimi