|
Сегментация сети на зоны безопасности (DMZ & VLANs)
здравствуйте, собственно вопрос - есть такая конфигурация.
локальная сеть, выход в и-нет через ISA 2000 есть Lotus Domino server 6.5.1 как его опубликовать настроить ip , MX записи я знаю мну мучит дилетантский вопрос, данный сервер не умеет забирать почту по POP но умеет "слушать" по SMTP , так вот какие трудности могут возникнуть если я его публикую в и-нет. Как я представляю процесс идет так. отправляют по smtp - письмо идет, попадает на прокси, оттуда попадает на порт сервера, как получится на практике не знаю, не знаю чего следует опасаться. Если кто то сталкивался с подобной задачей подскажите пожалуйста что нибудь путное, заранее спасибо! |
Flick
В первую очередь Вам нужно срочно почитать про SMTP ;) Во-вторую, все определяется на DNS-сервере который держит Ваш домен (правильнее сказать зону), т.е. скорее всего у провайдера. В принципе ни кто не запрещает делать такой финт ушами, как отправка непосредственно на почтовый сервер минуя разрешение Имен на DNS-серверах, или напрямую по IP, или прописав домены в файле hosts или еще где (Наприме в M-Daemon, можно напрямую можно забить соответствия в текстовый файл почтовый домен<->SMTP сервер. Оочень выручало при падении DNS провайдера). |
Сегментация сети на зоны безопасности
Вложений: 1
Есть свич програмируемый 3812
Нужно вот что сделать. 1. Запретить пакеты при изменении ip адреса :) Есть сеть, мы хотим создать еще одну подсеть поставить туда сервак и админа туда поставить. Но нужно сделать так что бы он не видел основую сеть компании (туда ходит только интернет и всё). Мы беспокоимся что если дать админу полные права на сервер он изменить айпи адрес на адрес основной сети и под своим логином в основной сети скачать информацию на его сервер и записать её на борлванку или на дискету (это уже не важно на что). Или подскадите что можно сделать? Если на пальцах то ... Если какой нить админ сменить IP адрес этой сетевой карты не имел доступ в другую подсеть. |
1) Картинка красивая, но непонятная
а) Не виден сервер который собираетесь выносить в отдельны сегмент. б) В отдельном сегменте будет судя по всему целая подсеть? С сервером и станциями? в) S - это сервер для доступа в интернет? Дорисуйте пожалуйста. 2) Фильтрацию можно проводить на разных уровнях, за сим чем точнее схема, тем более детальные рекомендации можно дать. 3) При изображении сетевых схем надо пользоваться стандартными значками см. предпоследний пост http://forum.oszone.net/thread-65280.html 4) Что подразумевается под словосочетанием "только интернет"? web, ftp, icq? Или все за исключением NetBIOS (сетей Win)? |
1) Домино живет на отдельном сервере? Конфигурацию как програмную так и аппаратную сервера где живет Домино.
2) Сервер с Домино в домене? 3) Каковы возможности для выделения домино в DMZ? Управляемый свич? Маршрутизатор? 4) Давайте договоримся что Вы будете излагать часть своих мыслей графически. Одна схемка, даже кривая как турецкая сабля, обычно стоит многих страниц текста. |
Вложений: 1
Вот посмотрите тут что есть а внизу что я хочу сделать, правильно это или есть варианты лучше?
нет главный сервер домино сидит на контроллере домена, (денег нет млин) да возможность прикупить интернет марш. есть , что-нибудь типа D-link DI-804HV присматриваю, дешево и сердито. Доимно в домене, но это не проблема поскольку на домен домино не опирается. (за редким искл.) + хотя прокси и предполагаемый почтовик не в домене но подсеть одна, домен настроен соответствующим образом. внизу на схеме, марш и почтовик сейчас отсутствуют это то что хочу сделать на схеме косяк - на самом деле инет и прокси соединены..((( |
В общем пока почтовик живет физически на одном сервере сконтроллером домена о всякой фильтрации (DMZ) можно забыть.
Рекомендации: 1) Прокси и почта должны жить отдельно, лучше каждой по серверу, но вполне терпимо и на 1й 2) Пока не будет выделенного фаервола (именно фаервола в чистом виде) будет тяжело говорить о сегментации. Вобще идеал это 1 функция 1 сегмент (сервер). 3) Фаервол можно купить (только нужен обязательно трехвходовый, т.е. у него 3 группы портов WAN, LAN, DMZ) Можно собрать из чего-либо старого. Подитоживаю. Необходимо получить 1 выделенный компьютер под почту + прокси, а лучше 2. Купить или собрать 3х портовый фаервол. В общем можно и при имеющейся конфигурации мапить 25й порт наружу, угроза для безопасности минимальна. DMZ нужен как средство контроля трафика от сервера на внутреннюю сеть. Если у вас не шибко интеллектуальный свич, то боюсь даже при разделении функций на сервера ограничить доступ тяжко. А вслучае проживания всех в "общаге" причем DC - в случае чего будет "алесмахен, 31415здохен шварц" |
подойдет ли для ваыполнения задачи вот эта штукенция
http://dlink.ru/products/prodview.php?type=15&id=150 все дело в деньгах , а на такую маленькую коробочу за 500 у.е минимум мне никто не даст к сожалению..(((( Поэтому вот такую штуку присмотрел....что скажете, если за ней спрятать 1 почтовый сервер на одном компьютере. ? |
Я предлагал нечто другое, поставить коробочку фаервол у которой Wan выход смотрит в к провайдеру.
За DMZ портом живет субсеть с почтой и WEB, а к LAN порту подключается собственно LAN. D-Link Модель DFL-200 - стоит 7000 руб (Если Вы тяготеете к D-link) - это вроде "чистый" фаервол Однако мне больше нравится (Люблю аккуратные железные вещи) http://www.trendnet.com/ru/products/TW100-BRV304.htm за 150$ Это роутер с функцией фаервола. Кстати, как вы получаете интернет? По какому порту, Ethernet Или USB? |
интернет идет по Ethernet с адресом "серым" локальной сети провайдера, собственно его планируется оставить чтобы выпускать пользователей в инет, а новый белый адрес прописать на железке а за ней спрятать почтовик воть... сначала хотел добавить сетевой и-фейс на сервер с прокси и опубликовать порты с помощю isa server выходит лучше через железку.
|
Вложений: 1
Для иллюстрации предмета разговора, так сказать
Варианты схемы: На 2х фаерволах без DMZ-порта, и фаерволом с выделенным DMZ-портом |
javascript:PrintUserName('kim-aa')
kim-aa скажите! я купил таки посоветанную вами железку, но может я дуб а может и нет только сервер подключенный к дмз порту на ней не пингуется с пк подключенного к лан порту на этой же железке адреса соотв 192,168,10,10 и 192,168,10,11? ничего не понимаю.... Главное непонятное для мну.... каким образом внутренние срвера преприятия увидять сервера в ДМЗ? они должны быть в одной подсети? Иливсе таки в разных? но как тогда маршрутизировать ? настраивать железку? а между тем настройки там позволяют как я успел заметить настраивать правила файрвола примерно так WAN -> Lan Lan -> Wan DMZ -> WAN WAN ->DMZ и ни слова про DMZ -> Lan или наоборот... знаю, я - тупой, но что делать то ? |
1) Какую именно - Trendnet?
2) Хелп что ли пришлите по почте, или укажите. 3) Раслабтесь. Главное спокойствие как говорил Карлосон. 4) Обычно фаерволы с DMZ выделяют ее в отдельную сеть, и только дорогие работают прозрачно на 2м уровне (у PiX вроде бы есть такой уровень), но лучше внимательно перечитать документацию. |
модель именно та которую, вы описали выше купил в тот же день? Выходит так что действительно этот порт ДМЗ не предназначен с коммуникацией с ЛАн портами этой же железки, то есть - все блин в натуре плохо (пардон за сленг) , значит можно разместить сервер за файрволом просто через Лан порт железки, на самом ПК поставить второй сетевой и-фейс с адресом смотрящим внутрь локальной сети ... такая конфигурация приемлема?
|
Тихо ,тихо. Хелп где почитать на него.
Нафиг он такой сдался (в смысле DMZ порт) Если ВЫ спешите, то действительно можно просто разместить "за фаерволом", просто через LAN порт. Но все равно лучше знать полностью возможности своего железа, мало ли. |
Вложений: 1
Кстати в поисках документациии наткнулся вот на что http://www.compress.ru/Archive/CP/2004/1/52/
(Надо же, давал рекомендации аналитически и тем не менее угадал.) Народ указывает "В разделе Routing можно прописывать как маршруты, так и демилитаризованные зоны." На сайте разработчика Возможны два варианта firmware http://www.trendware.com/downloads/i...100-BRV304.htm Согласно "Юзер-Жуть" DMZ это отдельный сегмент третьего уровня, со своей сетью. см. картинку По моему USER Guide очень подробно. А QIG - quick installation guide вобще все на пальцах, каждый шаг проилюстрирован. |
kim-aa, Огромный респект и большое спасибо, все получилось работает пока ни поломали )))) Прсото счаслтлив, прям все здорово, Еще раз спасибо, железка действительно хорошая, но видимо я торопился, а может и еще что то напутал так и не срослось пока с ней, сейчас все готово осталось только через нее подключится/ ))) и ее же натсроить но это думаю ужо не проблемма,
|
Вложений: 1
kim-aa
Привет. Такая вот ситуация прикрипил фаил. Значит так trening room нужно отделить от домена но нужно что бы в эту комнату на "Server" приходил интернет (80 81 21 110) так что бы эта комната ни при каких условиях не видела сеть DOMINE и не могла зайти на неё. Это пол беды (достаточно простой) Вот меня инетересут оранжевый свич или еще что либо его роль очень мне важна. На машине SERVER будет 2 сетевые карты первая в свич общий, вторая в свич в комнату обучения. Так вот нужно сделать так что бы при изменении ip адреса на машине "Server" этот оранжевый свич или другое оборудование блокировало все пакеты на этот "SERVER" |
Butunin Klim
Ну вобще-то, судя по схеме Вам достаточно обыкновенного двухвходового фаервола. Нет, конечно свич будет работать быстрее, только если у Вас задача только инет, то смысла нет. Опять же, свич который так же богат настройками как фаервол, обычно во столько же и его дороже. Вобщем если Приведенная Вами схема верна, то вот ситуация вроде Вашей http://forum.oszone.net/thread-68669.html Опять же, мне не понятно зачем втыкать в Server 2 сетевых карты. Достаточно что бы сервер был включен в хаб, а соответственно между хабом изолированной комнаты и хабом основной сети, был включен фаервол. Если же свич уже есть, то можно построить на нем, путем выделения VLAN. Правда и тогда я бы ставил 2 карты на фаерволл, а не на сервер. Цитата:
|
kim-aa Заметь как вырос Butunin Klim если сравнить первый и второй рисунок :) Butunin Klim не обижайся :)
|
kim-aa
Мы хотим посадить чужого администратора на этот сервер и пускай он его админит но при изменении ip адреса это оборудование оранжевое блокировала бы все пакеты. Сервер будет в обучающей комнате как бы реальный сервер (фаервол). Просто там админ будет иметь полные права на сервер, что очень Нам ненравиться вот и приходится выдумать клин между сервером "Server" и основной сетью. Планируется создать несколько таких комнат от 1 до 40. Подскажите оборудование в которое можно вбить что только с определенного ip адреса разрешаются имеено те пакеты которые мы дадим, при изменении ip адреса на сетевой карте "SERVER" оборудование бы блокировало все пакеты в основную сеть но продолжало бы работать комнатаобучения. Так как там стоять будут сервер-клиент приложения. |
Вложений: 3
Все зависит от денег.
А архитектуры, вот вам три на выбор. |
Денег компания не жалеет если надо потратить 100 долларов - потратим 100... если 40.000 долларов - потратим 40.000... Тут вопрос в иммено в этом "клине" между "Server" и основной сетю. Нужно что бы каждый порт свича был программируемый. Прости за тофтологию но повторюсь еще раз. Нам нужно, если системный администратор изменить ip адрес на сетевой карте на SERVER но этот свич отключал бы его от себя. тоесть каждый отдельный порт Свича должен программироваться на mac или ip адрес указанный нами
|
Вложений: 1
Ну желательно конечно уточнить марку фаервола.
Но в любом случае, максимальную гарантию и управляемость Вы получите при применении сегментации на коммутаторах третьего уровня. Вот вам примерная схема (расматиравалась ранее автор sidelong) с VLANS. Реально оборудования такого класса достаточно много. Хотите Cisco, хотите 3COM, Cabletron, Lusent, Nortel .... Однако я бы рекомендовал таки Cisco, и не потому что это "круто", а потому что это единственный производитель который удосужился выпустить литературу на Русском. |
У нас нет специалистов по работе на Cisco, что бы вы порекомендовали по поводу 3сом
А что Вы думаете по поводу Dlink DFL-1600 http://dlink.ru/products/prodview.php?type=18&id=571 |
А что Вы думаете по поводу Dlink DFL-1600 - ничего не думаю. С продукцией данной фирмы я не работаю :)
(Вобще это как-то не соответствует Вашему высказыванию о 40 000 $) Цитата:
Cisco Я рекомендовал с точки зрения ситуации "когда у Вас нет специалистов, но Вам надо это сделать". |
Не целесообразно нанимать специалиста для настройки одного раза этого маршрутизатора. Можно нанять но это чужой человек будет работать, что опастно.
С 3сом Мы знакомы но как-то не сложились у нас отношения с этой фирмой. |
Цитата:
Исходя из данной логики, аппендицит нужно удалять самому, т.к. операция разовая. |
ну так вот я и спрашиваю какой свич или побочное оборудование может прогаммировать порты свича. все кроме циски
|
Я же Вам сказал. Вариантов море. Вас устроит любой свич 3-го уровня.
У Cisco это 3550, 3750. У 3COM - 5500. Однако, хочу сделать следующее замечание, это сложное оборудование. Если Вы хотите разворачивать своими силами, то наверное проще использовать вариант 2. Т.е. просто для каждого сегмента свой простой фаервол с web управлением. |
1) Вариант сложный - Коммутатор 3-го уровня, к нему цепляются коммутаторы отдельных сегментов. Фильтрация осуществляется на коммутаторе 3-го уровня.
2) Вариант простой. Центральный коммутатор. К нему цепляется фаервол для выхода в интернет. Кроме того каждый сегмент сети (коммутатор сегмента), соединяется с центральным коммутатором через двухпортовый фаервол. Фильтрация настраивается на фаерволах. |
Вложений: 1
Вот Вам схемка. Кстати роль центрального свича + ограничивающих фаерволов может сыграть вышеуказанный Вами D-link
|
Спасибо. Будем тестировать у dlink у них есть тестовая неделя на оборудование начнем с этого Бренда.
|
DMZ настройка
Я понимаю что тут уже много тем похожих и косвенно затрагивающих DMZ, но такой по-моему не было.
В первые сам столкнулся с настройкой сети с DMZ. Итак, начну с цитаты: Цитата:
WAN и LAN меня не волнуют, с ними все ясно. Волнует DMZ. Я собираюсь на интерфейс DMZ повесить WEB-Сервер. Соответственно на этом самом веб сервере будет мотаться www,DNS,ftp и прочая приблуда. Провайдер выдал мне несколько внешних ip адресов на которые я и хочу повесить www и все остальное. 1. Интерфейсу WAN я даю один из внешних IP адресов (выданных провайдером). 2. Интерфейсу LAN я даю локальный IP. 3. Какой IP адрес выдавать интерфейсу DMZ если мне нужно чтобы сервисы WEB сервера были доступны снаружи? Какой IP адрес выдавать интерфейсам на WEB сервере? Вообще хотелось бы по-побольше примеров с указанными ip адресами на интерфейсах. Маршрут пакетов от WAN к WEB серверу и содержание заголовков пакетов на всех точках прохождения от интерфеса WAN до WEB сервера и обратно. |
Для начала, считаю цитату несколько неверной в плане построения ДМЗ, ниже из примера немного попробую показать.
Если делать по цитате, то интернет-интерфейсу шлюза, ДМЗ-интерфейсу шлюза, а также каждому из выставляемых в Интернет ресурсов придется давать WAN-адреса... Соответственно получается их должно быть минимум 3 (для выдачи 1 ресурса). Однако в большинстве случаев для ДМЗ тоже используется трансляция адресов. Выглядит это так: ЛАН-интрерфейс - адрес из локальной сети №1, Интернет-интерфейс - WAN-адрес, ДМЗ-интерфейс - адрес локальной сети №2, выдаваемые ресурсы - другие адреса из сети №2. При этом на шлюзе настраивается трансляция адресов из сети №2 в комбинацию порт:адрес Интернет-шлюза. Как видим, в этом варианте достаточно использование лишь 1 WAN адреса для подключения большого количества доступных из Интернет ресурсов. Так понятно? |
Greyman
1. предположим у меня есть достаточно WAN адресов для реализации DMZ без использования NAT. Появляется несколько вопросов: Пример: WAN Interface -> 81.12.13.123 DMZ Interface -> 81.12.13.124 Interface WEB сервера -> 81.12.13.125 Я поднимаю DNS на WEB сервере: Как будут выглядеть записи? Так: Код:
$ORIGIN .Код:
$ORIGIN . |
Конечно первый вариант. ты же трансляцию не используешь, а значит днс-запросы на другие 2 адреса ответа не дадут, там просто некому отвечать. они просто используются для маршрутизации...
P. S. Кстати, в теме же ничего про ИБ вроде не рассматривается. Как ты на счет того, чтоб я тему в Сети из ИБ перекинул? Там просто больше сетевиков, я даже сам гораздо реже самостоятельно с конфигами вожусь (на это есть админы, а ИБ - задание для реализации концепции). |
Greyman
перебрасывай |
Negativ
DMZ - это всего лишь сегмент сети, в который выносится оборудование, к коему предьявляются спецтребования по доступу. Вот и то, и то DMZ. http://forum.oszone.net/thread-69237.html http://forum.oszone.net/thread-68669.html Просто класическая схема построения DMZ осуществляется на 2х портовых однофункциональных устройствах. Сейчас, когда устройства мультипортовые и свич/роутер/фаервол/не-пойми-что, для простоты восприятия при проектировании сети, сложные устройства декомпозируют на классические "примитивы". DMZ - в "классике" внешнее. В прочем в "классике" и NAT&PAT отсутствует. При существовании Домена как в глобальном, так и локальном адресном пространстве, обычно подымают 2 DNS Сервера. Проще знаете ли , не так сильно "кипит наш разум возмущенный". |
Построение VLAN сети
Тема наверное поднималась но я не нашел её.
Есть сеть 10,0,1,1/24 GATE 10.0.1.2 DNS 10.0.1.1 Нужно постоить еще одну сеть (например 10,0,0,1/24 )что бы она не имела доступ к сети 10,0,1,1/24 но имела интрнет от GATE 10,0,1,2 Не соображу как такое сделать. |
Butunin Klim
Мдяя, судя по всему мы скоро переплюнем "Санта-Барбару" Вот что я вам посоветую. Самое простое и прозрачное решение. Вставте (или купите) в GATE второй сетевой интерфейс. Присвойте ему адрес 10.0.0.2 /24 Повесьте на этот интерфейс отдельный свич для изолированной сети. Собственно так вы реализуете схему подобную той что обсуждалась с вами же тут http://forum.oszone.net/thread-69237.html |
kim-aa
Спаибо реальная идею про еще один интерфейс |
kim-aa
общие понятия мне известны. Я хотел бы подробности!!! Цитата:
|
1)
Цитата:
2) Цитата:
С точки зрения "внешнего" мира Ваши сервера прекрасно видны, иное дело что вы можете осуществлять фильтрацию на шлюзе DMZ-зоны (субсети). С точки зрения внутренней сети (за NAT), Ваши сервера являются опять же внешними и ничем не отличаются от скажем oszone.ru |
Пришли к выводу что легче сделать так.
Разбить на разные подсети на ОДИН сетевой интерфейс настройить 2 подсети задействовать протокол 802.1Q. купить сетевое оборудование 2 уровня но с IP MAC banding пример DES 3526 http://www.dlink.ru/products/prodvie...type=13&id=407 По идеи должно работать. |
А ваш фаервол поддерживает 802.1Q?
Вы же по сути создаете на нем субинтерфейсы с разными IP, причем каждый из них должен находиться в своей VLAN. Если же вы просто настроите фильтрацию по MAC+IP+port, то непонятно на кой ляд Вам 802.1Q? |
ДА потдерживает.
Ай пи мак бандинг для того что бы при изменении ip адреса swich блокировал все пакеты на этот ip адрес |
Кому Интерестно как я это сделал нa dlink
Задача: есть 3 влан 1- интернет шлюзы (1-8 порты) 2- сеть с поль (9-16порты) 3- сеть с пользователями (17-24 порты) Задача: Сдеоать так что бы 2-3 влан имели доступ на 1влан по портам 80 8080 110 25 Сделать так что бы 2-3 в лан не имели доступ друг к другу. Я использовал обычный com консль 24портовый свич config traffic_segmentation 1-24 forwarding_list 1-8 config traffic_segmentation 9-16 forwarding_list 1-16 config traffic_segmentation 17-24 forwarding_list 1-8,17-24 create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1 - создаём профиль доступа для разрешения определённого TCP порта config access_profile profile_id 1 add access_id 10 ip tcp dst_port 80 port 9-16 permit - создаём правило разрешающее с портов 9-16, например, обращение к TCP порту 80 config access_profile profile_id 1 add access_id 20 ip tcp dst_port 25 port 9-16 permit config access_profile profile_id 1 add access_id 30 ip tcp dst_port 110 port 9-16 permit config access_profile profile_id 1 add access_id 40 ip tcp dst_port 8080 port 9-16 permit - разрешаем остальные TCP порты create access_profile ip tcp dst_port_mask 0x0000 profile_id 2 - создаём профиль доступа для запрещения всех остальных TCP портов config access_profile profile_id 2 add access_id 10 ip tcp dst_port 0 port 9-16 deny - создаём правило запрещающее с портов 9-16, например, обращение к любым другим TCP портам |
начинают появляться подводные камни.
При блокировке всех портов кроме см выше. Компьютер начинает очень сильно тормозить. Подскажите порты отвечающите за хождение нормального трафика внутри сети НО ЧТО БЫ доступа к рессурсам небыло |
Бууу. Какой трафик вы обзываете "нормальным"?
Если Win, то блокируйте 135-139 (UDP&TCP), 445(TCP) Еще я бы блокировал, RDP, ICA, RAdmin, telnet, ssh - в общем все удаленной управление |
А доступ к шаренным ресурсам за какой порт отвечает?
|
Butunin Klim
Сказать по правде я так к вопросу не подходил. Ищите по форуму или в Сетевых технологиях или в Microsoft Windows NT/2000/2003 |
Не верно сформулировал вопрос.
Какой порт отвечает за доступ к принтарам и папкам сети. Сам же и отвечаю 445 138 TCP |
| Время: 04:29. |
Время: 04:29.
© OSzone.net 2001-