Em Qui, 2006-07-06 às 23:53 -0300, Pedro Henrique Morsch Mazzoni escreveu: > Olá, > > Estou fazendo um projeto de segurança na rede de um amigo e estou com > um problema que não vejo solução segura. Vamos fazer uma DMZ > back-to-back, com um fw externo e um interno. > No projeto atual, apenas os servidores Web e de e-mail externo é que > ficam na DMZ, e o servidor web só hospedaria sites sem conteúdo > crítico. > Acontece que empresa quer disponibilizar para acesso externo um portal > que precisa acessar arquivos e bancos de dados que contém informações > críticas. > Minha primeira sugestão foi colocar esse sistema na rede interna e > fazer uma VPN. O que não é viável pro cliente. > Não quero colocar os servidores de banco de dados e de arquivos na > DMZ, mas deixá-los dentro também não é bom pois os sistemas que rodam > na DMZ ( Webbased) teriam que ter acesso, o que comprometeria a > segurança. > > Sugestões? > > Pedro Mazzoni > ------------------------- Alguns colegas ja te deram algumas sugestões , mas eu tb já usei alguns recursos como :
No caso tinha um pessoal que tinha que acessar uma maquina , eu criei um script que retirava e colocava as regras do firewall a cada 5 minutos, isso porque eles usavam ip dinamico, então essas regras eram e relação a dominio no-ip, mudava o ip mudava a regra, no caso de queda do cliente no maximo tinham q esperar 5 minutos para que o firewall atualizasse as regras. Uso de outra placa com outro ip e outro dominio é uma outra coisa que pode ser usada tb em conjunto. Ainda pode fazer esse acesso a uma maquina diferente e que seja dado um comite startado pelo admin, ou seja atualizam a aplicação que esta em outra maquina, qdo estiverem satisfeito pedem ao admin para atualizar a o servidor que responde pelo dominio. Quanto a estar ou não em DMZ é relativo mas acho que nem tanto se tem firewall entre a internet e a DMZ , e se o OS do servidor de aplicação for BSD vc pode tb levantar o firewall só com uma meia duzia de regras e negando o resto. Bem eu usava esse conjuntinho de coisas para ajudar e nunca tive problemas algum. []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br _______________________________________________________ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd