DMZ yapılar olmak zorundadır. Bazı sistemlerinize hem içerden hemde dışardan erişilmesini siteyebilirsiniz. Örneğin bir web server. Bunu local bir ağa koymazsınız. Aksi halde 80 portunu dışarı açarsınız. Bu çok afaki bir örnek.
DMZ koyduğunuz bir makine sadece kendi subnetindeki makinalarla konuşur. O firewall, modem vs üzerinde başka bir DMZ daha açtığınızda farklı bir subnet olursa erişim için firewall, modem tarafında kural tanımlamanız gereklidir. Bunun gibi örnkeleri çoğaltabiliriz. Önemli olan oracle hizmeti veren windows serverin ne amaçla oraya konduğudur. Dışardan da bir şekilde belirli portlardan, belirli IP adreslerinden erişilmesi gerekiyorsa DMZ konması çok mantıklıdır. Örneğin X şirketisiniz. Oracle desteği veriyorsunuz. Bende y firmasıyım sizden orace desteği alıyorum. SSL VPN desteğim yok, sizde SSL account veremiyorum. IPSec de yapamıyorum. Dolayısı ile size database'imde sorun olduğunda erişmeniz için DMZ yapı kullanırım. Belirli bir porttan, sadece sizin adresinize yetki vererek database eriştirebilirim. Bunun gibi örnekler çoğaltılır. 03 Ekim 2010 11:43 tarihinde A.Gurcan Ozturk <[email protected]>yazdı: > Olayi sadece ele gecirme olarak dusunmeyin cok basit kacar. Sirket ici > hassas bilgiler, sirket kullanicilarinin bilgileri, kullanici > isimleri, dosyalar vs. > > DMZ-Internet gibi bir yapi kurmazsaniz, Internet'gen gelecek > saldirilara localnet tarafinda karsi koymaniz gerekir, ki bu daha > buyuk bir sorun. > > Basit bir dusunce: Attack yapan biri oracle sunucunuza yaptiginda, DMZ > networku gocer diyelim ki, localnet ayakta kalacak calisanlarin buyuk > kismi calismaya devam edecek. DMZ olmadiginda ise her sey durabilir. > > Kucuk networklerde DMZ gereksiz kalabilir, siz yine de buyuk dusunun. > > Kolay gelsin, > > 2010/10/2 What you get is Not what you see <[email protected]>: > >> > >> Diyelim ki oracle kurdunuz, belli portlara da izin verdiniz > >> firewalldan. Ben bir attacker/hacker olarak girdim oracle icin acilmis > >> portlardan birinden bir sekilde. Ve artik oracle'in calistigi > >> networkteyim, DMZ olusturmamis ve direkt olarak LAN'da > >> calistirmissaniz, tum LAN networkunuzde gezebilirim demektir. > >> > > Zaten database server i DMZ ye koymak da cok mantikli degil. > > Benim sorduklarim aslinda biraz icice oldu. Hem database server > > olacak, hem de windows olacak > > hem de DMZ olacak. Diyecegim, database serveri DMZ ye koyarak onu > > tehlikeye atmiyor muyuz? > > Bahsettiginiz yazida da anlatilmis database ve email server in DMZ > > yapilmamasi gerektigi.Geriye de cok bir > > sey kalmiyor :) > > DMZ bir ara bolge oluyor ama sanirim iyi dusunmek lazim. > > _______________________________________________ > > Linux-guvenlik mailing list > > [email protected] > > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > > _______________________________________________ > Linux-guvenlik mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > Liste kurallari: http://liste.linux.org.tr/kurallar.php > -- *InetdEtc* Network and Security Consultant www.inetdetc.com
_______________________________________________ Linux-guvenlik mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik Liste kurallari: http://liste.linux.org.tr/kurallar.php
