DMZ Segura
-
Pessoal me tirem uma duvida, para ter uma DMZ segura o ideal e manter a DMZ em outro switch, só que não posso adiquirir outro no momento, e o que eu tenho atualmente não é gerenciavel e não faz VLANs.
Na minha DMZ vou ter apenas 1 servidor que vai rodar o Zimbra, um FTP e um portal corporativo.
Pensei e fazer uma VLAN no pfSense e depois criar a DMZ rodando nela. Isso e possivel certo?
Mas a minha maior preocupação é a segurança! O que acham é viavel?[]´s!
-
Devo dizer que o título do tópico me deixou confuso num primeiro momento ;D
No seu caso, o ideal é adicionar uma interface no PFSense e dedica-la ao DMZ. Assim você controla os acessos da rede Interna e da Internet sem precisar comprar um Switch.
-
Pensei e fazer uma VLAN no pfSense e depois criar a DMZ rodando nela. Isso e possivel certo?
Seria possível se o Switch também suportasse VLAN. É pré-requisito que tanto a placa de rede quanto o Switch suportem o protocolo IEEE 802.1Q. Do contrário, não se conversam.
-
Seria possível se o Switch também suportasse VLAN. É pré-requisito que tanto a placa de rede quanto o Switch suportem o protocolo IEEE 802.1Q. Do contrário, não se conversam.
O meu é o 3Com Superstack 4200, acho q tem suporte vou pesquisar melhor!
No seu caso, o ideal é adicionar uma interface no PFSense e dedica-la ao DMZ. Assim você controla os acessos da rede Interna e da Internet sem precisar comprar um Switch.
Mas se eu criar essa DMZ ela vai ficar junto a minha rede (mesmo switch) ai minha preocupação uma vez dentro da DMZ seria muito mais simples invadir a rede local! Ou não?
[]´s
-
No seu caso, o ideal é adicionar uma interface no PFSense e dedica-la ao DMZ. Assim você controla os acessos da rede Interna e da Internet sem precisar comprar um Switch.
Mas se eu criar essa DMZ ela vai ficar junto a minha rede (mesmo switch) ai minha preocupação uma vez dentro da DMZ seria muito mais simples invadir a rede local! Ou não?
[]´s
Outra interface de rede, outra sub-rede.
-
Se os cabos estiverem ligados no mesmo Switch que as demais estações, você corre um risco sim. A não ser que como o Jhonnybe disse, haja suporte para VLans no seu Switch.
-
diegogyn,
depois de segmentar o switch, ele passa a funcionar como se fossem dois ou mais. As portas da vlan10 não conseguem receber ou enviar pacotes para outra vlan. O unico equipamento que precisa estar configurado nas duas redes é o firewall e esta comunicação pode ser feita com uma única placa de rede(usando vlans tag) ou com uma placa em cada vlan configurada.
Particularmente, prefiro o firewall com uma unica placa giga no switch acessando todas a vlans via tag.
att,
Marcello Coutinho
