DMZ Segura



  • Pessoal me tirem uma duvida, para ter uma DMZ segura o ideal e manter a DMZ em outro switch, só que não posso adiquirir outro no momento, e o que eu tenho atualmente não é gerenciavel e não faz VLANs.

    Na minha DMZ vou ter apenas 1 servidor que vai rodar o Zimbra, um FTP e um portal corporativo.

    Pensei e fazer uma VLAN no pfSense e depois criar a DMZ rodando nela. Isso e possivel certo?
    Mas a minha maior preocupação é a segurança! O que acham é viavel?

    []´s!



  • Devo dizer que o título do tópico me deixou confuso num primeiro momento  ;D

    No seu caso, o ideal é adicionar uma interface no PFSense e dedica-la ao DMZ. Assim você controla os acessos da rede Interna e da Internet sem precisar comprar um Switch.



  • @diegogyn:

    Pensei e fazer uma VLAN no pfSense e depois criar a DMZ rodando nela. Isso e possivel certo?

    Seria possível se o Switch também suportasse VLAN. É pré-requisito que tanto a placa de rede quanto o Switch suportem o protocolo IEEE 802.1Q. Do contrário, não se conversam.



  • @johnnybe:

    Seria possível se o Switch também suportasse VLAN. É pré-requisito que tanto a placa de rede quanto o Switch suportem o protocolo IEEE 802.1Q. Do contrário, não se conversam.

    O meu é o 3Com Superstack 4200, acho q tem suporte vou pesquisar melhor!

    @LFCavalcanti:

    No seu caso, o ideal é adicionar uma interface no PFSense e dedica-la ao DMZ. Assim você controla os acessos da rede Interna e da Internet sem precisar comprar um Switch.

    Mas se eu criar essa DMZ ela vai ficar junto a minha rede (mesmo switch) ai minha preocupação uma vez dentro da DMZ seria muito mais simples invadir a rede local! Ou não?

    []´s



  • @diegogyn:

    @LFCavalcanti:

    No seu caso, o ideal é adicionar uma interface no PFSense e dedica-la ao DMZ. Assim você controla os acessos da rede Interna e da Internet sem precisar comprar um Switch.

    Mas se eu criar essa DMZ ela vai ficar junto a minha rede (mesmo switch) ai minha preocupação uma vez dentro da DMZ seria muito mais simples invadir a rede local! Ou não?

    []´s

    Outra interface de rede, outra sub-rede.



  • Se os cabos estiverem ligados no mesmo Switch que as demais estações, você corre um risco sim. A não ser que como o Jhonnybe disse, haja suporte para VLans no seu Switch.



  • diegogyn,

    depois de segmentar o switch, ele passa a funcionar como se fossem dois ou mais. As portas da vlan10 não conseguem receber ou enviar pacotes para outra vlan. O unico equipamento que precisa estar configurado nas duas redes é o firewall e esta comunicação pode ser feita com uma única placa de rede(usando vlans tag) ou com uma placa em cada vlan configurada.

    Particularmente, prefiro o firewall com uma unica placa giga no switch acessando todas a vlans via tag.

    att,
    Marcello Coutinho


Log in to reply