A DMZ, o no a DMZ

Usted pone en la DMZ los servidores a los que se debe acceder desde el exterior. Ya que son accesibles desde el Mundo externo (que se asume hostil), estos servidores están potencialmente sujetos a secuestro por parte de atacantes. La DMZ es un área de contención para que un servidor subvertido no obtenga acceso inmediato a sus datos más valiosos (que probablemente se mantendrán en la red interna).

Sus servidores AD y SQL están destinados a ser utilizados únicamente por máquinas de su red, no por máquinas externas, por lo que los coloca en la red interna. Su servidor web está destinado a ser contactado por clientes externos, así que póngalo en la DMZ. De manera similar, el servidor DNS que publica en su mundo exterior su dominio (por ejemplo, la dirección IP de su servidor web) también debe ser accedido desde el exterior, por lo tanto, DMZ.

No hay regla sin excepción. Ocasionalmente, necesitará tener alguna ruta de datos desde fuera a la red interna. Normalmente, los correos electrónicos provienen de Internet, pero en última instancia, deben aparecer en los sistemas de escritorio. Normalmente, desea almacenar los correos electrónicos entrantes en servidores que se encuentran en la red interna (este es el supuesto lugar más seguro de su red), pero si ejecuta su propio servidor SMTP (para los correos electrónicos entrantes ), entonces uno tiene que estar en la DMZ.

Realmente depende de su situación exacta, pero la regla de oro es simple: DMZ es para lo que se puede contactar desde el exterior .

En general, la idea es determinar en qué hardware confías y en qué hardware no. Las cosas que están muy expuestas y que no contienen datos confidenciales no necesitan ser confiables y pueden vivir fuera. Si los datos confidenciales de un servidor web son proporcionados por una base de datos, entonces el servidor web en sí mismo puede ser relativamente poco confiable, pero esto se descompone en muchos casos, como HTTPS, donde es necesario mantener un poco de confianza en el servidor web y También debería estar lo más aislado posible, aunque posiblemente también esté aislado de la red interna.

La clave que está viendo es una combinación de la cantidad de acceso que se necesita externamente frente a la cantidad de riesgo que conlleva esa exposición para su red central. Está tratando de mitigar ese riesgo agregando barreras adicionales que separan los sistemas.

Lo siento si no es una lista exacta, pero espero que aclare el concepto lo suficiente para aclarar las respuestas (y no siempre hay una respuesta "perfecta" o "correcta". La seguridad también se trata de equilibrar diversas necesidades conflictivas, como la facilidad de uso (dejar entrar a los buenos usuarios) y el control de acceso (mantener alejados a los malos usuarios).

Déjame ayudarte. Debería preocuparse más si expone accidentalmente los activos en el extremo equivocado simplemente porque cuando no ha entendido cómo funciona todo el sistema. Considera esta analogía. Tienes un castillo y aloja al rey y sus hombres (gobernantes de sub-reinos), estas entidades están ubicadas en la barrera de protección más interior (internal(internal)) y luego hay personas de la administración, asesores y un montón de personas que no la tienen. t disfruta del privilegio en los mismos niveles que disfrutan los chicos del círculo más interior o el rey por una simple razón por la que no les gusta que esos grupos estén cerca de él. Así que estas personas se quedan en less-trusted(internal).

En el contexto de seguridad, su nivel de confianza llamado y la calificación de la CIA de los activos con una calificación de la CIA más alta generalmente emplean mayores controles de seguridad y se colocan donde están más protegidos. Volviendo a la analogía, hay un compromiso de la capa más externa del castillo, y hay un cierto protocolo en el que, por medio de estos regalos, se mueve dentro de la zona rey. Digamos que se debe seguir el protocolo de verificación de rutina, ejercicios, etc. gratis, y como acceso autorizado a los más privilegiados (el rey del equipo y él) aquellos con un alto nivel de confianza.

Así es como debería pensar también, solo asigne los requisitos comerciales y estará listo. Debería darse cuenta de si es TMG o cualquier otro servicio que exponga al parámetro externo, asegúrese de estar preparado cuando se rompa la pelea; Estos tipos serían golpeados primero y algunas veces duros y otras en silencio * Por lo tanto, una buena DMZ es lo que aísla la cobertura de ataque (la fuga de seguridad) que proporciona canales de funcionalidad autorizados. * Como una persona vigilante del escrutinio, siempre debe estar atento a las amenazas a las que se enfrentan estos activos públicos, el El paisaje cambia frecuentemente. Tienes que estar en alerta.