Apa itu DMZ itu? 

DMZ, atau De-Militarised Zone adalah semacam "Pengorbanan Anak Domba" bagi para hacker, untuk mencegah compromisation sistem internal dalam hal sukses hack serangan. Inilah sebabnya mengapa hal itu disebut zona De-Militarised, sebagai orang memiliki cukup banyak akses unrestrictive ke daerah ini, di mana tidak ada aturan yang diterapkan. Tentu saja, hal ini tidak terlalu benar, karena kita masih menerapkan beberapa aturan untuk apa yang terjadi dalam bidang ini, hanya saja bahwa sesuatu panggilan "De-Militarised Zone" membuat suara mucho dingin, dan kemudian gadis akan ingin berhubungan seks dengan Geeks komputer, yang merupakan hal yang baik. Jujur, tidak peduli apa yang Nun yang mengajarkan Anda ketika Anda berumur 8 tahun kata. Atau ibu Anda dalam hal ini ...

Jadi mengapa kita menggunakannya?

Pada dasarnya, DMZ bekerja pada pokok layanan jaringan bergerak semua yang perlu untuk pergi ke "dunia luar" ke jaringan lain yang terpisah. Dengan begitu semua "open port" ke dunia luar berada di jaringan baru ini. Karena itu, jika serangan hacker dan retak server dari dalam DMZ, dia akan hanya (paling buruk) memiliki akses ke host dalam DMZ, tidak pada jaringan internal.

Sebagai contoh, jika saya menjalankan server FTP untuk publik (internet) akses, dan aku punya server dipasang di dalam jaringan pengguna umum, maka jika terima kasih retak hacker jahat server FTP, untuk NIS / layanan NFS dan dipercaya sistem di Unix host, atau generik keamanan Windows NT/2000, hacker dapat memiliki cukup banyak akses ke seluruh jaringan. Jika ia tidak memiliki akses ke seluruh jaringan ia segera dapat dengan sedikit menangkap paket atau beberapa metode yang saya yakin Anda semua sudah baca.

Namun, jika kita memiliki server FTP pada jaringan, yang sama sekali berbeda tidak berhubungan kemudian sekali hacks hacker jaringan yang mutlak terbaik ia dapat lakukan adalah memiliki akses ke host di DMZ. Semoga meskipun, tidak ada setup percaya inheren antara mesin-mesin DMZ, yang berarti bahwa hacker terburuk bisa lakukan untuk Anda adalah sampah server FTP Anda .....

Selain itu, dengan memotong bawah pada jalur yang dapat diambil dari jaringan internal, itu membuat mustahil (praktis) untuk mengakses jaringan dengan trojan dll

Oleh karena itu, DMZ harus telah sebagai lebih dari sebuah konsep, ketimbang sebuah "produk" per se, karena kita dapat mencapai ini dengan menggunakan berbagai teknik dan sebagainya hardware dasarnya, apa yang kita coba lakukan adalah memberikan user (baik internal maupun eksternal ) semua layanan jaringan yang mereka butuhkan, sementara mengamankan jaringan sebanyak praktis dengan menebang pada jumlah jasa yang eksternal dapat diakses dan menyajikan pada jaringan internal.

Dan sungguh, itu saja. Itu semua yang ada untuk DMZ's. Tentu saja, masalahnya adalah menerapkan teori ini untuk situasi hidup nyata. Jadi, saya telah mengumpulkan contoh untuk mengilustrasikan poin-poin yang saya buat. Jika Anda akrab dengan NAT & PAT dan daftar akses, maka jangan ragu untuk melewatkan bagian berikutnya dan pergi ke studi kasus contoh.

Konsep Umum: NAT, PAT dan daftar akses

NAT singkatan dari Network Address Translation, sementara PAT singkatan dari Port Address Translation. Ini cukup berbelit-belit nama untuk (relatif) istilah sederhana. NAT memungkinkan Anda untuk mengalihkan paket yang datang dari alamat yang sebenarnya (Addressable yaitu dari internet) ke alamat internal. Sebagai contoh, jika kita memiliki alamat nyata 203.8.90.100, kita dapat mengkonfigurasi NAT untuk data masuk secara otomatis langsung ke 192.168.100.1 (sebuah alamat jaringan internal).

Sekarang, ini adalah (jelas) bukan situasi sangat bagus, karena semua informasi secara otomatis mendorong ke alamat IP internal, yang berarti bahwa kita benar-benar tidak memiliki kontrol atas data yang masuk. Untuk membantu mengatasi masalah ini, PAT telah dibuat.

PAT, seperti namanya, memungkinkan kita untuk data langsung yang datang pada sebuah port tertentu, atau jangkauan port dan protokol (TCP / UDP dan lain-lain [seperti GRE atau ICMP]) dan alamat IP ke port tertentu, atau jangkauan port ke alamat IP internal. Seperti yang dapat Anda bayangkan, ini memberikan kita banyak kontrol lebih besar atas apa yang terjadi.

Akses daftar, di sisi lain, memungkinkan kita untuk mengontrol apa yang sebenarnya terjadi dalam atau di luar jaringan yang bersangkutan. Mereka dapat menolak atau mengizinkan akses berdasarkan alamat IP sumber, alamat IP tujuan dan jenis protokol. Sebagai contoh, kita bisa menyangkal semua ICMP yang masuk ke setiap alamat IP kecuali satu tertentu, sementara masih memungkinkan semua alamat internal untuk mengirimkan permintaan ICMP keluar.

Contoh Studi Kasus 

Pada situs tertentu, saya dipanggil keluar untuk "membawa ke 2000-an", karena tidak memiliki penilaian infrastruktur yang serius karena perusahaan telah terbentuk, dan itu terdiri dari konglomerasi sistem yang hanya tumbuh sebagai perusahaan itu . Jaringan itu sendiri adalah Microsoft Windows NT4.0 jaringan berbasis. Mereka menjalankan Proxy Server 2.0 untuk akses Internet dan Microsoft Exchange 5.5 untuk Internet dan email lokal. Setelah menghadiri penukaran, saya menemukan masalah-masalah keamanan berikut (saya hanya daftar yang di sini yang dapat diperbaiki langsung oleh DMZ).

i) Semua alamat IP adalah "nyata" alamat, sehingga mereka dapat diakses langsung dari Internet
ii) eksternal DNS Server yang berjalan di jaringan internal
iii) web server telah berjalan secara internal
iv) Ada menjalankan server FTP internal
v) exchange server langsung diakses dari internet
vi) Tidak ada pembatasan (firewall) pada permintaan yang masuk dan keluar

Tahap 1 - Baru & IP lingkup penghapusan layanan web

Akses jaringan saat itu dipasok oleh sebuah kotak Linux RedHat 4.0 (wayyyy lama ugh!) yang telah terpasang kartu ISDN internal. Sekarang, kotak ini telah SEMUA routing dinonaktifkan dan berlari sebagai gateway aplikasi. Untungnya, ini adalah skenario yang agak aman. Namun, gateway aplikasi yang bekerja dengan memungkinkan software untuk memonitor port tertentu, kemudian mengaktifkan program lain untuk memungkinkan informasi untuk pergi ke jaringan internal. Apakah ini berarti bahwa protokol yang paling umum (HTTP & FTP) yang didukung, tetapi beberapa yang kurang umum (atau yang lebih baru, mengingat bahwa sistem telah berjalan sejak sekitar 1994) tidak memiliki aplikasi yang berhubungan dengan mereka, yang berarti bahwa perusahaan dapat tidak memiliki hal-hal seperti akses VPN ke jaringan mereka, yang mereka perlu link dengan perusahaan mereka di Eropa dan Amerika, sehingga cukup banyak meniadakan aspek keamanan (hei, jika Anda tidak dapat menggunakannya, tidak peduli bagaimana aman itu ini). Juga, karena alamat IP yang digunakan secara internal adalah alamat internet yang valid (Man, orang-orang ini memiliki jaringan kelas C secara keseluruhan, bisa Anda percaya keberuntungan?), Kalau ada kompromi bahwa kotak tertentu dan diaktifkan routing semuanya berakhir karena setiap mesin dapat ditangani melalui internet. Juga, ada server internal menjalankan aplikasi Internet yang dapat diakses (SMTP pada kotak Exchange, dan FTP pada kotak yang sama, misalnya, serta web server), yang jika terganggu, dapat menyebabkan berbagai macam masalah seperti ini server adalah Domain Controller dalam jaringan.

Jadi, prioritas pertama kami adalah untuk menyingkirkan internet dialamatkan ini alamat IP sehingga dalam hal terjadi hack pada kotak Linux RedHat, satu-satunya cara mesin internal bisa dikompromikan adalah dari sesi pada kotak Linux itu sendiri.

Jadi, DNS setup saya pada mesin NT4.0 Windows (2000 tidak keluar dulu). Mengapa Windows DNS?? Saya mendengar Anda menangis. Yah, cukup hanya karena Windows NT4.0 DNS Services adalah relatif mudah dikonfigurasi, cukup aman untuk solusi DNS internal (meskipun agak easyish untuk spoof, itu tidak terlalu penting mesin akan di jaringan internal saja), dan itu didukung Pendaftaran dinamis jadi saya tidak harus mendapatkan RSI mengetik di seluruh banyak catatan nama. Saya tahu bahwa versi baru dari pendaftaran dukungan BIND dinamis, tetapi sekali situs upgrade ke Windows 2000 mereka akan membutuhkan layanan DNS Windows 2000 untuk ekstensi direktori aktif, sehingga Microsoft DNS didirikan.

Saya kemudian diubah semua alamat IP pada Server & Print Server, mengubah pengaturan aplikasi gateway pada Linux gateway, dan menetapkan cakupan DHCP baru Facebook lengkap dengan pengaturan server DNS sebagai bagian dari pilihan ruang lingkup. Viola, itu semua dilakukan. Karena itu, ada banyak masalah dengan ini setelah dilakukan meskipun, karena jumlah pengguna yang mengakses sumber daya berdasarkan alamat IP sebagai lawan nama, meskipun ini masalah tersebut cukup mudah untuk menyelesaikan.

Sekarang, sementara ini terjadi semua, kami menyingkirkan halaman web dari jaringan internal dan pindah ke seberang ke ISP karena halaman web pembaruan tidak terlalu umum, dan dengan bergerak ke ISP itu berarti bahwa keamanan komponen yang tidak lagi menjadi masalah kita, dan semakin sedikit kita perlu khawatir tentang hal itu, semakin baik.

Tahap 2 - Akuisisi Hardware baru 

Jadi, sekarang kita sampai awal hal yang sangat menyenangkan - peralatan membeli! Aku suka menghabiskan uang orang lain .... Pada dasarnya, kami akan upgrade situs untuk koneksi ADSL, Menerapkan produk Firewall dan kemudian Melaksanakan DMZ. Jelas, kita tidak bisa menggunakan mesin internal seperti mesin DMZ, karena mereka sudah memiliki pekerjaan jadi aku berbelanja sekitar untuk melihat apa yang ada di pasar. Sementara (dalam akal) itu tidak terlalu peduli apa yang Anda pilih untuk menginstal ke DMZ dua dasar saya (pribadi) aturan;
1) Jangan pasang produk Microsoft, dan,
2) Jangan makan salju kuning, juga sebenarnya aturan kedua saya tidak pernah untuk menginstal Linux di DMZ ....

Aku tidak benar-benar ingin menginstal Windows Peralatan di DMZ untuk beberapa alasan;
1) Meskipun Windows NT/2000 sangat sulit untuk hack per se, relatif mudah untuk DOS atau jasa kecelakaan, sehingga menciptakan padam, yang merupakan hal yang, buruk buruk ..... Kami benci padam .....
2) Setiap hacker hitam-topi di luar sana ingin hack kit Microsoft, jadi ada banyak bug mengambang di sekitar pada waktu tertentu, dan jika administrator situs Anda tidak akan benar-benar waspada 100% dari waktu, maka itu terlalu banyak risiko

Sekarang, saya benar-benar tidak ingin menginstal Linux di DMZ karena untuk memasukkannya cukup sederhana, ini adalah sistem operasi yang ditulis oleh hacker, untuk hacker. Setiap pria dan anjingnya memiliki kode sumber yang tersedia bagi mereka, dan karena itu ada begitu banyak hacks untuk Linux yang di dalam masyarakat pribadi hack compiles yang juga adalah tidak sepadan dengan risikonya.

Berdasarkan pedoman ini, saya menetap di beberapa Hardware Sun. SunBlade100 itu, tepatnya. Keputusan ini didasarkan pada fakta bahwa SunBlade tersedia sebesar US $ 995,00, dan datang dengan Solaris 8 pra-instal serta memori 128MB, 15GB HDD dan Network Interface. Apa lagi yang akan Anda inginkan untuk seribu dolar? Aku mengambil 4 dari mesin ini, satu untuk DNS dan proxy, satu untuk ftp, satu untuk sendmail, dan satu cadangan dalam hal terjadi kegagalan sistem atau tingkat hack yang bisa dibangun dengan cepat dan terintegrasi ke dalam jaringan. Cadangan hanya itu saya sedang melakukan adalah salinan file config dasar dibuat setiap saat Saya mengubah pilihan konfigurasi (yang tidak boleh terlalu sering). Menggunakan file config dan beberapa dokumentasi yang wajar aku bisa membangun kembali salah satu dari mesin-mesin dalam waktu dua jam cukup nyaman.

Untuk koneksi ADSL dan firewall Aku duduk di Cisco Kit, pada dasarnya router seri 827 dan Cisco PIX 515. Saya juga mengatur upgrade memori untuk kedua Router dan PIX, dan interface Ethernet ketiga untuk firewall PIX (dan pastikan Anda mendapatkan fitur IOS IP set).

Untuk Layer Data-Link, saya mengatur suatu Cisco Switch 2912XL. Meskipun ada perangkat Switching yang tersedia di pasar, saya memutuskan pada Cisco karena saya suka kit Cisco, dan itu berarti bahwa semua peralatan WAN saya adalah berbasis Cisco, yang membuatnya sangat mudah untuk mendapatkan dukungan, karena Anda tidak memiliki lintas-vendor masalah.

Setelah itu hanya kasus menunggu sekitar untuk kit untuk masuk ...

Tahap 3 - Pelaksanaan Line ADSL dan firewall PIX

Begitu peralatan tiba di tempat dan dudes comms telah memasang koneksi ADSL (yang merasa seperti itu waktu sekitar 9 bulan), saya mengatur account dengan ISP dan router dikonfigurasi untuk akses (menggunakan semua keamanan yang saya bisa, dienkripsi password dll). Setelah saya akses internet dingin langsung dari router (menggunakan telnet dll), saya kemudian menghubungkan Firewall dan meletakkannya di subnet itu sendiri dengan Interface Ethernet dari router ADSL. Pada tahap ini, saya alamat IP terlihat seperti ini;

ADSL - 209.15.20.34
Ethernet0 pada ADSL - 192.1.10.5/30 (255.255.255.252)
Ethernet0 pada firewall PIX - 192.1.10.6/30 (255.255.255.252)

Sekarang, saya buat translasi NAT untuk meneruskan semua data yang masuk ke 209.15.20.34 melalui 192.168.10.6. Harap dicatat bahwa saya TIDAK menerapkan daftar akses pada titik ini, hanya karena tugas dari daftar akses dilakukan oleh PIX firewall. Biarkan router untuk rute data, dan biarkan Firewall melakukan hal itu. Jika Anda mencoba untuk memuat sebuah router dengan terlalu banyak maka Anda berisiko memilikinya kehabisan memori atau siklus CPU, dan semuanya akan datang-runtuh. Yang paling saya sarankan Anda harus mencoba, adalah menerapkan beberapa akses selimut-daftar (misalnya untuk semua data ICMP), tapi saya biasanya ingin meninggalkan semua barang yang sampai ke Firewall jika saya bisa.

Setelah kami punya bagian tersebut siap untuk pergi, kita bisa mulai melakukan setup mesin-mesin di DMZ.

Tahap 4 - Instalasi dan konfigurasi DMZ host

Sekarang kita punya bagian eksternal jaringan kami beres, sekarang kita dapat melihat setelah bagian kami semi-dipercaya (atau DMZ). Harap dicatat bahwa sementara ini sedang terjadi, koneksi ISDN asli benar-benar terpisah dan bekerja jauh cukup gembira, sehingga pengguna tidak akan terpengaruh. Juga, saya biasanya meninggalkan ADSL (atau apapun) koneksi offline pada tahap ini kecuali ketika saya secara khusus pengujian sesuatu. Dengan begitu saya bisa (relatif) yakin bahwa sistem tidak diganggu sementara saya sudah setting mereka.

Hal pertama yang harus dilakukan adalah memutuskan Subnet bahwa kita akan digunakan pada DMZ. 192.100.100.0/24 adalah rentang IP yang saya memutuskan untuk. Juga, saya mencoba untuk memastikan bahwa kisaran alamat IP yang sama, namun tidak begitu mirip bahwa saya tidak dapat mengingat apa yang berkisar Saya menggunakan untuk pekerjaan apa. Itu berarti saya harus berpikir kurang, saya tidak benar-benar memiliki siklus cadang dengan yang terbaik dari kali, sehingga semua membantu ;-)

Jadi Ethernet1 pada PIX dikonfigurasi dengan alamat IP 192.100.100.6/24, untuk tetap sejalan dengan alamat IP Interface Ethernet. Saya juga memastikan bahwa saya mengkonfigurasi switch Cisco dengan alamat IP yang TIDAK PRESENT pada jaringan. Mei alasan utama untuk ini adalah untuk menghentikan hacker masuk, dan hacking saklar untuk mendapatkan akses dan memulai paket hirupan. Satu-satunya cara untuk sampai ke sana adalah dengan mengkonfigurasi ulang salah satu host dengan alamat IP yang baru pada lingkup yang mereka tidak tahu, yang akan berakibat pada host yang efektif akan offline dari internet, dan karenanya akses hacker (ya RARP kadang-kadang bisa menyiasati hal ini, atau alamat IP sekunder pada host Ethernet Card - cek dengan vendor Anda), atau kabel Console perlu dihubungkan ke switch, yang tidak dapat terjadi tanpa akses lokal (yang mudah-mudahan hacker tidak memiliki ).

Inspeksi stateful dan antispoofing aturan tentang PIX firewall dikonfigurasi pada tahap ini. Inspeksi stateful tidak benar-benar tercakup dalam dokumen ini, tidak firewall semua akan mendukung, dan masing-masing firewall mengimplementasikannya berbeda, melakukan beberapa pencarian di google, atau mulai di sini. http://www.spirit.com/CSI/Papers/ apgw + spf.html

Kemudian semua mesin dibawa online dan dikonfigurasi dengan alamat IP (memilih apapun yang Anda inginkan), menginstal dan mengkonfigurasi masing-masing layanan jaringan (ftp dll) ke titik bahwa Anda dapat menyebarkan layanan Anda. Mesin ini kemudian harus setup sesuai dengan spesifikasi keamanan berbagai vendor / konsultan keamanan telah dikembangkan. Untuk nama beberapa yang sederhana, pastikan bahwa semua layanan Anda berjalan pada account mereka sendiri, bukan user root (atau apa pun) account. Ubah nama account root Anda jika Anda dapat (tergantung pada OS), Dont mengijinkan layanan yang tidak perlu (yakni Tidak ada akses telnet, SSH dan hanya kemudian jika Anda benar-benar memerlukannya). Ada beberapa halaman web di bagian bawah tulisan ini untuk Anda mulai pada beberapa lingkungan operasi yang lebih populer, dan aku telah sengaja meninggalkan daerah ini sedikit teduh karena akan berubah tergantung pada lingkungan operasi yang tepat Anda. Setiap situs memiliki kendala operasi yang berbeda, dan terserah kepada administrator lokal untuk memastikan situs itu adalah sebagai aman mungkin. Tidak ada dua situs yang pernah setup dengan cara yang sama.

Pada titik ini, saya juga dikonfigurasi firewall PIX untuk menerima permintaan masuk VPN (menggunakan terowongan IPSEC) untuk memungkinkan pengguna jauh untuk otentikasi ke sistem, dan membatasi akses ke server VPN menggunakan akses-daftar yang akan menolak setiap permintaan koneksi masuk untuk akses VPN kecuali itu berasal dari salah satu kantor jauh atau dari kantor perusahaan saya (mudah untuk dilakukan karena mereka semua alamat IP tetap). Dengan melakukan ini akses saya mengontrol dingin SSH ke mesin DMZ datang hanya dari saya alamat IP VPN. Hal ini memungkinkan saya untuk remote terhubung ke mesin melalui SSH, namun port scan dari internet tidak akan menunjukkan SSH sebagai open.

Sekarang, sementara semua ini terjadi, kita perlu mengarahkan domain kita layanan nama dari koneksi ADSL. Alamat Port Terjemahan yang dikonfigurasi pada firewall PIX untuk UDP maju masuk / port TCP 53 permintaan (kita hanya bisa membiarkan port 53 masuk permintaan jika kita ingin menjadi lebih aman, untuk rincian tentang ini, silakan lihat makalah saya pada DNS Spoofing - yang di suatu tempat di situs ini). Kemudian, kami menerapkan paket filter firewall PIX untuk mengizinkan masuk koneksi TCP port 53 dari nameserver sekunder kita hanya (yang seharusnya menjadi milik kami ISP), masuk UDP port 53 permintaan dari mana saja, dan outgoing port UDP 53 permintaan HANYA dari DNS kami server. Pada dasarnya, tugas ini harus diselesaikan untuk semua layanan pada semua server dan jelas persyaratan yang berbeda untuk layanan berbeda dan bahkan versi yang berbeda dari layanan, sehingga Anda akan perlu untuk melakukan riset masing-masing layanan Anda secara khusus. Juga, kita perlu mengubah delegasi nameserver kita sehingga nameserver primer sekarang dikonfigurasi untuk alamat eksternal ADSL kita, bukan ke alamat ISDN eksternal kita (permintaan nama dinyatakan internasional akan datang ke akhir yang lengket).

Pada saat Anda telah selesai semua ini Anda harus dapat mengaktifkan koneksi ADSL Anda dengan keamanan relatif seperti yang Anda telah menerapkan semua daftar akses yang diperlukan-dan PAT's. Aturan dasar adalah ini - jika Anda tidak membutuhkan akses ke layanan tertentu maka tidak mengizinkan, itu adalah ini sederhana. Seorang hacker hanya dapat menyerang layanan yang host sedang berjalan, sehingga tujuan utama Anda adalah untuk Meminimalkan jumlah layanan yang tersedia untuk internet, dan untuk membuat layanan tersebut sebagai aman mungkin. Intinya, semua layanan sekarang harus diakses dari internet (meskipun hanya dengan alamat IP, karena kami belum diubah konfigurasi eksternal DNS kami, jadi semuanya masih berlangsung melalui jalur ISDN). Luangkan waktu ini untuk menguji setiap layanan, menyelesaikan beberapa scan port dan memastikan bahwa Anda memiliki akses terbatas sebanyak mungkin ke perangkat tertentu.

Sebagai tahap akhir kita, kita perlu untuk mengkonfigurasi antarmuka ethernet akhir tentang PIX firewall ke jaringan internal kita. Pastikan pada tahap ini bahwa semua lalu lintas diblokir melalui akses-daftar dari jaringan internal, sehingga tidak ada dan tidak bisa mendapatkan akses luar. Aturan-aturan ini access-list akan diubah selama tahap berikutnya

Tahap 5 - chaining Konfigurasikan / melewati (proxy, dengan nama lain)

Sekarang, dalam desain DMZ, kita akan menjalankan proxy berlaku bagi sebanyak mungkin layanan kami. Pada dasarnya, ini berarti bahwa (misalnya) exchange server tidak akan mengirim atau menerima email secara langsung.Sebaliknya, ia akan proxy mail yang melalui server sendmail. Ini berarti bahwa tidak ada orang di internet bisa langsung mengakses layanan internal. Hal ini juga memungkinkan kita untuk menjalankan beberapa contoh dari perangkat lunak yang berbeda untuk meningkatkan perlindungan kita. Sebagai contoh, kita bisa menjalankan scanner virus sendmail pada mail server DMZ dan Norton Anti-Virus for Exchange pada server Exchange, dengan melakukan ini kita secara signifikan meningkatkan peluang kami deteksi virus (dengan memindai dengan mesin yang berbeda, definisi dan algoritma heuristik) . Pada dasarnya berbagai layanan harus dikonfigurasi untuk meneruskan semua data masuk ke salah satu mesin internal. Dalam kasus kami di atas ini akan berlaku hanya untuk layanan SMTP. Server sendmail harus dikonfigurasi untuk menerima surat untuk semua domain bahwa layanan situs, dan meneruskan semua surat ini ke mail server internal (mis. Exchange). Kemudian kita mengkonfigurasi firewall PIX untuk mengizinkan Exchange Server hanya untuk mengirim TCP port 25 data hanya ke server sendmail. Kami kemudian mengkonfigurasi firewall PIX untuk mengizinkan kotak sendmail untuk mengirim SMTP port 25 ke alamat internet dan HANYA ke Exchange Server.

Tergantung pada layanan yang Anda jalankan, Anda akan perlu untuk menciptakan akses-daftar dari berbagai kompleksitas. Misalnya, permintaan web keluar harus diterima oleh kotak Proxy di DMZ dari Proxy Hanya internal, dan Proxy DMZ dapat memulai koneksi outbound. Proxy DMZ tidak perlu menerima permintaan dari sumber lain (internal atau eksternal), sehingga hacker seharusnya tidak dapat menemukan itu pula. Juga tidak perlu entri pada konfigurasi DNS eksternal Anda, sehingga hacker seharusnya tidak dapat menemukan server proxy melalui Zona Transfer dll

Trik besar dengan tahap ini, sekali lagi, adalah untuk memastikan bahwa Anda tidak memiliki akses diizinkan yang tidak diperlukan. Misalnya, permintaan web harus diizinkan keluar dari Internal Proxy Box saja, dan hanya ke proxy DMZ.Ditto koneksi SMTP. permintaan DNS hanya harus datang dari server DNS pada jaringan internal, dan seharusnya hanya diperbolehkan untuk server DMZ bernama. Apapun yang anda tidak perlu Anda secara otomatis harus memblokir.Pikirkan cara ini .... ketika kita membangun sebuah firewall, semua blok, maka hanya mengijinkan hal-hal yang Anda benar-benar membutuhkan melalui, dan mencoba untuk membatasi bahwa sebanyak mungkin. "Tapi Squire," Saya mendengar Anda bertanya dengan suara whiney, "Ini soooo jauh lebih mudah hanya membatasi masuk dan keluar meninggalkan berjuang untuk dirinya sendiri, mengapa kita harus membatasi keluar." Nah, sebenarnya ada beberapa alasan untuk ini. Pertama, itu membuat penebangan hal pada jauh lebih mudah .... Aku tahu bahwa itu akan membuat pengumpulan Anda p0rn jauh lebih sulit, tapi itu benar-benar adalah ide yang baik untuk menjaga baik log. Alasan utama meskipun, adalah trojan terkenal bahwa semua 3j337 h4x0rs menggunakan saat ini. Beberapa trojan sebenarnya dikonfigurasi untuk memulai panggilan dari mesin yang terinfeksi ke host tertentu. Dengan cara itu jika administrator telah menjadi slack sedikit dan memungkinkan koneksi keluar seorang hacker jahat masih bisa masuk, tidak peduli seberapa aman Anda adalah untuk upaya koneksi masuk. Aku tahu bahwa kebanyakan firewall sekarang menggunakan inspeksi stateful, dan sering kali mereka tidak akan membiarkan bentuk sambungan, tetapi mereka tidak sempurna, dan Anda dapat mengurangi risiko kita lebih lanjut. Untuk bantuan ini, tidak memungkinkan klien untuk memulai koneksi dengan sendirinya. Jika mereka ingin IRC ke dunia nyata, gunakan server IRC. Jangan biarkan ICQ atau MSN secara internal (saya tahu beberapa orang akan punya masalah dengan ini, tapi ini adalah resiko BESAR). Pada dasarnya, Anda harus mencoba dan memastikan bahwa koneksi keluar dari jaringan internal Anda hanya akan dibuat dari server, sehingga Anda bisa seyakin mungkin bahwa semua koneksi yang sah.
Catatan untuk para pemula: Jangan pernah open mail, menjalankan program freeware dll dll pada "perbatasan" server .... hal terakhir yang Anda inginkan adalah internal Proxy Server dengan Trojan di atasnya. Saya tahu bahwa risiko masalah dari ini sangat kecil, tetapi jika Anda menghabiskan waktu dan uang untuk membuat diri Anda aman setidaknya Anda dapat memastikan bahwa Anda aman.

Juga, sebisa mungkin memastikan bahwa Anda menguji filter dan terjemahan. Mencoba untuk mengakses dunia luar internal dengan tanpa proxy. Konfigurasikan proxy Anda ke titik melalui proxy baru Anda selama beberapa jam dan memastikan bahwa hal itu gong untuk bekerja. Ingat: segala sesuatu Blok, dan kemudian membiarkan barang-barang melalui dalam cara yang paling aman sementara masih menyediakan pelayanan yang dibutuhkan kepada pengguna.

Tahap 6 - Alarmbells dan tripwires - atau bagaimana kencing dari 3j337 h4 

Sungguh, tidak terlalu banyak metode untuk tersandung Facebook hacker .... Ini masih sebagian besar wilayah theres diketahui dan tidak terlalu banyak di luar sana. Dalam sistem tertentu saya mengandalkan tiga metode utama;

1. Syslog logging
2. Tripwire proses deteksi intrusi
3. Cron pekerjaan

Pada dasarnya, pada firewall PIX saya login semua kegagalan Otorisasi dan Koneksi ke server syslog di jaringan internal. Ini sangat penting dilakukan, seperti dalam hal hack Anda dapat mulai untuk melihat metodologi yang digunakan para hacker untuk sampai ke sistem anda. Ini benar-benar semua yang dapat Anda lakukan di firewall yang paling untuk melindungi diri, yang berarti bahwa Anda harus benar-benar berkonsentrasi pada beberapa paragraf berikutnya ....

Tripwire merupakan daemon yang sangat baik yang berjalan pada sebuah sistem (ada versi yang tersedia untuk NT juga) dan hanya monitor daftar file yang Anda berikan untuk perubahan / modifikasi, dan itu benar-benar. Jika seorang hacker masuk ke sistem anda, hampir semua yang yang mereka lakukan akan menghasilkan modifikasi file. Ini berarti bahwa Anda dapat memonitor file-file ini untuk perubahan, dan berdasarkan yang membuat keputusan apakah sistem ini telah disalahgunakan, dan log perubahan ke server syslog, atau bahkan menjalankan script berdasarkan perubahan ini. Sebagai contoh, ketika pengguna tertentu login (misalnya Root), atau file tertentu diubah (misalnya file password dll) saya akan setup tripwire untuk login informasi ini ke file syslog dan menjalankan script yang mengirim pesan email ke sistem administrator, dan mengikuti ini dengan pesan SMS ke ponsel administrator. Pada dasarnya, ini memberikan pengetahuan administrator situs instan perubahan sistem utama ..... cool, eh?

Sekarang, tripwire terdengar seperti sebuah produk brilian untuk menggunakan ..... sayangnya, memiliki satu masalah besar. Proses tripwire berjalan pada sistem pada interval tertentu dan hacker yang paling layak (bukan script kiddies) tahu tentang masalah tertentu dengan tripwire, dan jika mereka mendapatkan akses root mereka akan segera menutup proses ke bawah. Ini, secara alami, bisa menjadi sedikit masalah. Oleh karena itu, cara menerapkan script kecil saya sendiri untuk memastikan bahwa semuanya berjalan OK, karena script saya sendiri seorang hacker tidak akan benar-benar tahu tentang hal itu, tidak akan mereka tahu bagaimana untuk memeriksa itu. Intinya, semua yang saya lakukan adalah membuat sebuah tugas cron yang dimulai Facebook minutley dan mencari daftar proses yang berjalan untuk melihat apakah proses tripwire berjalan. Jika tidak berjalan, maka itu hanya email dan SMS administrator dan menutup mesin bawah. Masalah dipecahkan ..... Hal ini dapat tampaknya ukuran drastis, tetapi jika Anda punya sekunder ISP sisi penukar mail, dan sekunder server DNS, maka Anda umumnya mampu berada di sisi aman dan menutup mesin down untuk waktu singkat.

Masa depan deteksi intrusi

Ada potongan baru terus-menerus menjadi perangkat lunak yang tersedia, tapi saya pikir bahwa masa depan milik syslog analisis. Pada dasarnya, apa yang saya maksudkan adalah sebuah utilitas syslog yang dapat mengambil informasi syslog, memprosesnya, dan jika satu set aturan tertentu terpenuhi, mengaktifkan script. Sebagai contoh, sebagian besar hacker memulai dengan menjalankan port scan. Anda dapat mengkonfigurasi firewall yang paling untuk log semua kesalahan komunikasi ke server syslog, jika Anda memiliki sebuah analisa Anda bisa menghasilkan ruleset yang akan menjalankan script jika empat penolakan koneksi terjadi pada port yang berbeda / protokol dalam waktu sepuluh detik.Script ini kemudian akan secara otomatis menambahkan menyangkal pernyataan ke dalam daftar akses firewall yang secara otomatis akan menolak semua koneksi (bahkan yang sah) dari alamat IP yang port scan berasal dari. Hal ini menyangkal daftar bisa di tempat untuk hanya 30 menit, tapi serius akan mempengaruhi nilai bagian "Mengumpulkan Informasi" dari hack. Dengan kemampuan untuk melakukan fungsi ini, Anda akan dapat mengontrol keamanan sistem Anda sangat halus memang.

Tahap 7 - Switch di dan melihat menyenangkan

Yah .... Anda punya semua Anda mengetahui aturan yang ditetapkan, Anda login semua akses, saatnya cukup banyak untuk mulai menggunakan sistem yang baru. Semua sistem ini dibutuhkan adalah perubahan dalam catatan nama, mengkonfigurasi ulang beberapa layanan internal (surat dll) dan kami siap untuk pergi. Cukup update file zona Anda dan mematikan koneksi ISDN ....

Akhir Kata 

Yah, mudah-mudahan Anda sekarang mengerti konsep di balik DMZ, dan menggunakan contoh saya sebagai data dasar memiliki kemampuan untuk memulai perencanaan sendiri. Saya dengan sengaja ditinggalkan beberapa kekhususan (yaitu Firewall script dll) untuk empat alasan:
1. Setiap orang memiliki berbagai produk firewall pilihan, dan sementara semua dari mereka (baik, yang dewa) harus mampu melakukan segala sesuatu yang telah saya uraikan dalam artikel ini, meskipun masing-masing pada melakukannya dengan cara yang berbeda, dengan satu set perintah yang berbeda.
2. Bahkan jika saya diberikan semua perintah pada firewall khusus, mengubah perintah dari pembaruan perangkat lunak untuk memperbarui perangkat lunak, sehingga benar-benar wouldnt valid.
3. Semoga ini akan mendorong orang untuk benar-benar membaca pada fitur dan penggunaan firewall mereka, sehingga mereka benar-benar mulai untuk memahami bagaimana untuk mengatur itu.
4. jika anda tidak memiliki pengetahuan jaringan yang cukup untuk mengikuti ini, maka Anda harus benar-benar membaca tentang Jaringan sebagai konsep umum, dan pada saat Anda memahami setiap langkah dalam dokumen ini, Anda dengan mudah akan dapat mereplikasi karya ini.

Jika ada orang telah mendengar tentang produk yang saya sebutkan di 5.7.1, silahkan, beritahu saya. Aku ingin mencobanya.

Maaf untuk mengambil begitu lama untuk mendapatkan artikel ini ..... tapi saya sudah agak sibuk belakangan ini.

Jika orang ingin ke posting ini bekerja di situs mereka, maka jangan ragu, selama Anda meninggalkan dokumen tersebut benar-benar utuh.

Juga seperti biasa, api dapat dikirim ke / dev / null.