DMZからインターネットにアクセスする
IPCopを使用してDMZを構成しようとしていますが、IPCopのDMZはDHCPがなく、インターネットにアクセスできないようです。
IPCopをデフォルトゲートウェイおよびDNSリゾルバーとして手動で構成した場合でも、NAT DMZからインターネットへ(他の方法のみ)構成されていないようです) )。
DMZ内でインターネットにアクセスできることの長所と短所について疑問に思っています。
長所
- DMZシステムで更新を簡単に実行でき、セキュリティ更新の自動パッチ適用をスケジュールすることもできます
- CDROMからインストールするよりも、必要なパッケージのみをダウンロードする方が、Ubuntuシステムをインストールする方がはるかに簡単です。
短所
- 侵害された場合、マシンはDDoS攻撃の一部として使用される可能性があります
「誰かが私のマシンを危険にさらすと、インターネット上の他の誰かを危険にさらす可能性がある」という単一の議論を除けば、私のDMZマシンでインターネットへのアクセスを許可しない理由はありません。
これは悪い考えですか?
DMZ内の任意のマシンからインターネットへの完全な規制されていないアクセスを許可することはまったく意味がありません。また、それが必要になることもありません。アウトバウンドアクセスを構成できるはずですが、更新に必要なポートや宛先アドレスなど、必要なものに対してのみ構成する必要があります。 DHCPは通常DMZで使用されないため、使用できません。
CDROMからインストーラーよりも必要なパッケージのみをダウンロードすることで、Ubuntuシステムをインストールする方がはるかに簡単です。
通常は、マシンを内部ネットワークにセットアップし、完全に構成されて使用できるようになったら、DMZに移動します。
私はIPCopユーザーではありませんが、一般的なセキュリティ理論は、DMZから、DMZシステムが必要とする特定のサイトやサービスへの限定的なアウトバウンドアクセスを提供することです。
私の場合-私のDMZは2つのLinuxサーバーと2つのWindowsボックスをホストします-承認されたサイトの短いリストへのアウトバウンドHTTP/Sアクセスを提供します。
これらには、Windows Updateサイト、CentOSボックスのミラー、およびWindowsベースのAV製品の更新サーバーが含まれていました。これらのサイトは、常にオンの構成のままにしておくのに十分安全であると考えました。
それはおそらく悪い考えですが、それはあなたとあなたの会社にとって許容できるリスクが何であるかに完全に依存します(あなたの最初の議論は許容できるリスクですか?)。
また、他にどのようなセキュリティを設定しているかによっても異なります。私は通常、DMZを(ほとんどのネットワークで)ロックダウンして、必要な場所とときにのみアクセスできるようにする傾向があります。他の人は同じポリシーに加入していません。たとえば、最後の場所のDMZでは、ファイアウォールにルールを設定し、Windows Updateへのアウトバウンドアクセスを許可し、サーバーの更新時にのみルールを有効にしました。その後、それらはオフになります。