Я пытаюсь настроить DMZ с помощью IPCop, но похоже, что конфигурация DMZ по умолчанию в IPCop - это отсутствие DHCP и доступа к Интернету.
Даже когда я вручную настраиваю IPCop в качестве шлюза по умолчанию и распознавателя DNS, кажется, что NAT не настроен из DMZ в Интернет (только наоборот).
Мне интересно узнать о плюсах и минусах доступа к Интернету внутри DMZ.
Плюсы
Минусы
Помимо единственного аргумента «если кто-то скомпрометирует мою машину, это может быть использовано для компрометации кого-то еще в Интернете», я не вижу причин не предоставлять доступ в Интернет на моих машинах DMZ.
Это плохая идея?
Я не пользователь IPCop, но общая теория безопасности заключается в предоставлении ограниченного исходящего доступа из вашей DMZ к любым конкретным сайтам и службам, которые необходимы вашим системам DMZ.
В моем случае - в моей DMZ есть пара серверов Linux и пара окон Windows - я предоставляю исходящий доступ HTTP / S к короткому списку одобренных сайтов.
К ним относятся сайты обновлений Windows, зеркало для моих ящиков CentOS и сервер обновлений для моих антивирусных продуктов на базе Windows. Я решил, что эти сайты достаточно безопасны, чтобы оставить их в постоянной конфигурации.
Нет никакого смысла разрешать полный нерегулируемый доступ к Интернету с любого компьютера в демилитаризованной зоне, и при этом он не должен когда-либо требоваться. У вас должна быть возможность настроить исходящий доступ, но вы должны делать это только для того, что требуется, например, для портов и адресов назначения, необходимых для ваших обновлений. DHCP обычно не используется в DMZ, поэтому он недоступен.
Будет намного проще установить систему Ubuntu, загрузив только необходимые пакеты, чем установщик с компакт-диска.
Обычная практика - настроить машину во внутренней сети и переместить ее в DMZ, когда она будет полностью настроена и готова к использованию.
Это наверное плохая идея, но это полностью зависит от того, какой риск приемлем для вас и вашей компании (является ли ваш первый аргумент приемлемым риском?).
Это также зависит от того, какие еще меры безопасности у вас установлены. Обычно я стараюсь заблокировать DMZ (ну, большинство моих сетей), чтобы предоставлять доступ только там и тогда, когда это необходимо. Другие не подписываются на ту же политику. Например, в демилитаризованной зоне в моем последнем местоположении у меня были правила на моем брандмауэре, дающие исходящий доступ к обновлениям Windows, и я разрешал эти правила только при обновлении серверов. Потом их отключили.