Cerințe preliminare

Echipamente necesare:

– Router / firewall avansat (hardware sau software, ex. pfSense, Cisco ASA, FortiGate, Mikrotik).

Cel puțin 3 interfețe de rețea pe firewall:

– WAN – conexiune la Internet.

– LAN – rețeaua internă protejată.

– DMZ – rețeaua izolată pentru serverele publice.

Adrese IP:

– Un bloc public / sub-bloc dedicat DMZ-ului sau IP-uri private cu NAT, în funcție de arhitectură.

Servere pregătite:

– Sistemul de operare instalat și actualizat.

– Serviciile configurate (web, mail, DNS etc.).

Pașii de implementare

Planificarea rețelei

Stabilește schema de adresare IP:

– WAN: IP public de la ISP (ex: 203.0.113.2).

– LAN: rețea privată internă (ex: 192.168.1.0/24).

– DMZ: rețea privată separată (ex: 192.168.10.0/24).

Decide ce servicii vor fi găzduite în DMZ (ex: webserver, mailserver, vpnserver).

Configurarea fizică

Conectează firewall-ul/ routerul astfel:

– Port WAN → către modem/ISP.

– Port LAN → către switch-ul intern.

– Port DMZ → către switch separat pentru serverele din DMZ.

Conectează serverele publice la switch-ul DMZ.

Configurarea firewall-ului

Atribuie IP-urile pentru fiecare interfață:

– WAN: IP public/obținut de la ISP.

– LAN: 192.168.1.1.

– DMZ: 192.168.10.1.

Creează reguli de firewall:

– WAN → DMZ: Permite doar porturile necesare (ex: 80, 443 pentru web; 25, 587 pentru email; 53 pentru DNS).

– DMZ → WAN: Permite traficul necesar pentru update-uri și conexiuni externe.

– DMZ → LAN: Blochează complet (sau permite doar conexiuni strict necesare, ex: backup pe un server intern).

– LAN → DMZ: Permite administrarea serverelor (SSH, RDP).

Activează NAT dacă IP-urile din DMZ sunt private, pentru ca serviciile să fie accesibile din Internet.

Configurarea serverelor din DMZ

a.Atribuie fiecărui server un IP static din rețeaua DMZ (ex: 192.168.10.10 pentru webserver).

b.Configurează serviciile să răspundă doar pe porturile necesare.

c.Actualizează și securizează fiecare server:

– Patch-uri OS și aplicații.

– Dezactivează servicii inutile.

– Instalează firewall local (ufw, firewalld, Windows Firewall).

Testarea DMZ-ului

a.Din Internet: verifică dacă serviciile din DMZ răspund (ex: ping, telnet pe porturile expuse).

b.Din LAN: testează dacă poți administra serverele din DMZ.

c.Din DMZ: verifică dacă nu ai acces direct la LAN.

d.Rulează scanări de securitate (ex: nmap din Internet către IP-ul public).

Monitorizare și mentenanță

– Activează logarea pe firewall și verifică traficul neautorizat.

– Monitorizează resursele serverelor din DMZ.

– Aplică patch-uri regulat.

– Fă backup periodic al configurațiilor și datelor critice.

Notă de securitate

– DMZ nu elimină riscul, dar îl izolează: dacă un server din DMZ este compromis, atacatorul nu ar trebui să aibă acces la rețeaua internă.

– Evită configurările “any to any allow” între DMZ și LAN.

– Folosește IDS/IPS (Intrusion Detection/Prevention System) pentru trafic DMZ ↔ Internet.