היי
אני אשמח אם מישהו יעשה לי סדר בדברים.
נניח שרכשתי מספר כתובות IP חוקיות מה-ISP שלי.
התצורה שלי בארגון היא בסיסית כאשר ה-GATEWAY שלי הוא ה-FIREWALL .

1.בהנחה שיש לי כתובת IP ציבורית נוספת ואני ממקם ב-DMZ את השרת WEB שלי -האם מספיק לי רק ACCESS RULE ב-FIREWALL (הכוונה האם אין צורך בשום NAT ממה שאני זוכר בצ'קפוינט ובכל פיירוול נורמלי הוא יוצר אותם בצורה אוטומטית)?

2.איך מתבצע תהליך הקצאת הכתובות IP הציבוריות מהספק? האם זה כמו ברשת ארגונית סטנדרטית(DHCP כלשהו ששומר את הכתובת IP ל MAC מסויים)?
מבחינה תאורטית במידה ומישהו מפיל לי את שרת ה WEB ומנתק אותו מהאינטרנט , מזייף את ה MAC שלו ומגדיר אותו בשרת שלו -האם הוא יוכל ככה לנתב אילו משתשמים מהעולם החיצון(WAN)?

תודה רבה!

1. מספיק לך... מאיזו בחינה?

2. יש שתי פרדיגמות לעניין:

א. הקצאת טווח קטן (/30) אלייך, כאשר הראוטר שלך והראוטר של הספק נמצאים באותה תת רשת (ויש תקשורת ביניהם באמצעות תווך שכבה 2, כמו MetroEthernet או ATM) - כאשר הספק מקצה לך חלק מהכתובות בתוך הרשת שלו, ומגדיר route לטווח הזה לכיוון ה IP של הראוטר שלך, ואתה כמובן מגדיר את הראוטר של הספק בתור ה DGW שלך, וכך פאקטים יכולים לעבור בשני הכיוונים.

ב. הקצאת כל הטווח של הכתובות שהוקצה לך, כאשר הראוטר של הספק, יושב גם הוא בתוך הטווח, ומועבר אלייך בשכבה 2 באותה הצורה כנ"ל. במקרה הזה, אתה מגדיר עדיין את ה IP של הראוטר של הספק בתור DGW, אבל הספק לא צריך להגדיר כלום, משום שכתובות ה IP שלך הן מה שנקרא "directly connected" ל VLAN Interface, ומכאן שכשהראוטר מקבל פאקטים עבור טווח זה, נשאר לו רק "לזרוק" אותם לממשק המקומי. הם כבר יגיעו לצד השני באמצעות Ethernet ו ARP ע"ג שכבה 2...

ה MAC של שרת הווב שלך חסר ערך (וגם למה לזייף אותו? מספיק לתפוס את ה IP). בשביל שמישהו ישתלט על התקשורת ברמה הזו, הוא צריך לשבת על שכבת ה 2 שבינך לבין הספק, שכבה שעוברת ב VLAN פרטי בספק התשתית... ובמקרים מסויימים אפילו בתווך פרטי בינך לבין הצד השני, כזה שפשוט לא ניתן להתחבר אליו מבחוץ בלי לחתוך את הכבל באמצע...

כדי לעשות את זה, צריכים גישה לרשת הניהול של ספק התשתית, שמטבע הדברים (או כך לפחות אני יכול לקוות) - אמורה להיות מוגנת מאוד. חוץ מזה, מדובר בפתרון מאוד מסובך. הרבה יותר "טבעי" להשתלט על נתב כלשהוא בדרך, ולהגדיר עליו route לרשת היעד לכיוון ראוטר שינתב את התעבורה לרשת התוקף... (או יותר פשוט, לפרסם BGP שגוי, תמיד יש איזה ספק אינטרנט "גאון" שלא עושה פילטרינג כמו שצריך ממי הוא מקבל איזה prefix announcement...), או התקפות מסוגים אחרים. (לא תאמין, אתה יודע כמה אנשים, בעיקר בישראל, משתמשים בבאג האבטחה שנקרא IIS, וכותבים אתרים בשפת תכנות שהקוד שיוצא ממנה גורם למחשב להיות מכונת טיורינג לא-דטרמיניסטית (דוט נט)?)

נ.ב. לכל הנ"ל פשוט אין שום קשר ל NAT ...

נמאס לכם לזכור סיסמאות? לחצו כאן!