ElectroYou

Buona sera.
Volevo fare alcune domande specifiche per chiarirmi alcuni dubbi; ho un grande interesse sull'argomento e sto cercando di approfondire anche nel pratico.

I due router sono dotati di interfaccia LAN a 4 porte.

Per realizzare una configurazione nella rete, la soluzione DMZ a doppio firewall è sicuramente la migliore.
Vorrei capire quindi come si può isolare una rete LAN interna dalla DMZ.

Supporrei di usare due router con firewall. Il primo connesso direttamente ad Internet, l'altro connesso WAN-LAN al primo.

Nel primo router definirei (relativo alla LAN 192.168.1.X) nella sua interfaccia LAN gli indirizzi:
192.168.1.102
192.168.1.103
per i server della DMZ

Sull'indirizzo 192.168.1.101 metterei il collegamento con la porta WAN del secondo router.

Il secondo router è relativo alla rete 192.168.2.X.
Sulla sua interfaccia LAN definirei la rete LAN interna da proteggere, con gli indirizzi per gli host
192.168.2.101
192.168.2.102


La configurazione così ottenuta è corretta per creare una DMZ a due firewall?

La topologia di rete e' corretta, poi pero' il buon esito dipende da come configuri i dispositivi.
Vorrei aggiungere pero' che in termini di risorse la configurazione a due firewall e' molto dispendiosa quindi deve essere giustificata dalle esigenze specifiche.
Per esempio in una rete domestica o piccola impresa non e' detto che sia la scelta migliore per via dei costi considerando anche gli eventuali accorgimenti per la continuita' di servizio (ridondanze, HA, ecc.).

Grazie. Sono veramente contento che la configurazione è corretta.
Per i firewall pensavo di ricorrere a OpenWRT (sembra un buon compromesso tra costi e prestazioni). Non è proprio il massimo ma via....

Una domanda ora mi viene (qui confesso non sono riuscito a trovare risposte ancora), se un server su DMZ deve accedere a un Database o NAS che si trova nella LAN, come si gestisce al meglio la connessione?

La DMZ è per sua natura non sicura e questo potrebbe compromettere la sicurezza della LAN.

OpenWrt e' una distribuzione open source Linux per sistemi emdedded, non lo vedo molto user firendly, richiede molta configurazione e molta conoscenza dell'ambiente linux oltre al fatto che devi conoscere in modo avanzato come si gestisce la sicurezza perimetrale e il networking in generale, altrimenti rischi di non ottenere il risultato desiderato.

Cosa diversa se stai creando un laboratorio di studio, ma a questo punto ti consiglio di usare GNS3 e giochi con tutti i dispositivi e le configurazioni che vuoi a costo zero, salvo se vuoi usare dispositivi come per esempio cisco che per scaricare le macchine virtuali devi avere una regolare licenza che pero' non costa molto, circa 200 euro l'anno.

In produzione adotterei un'altra scelta piu' semplice , hardware o virtualizzati, da gestire' anche in modo automatico con Ansible o similari per esempio.
Se poi hai la possibilita' di usare sistemi virtualizzati meglio
La scelta ovviamente deve essere valutata bilanciando esigenze e portafoglio, tra Zyxell e Palo Alto trovi una miriade di scelte nel mezzo.

Sto guardando intanto la soluzione GNS3 e penso proprio che almeno in una prima fase lo utilizzerò (per vedere anche tutti gli aspetti nel pratico).

Ora però mi rimane una domanda. Quali sono di solito le tecniche o le best pratice per fare in modo che server sulla DMZ accedano a server (tipo DB) che sono sulla rete protetta LAN?

Inevitabilmente i server della DMZ esposti su Internet, hanno bisogno di informazioni che sono contenute in DB.
Mettere il DB direttamente nella DMZ penso non sia una buona scelta (potrei anche sbagliare), sarebbero facilmente compromessi e a rischio. Penserei sia meglio metterli al sicuro dietro il secondo firewall-router.

Così però il secondo firewall dovrebbe accettare in ingresso connessioni dalla DMZ e cio è rischioso....
Se del resto il DB server sulla LAN accede alla DMZ (quindi stavolta la connessione sarebbe in uscita sul secondo firewall), l'informazione non "arriverebbe" al server sulla DMZ che invece richiede lui stesso di connettersi.

Non so se sono riuscito a spiegarmi bene. Ma sembra un rompicapo impossibile. Due esigenze contrapposte e non mediabili