Схема сети для небольшой организации

4. Почему ты этим занимаешься, вместо специалиста.

Какая-то каша. Выше очень правильно написали.

К сожалению так получилось :(

С удовольствием приму к сведению замечания по делу и изучу полезные ссылки.

DMZ у которого

vpn-сервер для доступа внутрь.
Сами ресурсы расположены на серверах во внутренней сети.

ну такой себе dmz

Правильно ли я понимаю, что вы предлагаете сделать vpn-сервер во внутренней сети? Т.е. разработчики будут иметь доступ снаружи сразу во внутреннюю сеть через vpn-сервер?

P.s. если что, я не говорю что это хорошо или плохо, просто пытаюсь понять идею.

Главное делай на IPv6.

Что-то имеющее доступ во внутреннюю сеть уже не DMZ.

Может быть я что-то не понимаю, но судя по wikipedia хосты из DMZ могут иметь ограниченный доступ во внутреннюю сеть. Возможно я как-то неправильно сформулировал идею, но смысл был в том, что из DMZ VPN разработчики смогут достучаться до условного GitLab, который находится внутри внутренней сети. Т.е. они смогут достучаться не до любого хоста, а только до некоторого их подмножества.

но судя по wikipedia хосты из DMZ могут иметь ограниченный доступ во внутреннюю сеть.

Где вы это увидели?

Т.е. они смогут достучаться не до любого хоста, а только до некоторого их подмножества.

Да хоть до 0.000001 хоста.

Цитата из статьи по ссылке, которую приводил выше:

Hosts in the DMZ are permitted to have only limited connectivity to specific hosts in the internal network, as the content of DMZ is not as secure as the internal network.

¯_(ツ)_/¯

И правда что ли... Не верьте вики.

Допустим, что из DMZ не должно быть никакого доступа к внутренней сети. Получается, что DMZ - это такой тупичок, изолированный от основной сети компании, в котором хостятся системы, доступные из внешней сети. Как в этом случае хостить системы, которые должны иметь с одной стороны выход в интернет, а с другой - доступ к внутренним системам? Например, сайт, который виден из Интернета, но ему нужен доступ к приватной базе данных? Можно ли ввести хосты DMZ в домен, который расположен в приватной сети организации?

Если ты пытаешься от чего-то защититься, то начни с модели угроз. Если ты просто выпендриваешься, то не мудри и сделай проще.

Например, сайт, который виден из Интернета, но ему нужен доступ к приватной базе данных?

Репликация необходимых сайту данных между приватной базой и базой сайта.

Можно ли ввести хосты DMZ в домен, который расположен в приватной сети организации?

Зачем?

Например, сайт, который виден из Интернета, но ему нужен доступ к приватной базе данных?

Поместить БД в DMZ. Ограниченность доступа следует читать следующим образом: хосты внутри DMZ не могут устанавливать новые соединения с хостами из ЛВС, но могут ОТВЕЧАТЬ на запросы как из ЛВС, так и из Интернета. Для этого применяется stateful/zone-based firewall.

VPN-сервер в этой схеме в принципе не может находиться в контуре DMZ, если оттуда нужен доступ именно к локалке.

Допустим, есть VPN-сервер, который должен подтягивать пользователей из домена. Домен хостится в приватной сети. Правильно ли я понимаю, что если VPN-сервер по каким-то объективным причинам не может работать в режиме репликации данных о пользователях из домена (т.е. когда изменения состава пользователей домена пушатся в конфиги VPN-сервера, так что для авторизации пользователей VPN-сервер не нуждается в доступе к хосту домена), то в этом случае следует помещать VPN-сервер в приватной сети и делать доступ из сети Интернет напрямую в приватную сеть минуя DMZ?

Моя цель - ограничить прямой доступ из сети Интернет к хостам приватной сети. В случае взлома потенциально уязвимой системы, находящейся в DMZ, злоумышленник получит очень ограниченный доступ к хостам приватной сети и это даст дополнительное время для реакции на взлом.

Доступ во внутренний контур из Интернета возможен только через DMZ

Сколько раз тебе нужно сказать, что весь смысл ДМЗ, это что если его поимеют, то через него не поимеют внутреннюю сеть, а ты хочешь оставить доступ из ДМЗ во внутрь.

Все что должно быть доступно в ДМЗ из внутренней сети реплицируется (копируется) изнутри в ДМЗ, но не наоборот.

Из Интернета можно в ДМЗ, но не дальше. Изнутри можно и в интернет и в ДМЗ.

ВСЁ!

Если бы у меня стояла задача максимально защитить локалку, я бы решал это через RODC в контуре DMZ, например. Репликация в AD двусторонняя, но с RODC и так данных новых не будет(R/O же), поэтому проблем в такой схеме нет вообще.

получит очень ограниченный доступ к хостам приватной сети

Вы не можете знать насколько «ограниченный» доступ он получит, так что основное это «получит доступ к приватной сети», на этом смысл dmz теряется.

В случае взлома потенциально уязвимой системы, находящейся в DMZ, злоумышленник получит очень ограниченный доступ к хостам приватной сети и это даст дополнительное время для реакции на взлом.

Вы надеетесь он уведомит вас о том, что поломал вас? Святая чукотская простота.

Звучит логично, спасибо. К сожалению, далеко не любой софт можно так сконфирурировать.

Можете посоветовать какой-нибудь полезной литературы по этой теме?

Главное делай на IPv6

Ростелеком, перелогиньтесь по ip6?

что из DMZ VPN разработчики смогут достучаться до условного GitLab, который находится внутри внутренней сети.

Ерунда какая-то. Зачем для этого DMZ?

Идея такая: поместить ресурсы, до которых есть прямой доступ из Интернета в DMZ, а различного рода бекенды и внутренние сервисы - в приватную сеть. Возможно это позволит в случае взлома первых - затруднить доступ ко вторым.

Возможно идея так себе, но я не настоящий админ :)

Но скорее всего вся инфраструктура будет на виртуальных серверах, в облаке. Как ты его распилишь на зоны? Но там есть vlanы, хоть по одному на каждый сервер.

Так что нет смысла что то там выделять. Нужен маршрутизатор, кластер с машинами для серверных вещей и свич с поддержкой вланов. И вперед, выделяй зоны dmz1 dmz2 и т.д.