Distinção entre uma extranet e uma DMZ [fechado]

8

Eu tenho lido sobre intranets, extranets, DMZs e VPNs agora e preciso de alguns esclarecimentos relacionados a extranets e DMZs. Entendo que são tipos diferentes de conceitos - a extranet permite acesso limitado a alguns recursos da intranet, enquanto a DMZ é uma sub-rede que fica entre a Internet e a intranet e hospeda os serviços externos. No entanto, eu gostaria de saber qual é a sua distinção na prática em uma configuração usual? O artigo da Wikipedia sobre extranets diz que as extranets são semelhantes às DMZs porque são usadas para a mesma finalidade (fornecer acesso a alguns serviços / recursos sem expor toda a intranet). O artigo também afirma que uma extranet faz parte de uma VPN e este artigo do TechNettambém afirma que o acesso à extranet é frequentemente implementado de maneira semelhante ao acesso à intranet remota, por exemplo, com uma VPN. O artigo TechNet também diz que geralmente a extranet é hospedada dentro da DMZ. Este artigo da Pearson diz "Embora [a DMZ] esteja tecnicamente localizada na intranet, [ela] também pode servir como extranet". Isso é um pouco confuso.

Considere este cenário: Uma empresa possui um site B2C hospedado na DMZ. O site pode ser acessado de qualquer lugar, mas requer autenticação do usuário. O aplicativo da web subjacente possui seu banco de dados dentro da intranet e também interage com alguns serviços da web hospedados dentro da intranet (ou seja, ele acessa recursos da intranet). Do meu ponto de vista, o site oferece efetivamente um acesso restrito à intranet. Mas isso pode ser considerado uma extranet? Se considerarmos literalmente a definição de extranet da Wikipedia - "Uma extranet é uma rede de computadores que permite acesso controlado de fora da intranet de uma organização" - acho que pode.

Digamos que o exposto acima não pode ser considerado uma extranet. E se mudarmos um pouco o cenário e dissermos que é um site B2B, em que o acesso é limitado, por exemplo, a conexões provenientes de um parceiro de negócios específico (usando a VPN site a site, por exemplo). Nesse caso, certamente é uma extranet, certo? Se for esse o caso, a diferença entre os serviços de extranet e outros serviços hospedados na DMZ é simplesmente restrições de acesso?

Markus Yrjölä
fonte
7
Meu conselho é não ficar atolado em detalhes - mesmo nas empresas, essas definições variam. Se isso ajuda, raramente uso a frase extranet - a maioria das pessoas declara algo como público (mesmo que restrito por senhas) ou interno. A DMZ é apenas um conceito de rede com relação a firewalls e segurança - você pode hospedar um site na frente da DMZ, na DMZ ou atrás da DMZ e ainda é um site externo se puder ser acessado pela Internet.
Dan
@ Dan, eu não ficaria preso a isso se fosse a vida real, veja meu comentário na resposta da MDMarra. Talvez eu tente evitar mencionar extranets por completo ...
Markus Yrjölä

Respostas:

14

Essas são distinções acadêmicas. No mundo real, você encontrará alguma combinação de todos esses conceitos em termos diferentes.

Em algumas organizações, uma DMZ possui uma conexão de rede ISP separada e não tem acesso a recursos internos. Em outras organizações, existem máquinas ingressadas no domínio na DMZ que podem se comunicar com um conjunto restrito de máquinas internas. Às vezes, a DMZ interna e a DMZ possuem firewalls separados. Às vezes, eles têm interfaces separadas no mesmo firewall.

É importante saber por que alguém deve usar uma extranet ou DMZ, porque esses são os conceitos de segurança que importam. A partir daí, você pode escolher como permitir o acesso a determinados recursos. O que é realmente chamado não importa. Em alguns casos, está partindo os cabelos.

MDMarra
fonte
Engraçado que você tenha começado sua resposta dessa maneira, já que eu fiz essa pergunta como parte da pesquisa que estou fazendo para a minha tese de mestrado. Infelizmente, tenho que ser acadêmico com essas coisas. Bem, acho que vou ter que tentar definir os termos de alguma forma e fornecer alguns motivos para isso.
Markus Yrjölä
7

Acho que não ouvi falar recentemente de uma extranet fora dos livros e das salas de aula.

Uma DMZ é uma topologia de rede comum com um segmento de rede segregado por firewalls da rede interna e redes externas não confiáveis (também conhecida como Internet ).

Em contrapartida, a Extranet , se é realmente incluída no design da rede, implica um pouco que esteja conectada à VPN ou às redes privadas reais, em vez de à Internet inteira.

Muitas empresas têm várias redes DMZ e considerariam uma rede com um gateway / roteador VPN ou uma interconexão privada apenas outra DMZ.

Com mais freqüência, uma extranet não é uma topologia de rede, mas está implícita em ser um serviço separado da rede interna que é fornecida para um conjunto restrito de usuários, empresas e redes externas confiáveis, conhecidas e / ou autenticadas.

Do ponto de vista da rede, seu servidor da web deve residir na rede DMZ. O fato de seu site permitir que seus revendedores façam login, navegue em seu catálogo, exiba estoque e pedidos, significaria que seu site seria chamado de extranet pelos departamentos de marketing. O custo do desenvolvimento iria de $$ a $$$$.

HBruijn
fonte
1
Obrigado, isso esclareceu algumas coisas e combina muito bem com como eu mesmo entendi. Recentemente, ouvi pessoas falando sobre extranets no trabalho, então, aparentemente, não é um termo morto.
Markus Yrjölä
2

Para mim, eu refiro isso à política de segurança. Escrevemos uma política de que nenhum sistema acessível ao público terá acesso de entrada à intranet, a menos que uma exceção específica seja autorizada. Também temos uma política de que a DMZ não terá acesso de entrada à nossa intranet e que nossa extranet possui. Por exemplo, temos um servidor Web com banco de dados back-end que deve sincronizar dados com um banco de dados baseado na intranet. Colocamos o servidor da Web na DMZ, o banco de dados de back-end na Extranet e ele é sincronizado com o banco de dados da intranet de produção. Portanto, para classificação de confiança, a rede pública seria 0, a DMZ seria 1, a Extranet seria 2 e a intranet seria 3.

Corey Adam
fonte