Come autorizzare un ELB Amazon in un (nuovo) firewall?

Question

Come autorizzare un ELB Amazon in un (nuovo) firewall?

#1 da (7 voti)

10

Abbiamo un cliente con una rete molto bloccata. Qualsiasi connessione in uscita richiede la whitelist della porta e dell'indirizzo IP.

Tuttavia, stiamo eseguendo il nostro sistema dietro un Amazon Elastic Load Balancer (ELB) . Ciò significa che l'indirizzo IP di ELB può cambiare ed è fuori dal nostro controllo.

È possibile autorizzare un nome di dominio piuttosto che un particolare indirizzo IP?

Mi rendo conto che ciò dipenderà dall'infrastruttura IT del cliente. Sono un negozio solo per Windows, quindi se ci sono approcci specifici che potremmo prendere nel mondo Microsoft, sarebbe bello. Se ci sono impostazioni specifiche del router per Cisco, ecc, ciò sarebbe anche di interesse (nel caso in cui il cliente utilizzi tale configurazione).

Hai altri suggerimenti su come risolvere questo problema?

L'uso della whitelist degli indirizzi IP sembra essere molto fragile ... sebbene l'apertura di un particolare nome di dominio ti apre agli attacchi di avvelenamento del DNS.

windows firewalls whitelist

posta Peter K. 02.04.2013 - 16:46

fonte

1 risposta

Leggi altre domande sui tag windows firewalls whitelist

Norme e regolamenti specifici per il cloud Come si valuta correttamente il rischio?

score 7 · Accepted Answer

Se il cliente è consapevole della sicurezza come la domanda implica, capirà che l'unico modo affidabile per eseguire l'attività sarebbe quello di autorizzare il traffico nell'intervallo di indirizzi IP per il servizio Amazon ELB.

Se ci si preoccupa che ciò consentirebbe ad altri siti Web che utilizzano lo stesso accesso esterno al servizio, sarebbe necessario un server proxy o un firewall secondario per garantire che il traffico verso questi IP fosse solo per i siti Web consentiti.

È un po 'difficile essere più specifici senza una maggiore conoscenza del layout dei tuoi clienti.

Tuttavia, in uno dei servizi che supporto verrà effettuato utilizzando un proxy Bluecoat per controllare l'accesso al sito Web esterno.

Sarebbe anche preferibile consentire anche ai clienti autorizzati che utilizzano i controlli AD, il traffico viene quindi inviato al firewall tramite un indirizzo VIP sull'interfaccia esterna Bluecoats che è solo per il traffico per questo servizio.

Il firewall può quindi limitare l'accesso all'intervallo di destinazione IP solo dalla sorgente VIP.

Qualsiasi server proxy dovrebbe essere in grado di farlo e se il tuo cliente non ne sta usando uno allora un secondo firewall potrebbe essere usato con SNAT per fare la stessa cosa. Il primo firewall consente l'accesso al sito Web, quindi inoltra il traffico al secondo firewall su SNAT, SNAT viene utilizzato come indirizzo di origine per una corrispondenza origine / destinazione nell'intervallo di indirizzi IP esterni.

Ciò eviterebbe il problema dell'avvelenamento del DNS in quanto qualsiasi risposta dovrebbe comunque corrispondere all'intervallo di indirizzi IP consentito sul firewall.