A DMZ, o non a DMZ

8

Quindi per un incarico, dobbiamo creare uno schema (e eventualmente anche l'installazione) di un paio di server in una rete.

Le "reti" sono:

  1. Rete interna
  2. DMZ
  3. Internet

E i server che dobbiamo posizionare sono i seguenti:

  1. Server DNS
  2. Active Directory ([multiple] DC
  3. Server MSSQL
  4. Webserver
  5. MS Exchange 2010 Server, suddiviso in 3 parti: lato client, SMTP e altre funzionalità (qualunque esse siano)

Ora mi chiedevo quale di questi server inserire nella DMZ < - > interno.

Il server MSSQL e i server AD devono essere posizionati all'interno della rete interna . Di questo sono abbastanza sicuro (?: D).

Il server web e server DNS dovrebbe trovarsi in DMZ , giusto? Non so perché, quindi qualsiasi spiegazione su questo sarebbe molto apprezzata.

Ma poi ci sono i tre server Exchange. Non ho assolutamente idea di dove collocare quale parte di questi 3. Qualcuno potrebbe fornire alcuni suggerimenti / consigli e migliori pratiche sui server (di posta)?

Inoltre, per instradare / firewall queste reti (interne, DMZ e internet), usiamo Forefront TMG .

Qualsiasi aiuto è molto apprezzato!

    
posta Valentijn Spruyt 01.03.2013 - 16:06
fonte

3 risposte

11

Inserisci nella DMZ i server a cui è necessario accedere dall'esterno. Dal momento che sono raggiungibili dal mondo esterno (che si presume ostile), questi server sono potenzialmente soggetti a dirottamento da parte di aggressori. La DMZ è una area di contenimento in modo che un server sovvertito non abbia accesso immediato ai tuoi dati più preziosi (che presumibilmente saranno conservati nella rete interna).

I tuoi server AD e SQL sono pensati per essere utilizzati solo dalle macchine della tua rete, non dalle macchine esterne, quindi li metti nella rete interna. Il tuo server Web è pensato per essere contattato da client esterni, quindi inseriscilo nella DMZ. Allo stesso modo, il server DNS che pubblica nel mondo esterno il tuo dominio (ad esempio l'indirizzo IP del tuo server Web) è anche accessibile dall'esterno, quindi DMZ.

Non ci sono regole senza eccezioni. Occasionalmente, è necessario disporre di un percorso dati dall'esterno verso la rete interna. In genere, le e-mail provengono da Internet ma in definitiva devono apparire sui sistemi desktop. Normalmente si desidera archiviare le e-mail in arrivo nei server che si trovano nella rete interna (questo è il posto presunto più sicuro nella rete) ma se si esegue il proprio server SMTP (per le e-mail in arrivo ), allora uno deve essere nella DMZ.

Dipende molto dalla tua situazione esatta, ma la regola generale è semplice: DMZ è per ciò che può essere contattato dall'esterno .

    
risposta data 01.03.2013 - 21:37
fonte
2

Generalmente l'idea è di determinare quale hardware ti fidi e quale hardware non lo fai. Le cose che sono altamente esposte e non contengono dati sensibili non hanno bisogno di essere attendibili e possono quindi vivere all'esterno. Se i dati sensibili di un server web sono forniti da un DB, il server Web stesso può essere relativamente non attendibile, ma si rompe in molti casi come HTTPS in cui è necessario mantenere una certa quantità di fiducia nel server Web e quindi dovrebbe anche essere il più isolato possibile, anche se forse anche tagliato dalla rete interna.

La chiave che stai osservando è una combinazione di quanto è necessario l'accesso esternamente rispetto alla quantità di rischio che tale esposizione porta alla tua rete principale. Stai cercando di mitigare tale rischio aggiungendo ulteriori barriere che separano i sistemi.

Scusa se non è un elenco esatto, ma si spera che chiarisca il concetto abbastanza da rendere chiare le risposte (e non c'è sempre una risposta "perfetta" o "corretta". varie esigenze conflittuali come l'usabilità (che consente ai buoni utenti di entrare) e il controllo degli accessi (tenendo lontani gli utenti cattivi).

    
risposta data 01.03.2013 - 16:59
fonte
0

Lascia che ti aiuti. Dovresti essere più preoccupato se esponi accidentalmente le risorse nel punto sbagliato solo perché quando non hai capito come funziona l'intero sistema. Considera questa analogia. Hai un castello e ospita il re e i suoi uomini (governanti di sottodomini) queste entità sono ospitate nella barriera di protezione più interna (internal(internal)) e poi ci sono persone che vengono dall'amministrazione, consiglieri un gruppo di persone che don ' Godetevi il privilegio agli stessi livelli che i ragazzi godono della cerchia più intima o il re per una semplice ragione, non gli piace che il gruppo sia vicino a lui. Quindi queste persone rimangono a less-trusted(internal).

Nel contesto della sicurezza, il suo livello di fiducia chiamato e la valutazione della CIA, le attività con un rating CIA più elevato di solito impiegano controlli di sicurezza più elevati e collocati dove è più protetto. Tornando all'analogia, c'è un compromesso dello strato più esterno del castello, e c'è un certo protocollo in cui da questi freebies si muove all'interno della zona del re, diciamo seguire il protocollo di controllo di routine, trapani ecc. Un patrimonio compreso su quello strato esterno significa gratis, e come l'accesso autorizzato ai più privilegiati (il re e l'equipaggio) quelli con un alto livello di fiducia.

Questo è il modo in cui dovresti pensare anche tu, basta mapparlo con i requisiti aziendali e sei a posto. Dovresti capire che si tratta di TMG o di qualsiasi altro servizio che esponi al parametro esterno assicurati di essere preparato quando il combattimento si rompe; questi ragazzi sarebbero stati colpiti per primi, a volte con difficoltà ea volte in silenzio. * Quindi una buona DMZ è ciò che isola la copertura degli attacchi (la fuga di sicurezza) fornendo i canali autorizzati di funzionalità. * Come osservatore attento dovresti sempre considerare le minacce che questi il paesaggio cambia frequentemente. Devi essere in punta di piedi.

    
risposta data 01.03.2013 - 18:49
fonte

Leggi altre domande sui tag