Usando solo un firewall, come posso proteggere un server di database da essere esposto?

Naviga le tue risposte
3

Se avessi due firewall, potrei mettere un server web all'interno di una DMZ e poi con il secondo firewall limitare l'accesso al server DB.

Tuttavia, se ho solo un firewall, come potrei farlo? Perché se io uso il seguente schema il server web avrebbe pieno accesso al server DB, giusto? 

 Internet -- Router -- Firewall -- Switch -- DB
                                     |
                                    Web
    
posta yzT 06.11.2013 - 17:23
fonte

2 risposte

3

I firewall moderni arrivano quasi sempre con più di due interfacce. Un Fortigate 40c , ad esempio, uno dei dispositivi di sicurezza di classe enterprise più economici sul mercato, pensato per Applicazioni SOHO, arriva con 7! (Cinque di questi possono essere configurati in uno switch ... in realtà viene configurato in questo modo dalla fabbrica! Puoi riconfigurarlo in interfacce standalone, tho.)

Ogni interfaccia può essere protetta dagli altri - si controlla quale tipo di traffico e da chi può passare da un'interfaccia all'altra. Questo è il lavoro del firewall. Inoltre, i firewall più moderni fanno anche un lavoro credibile come router ... puoi configurare reti separate per la tua DMZ e il tuo server di database e instradare tra loro, filtrando il traffico.

Quindi la risposta è: acquista un firewall basato sul carico di traffico previsto e dedica una porta a Internet, una porta alla DMZ e una porta al tuo server DB, imposta i criteri del firewall e il routing per controllare il traffico fra loro.

Potrebbe essere interessante tentare di separare il traffico utilizzando le VLAN sullo switch, ma questo è un cattiva idea se è la tua strategia di sicurezza - ci sono modi per attraversare le VLAN.

    
risposta data 06.11.2013 - 20:01
fonte
4

Il mio presupposto di base è che il server DB non ha bisogno di essere accessibile da Internet, ma il server Web lo fa. Se questa ipotesi non è valida, regola il resto come ha senso.

Al minimo il firewall deve essere configurato per limitare il traffico esterno dal server DB. I firewall moderni sono stateful, ovvero rilevano la comunicazione in uscita dai dispositivi interni e consentono il traffico di ritorno. Ciò ti consentirà di implementare un blanket deny sul tuo DB. Dovresti anche tracciare un profilo di traffico del tuo server DB per le comunicazioni interne. Che tipo di accesso ha di cui ha bisogno? Usi SSH o RDP per gestire la scatola? Il server Web è l'unico sistema che deve colpire direttamente la porta del database? Che tipo di monitoraggio stai facendo? Snmpd deve essere aperto, stai usando Grid (per Oracle) o MySQL Workbench per gestire il database? Pensa a tutti questi e compila la seguente tabella: 

| Source Address | Port | Protocol | Purpose |
| -------------- | ---- | -------- | ------- |
| 192.168.1.1    | 3306 | TCP      | MySQL DB connection |

Una volta che hai mappato tutte le connessioni dati, usale per costruire il nostro firewall host sul tuo server DB.

A seconda delle capacità tecniche della tua rete, alcune restrizioni sui dati possono essere applicate allo switch stesso. Ciò che è disponibile e come farlo dipenderà dal venditore, dalla revisione del software del modello, ecc. Probabilmente avrai bisogno del tuo ingegnere di rete per ricercare questo per te.

    
risposta data 06.11.2013 - 17:56
fonte

Leggi altre domande sui tag

Meccanismo di blocco della Workstation alternativo Quali sono le caratteristiche di Dual EC DRBG che vengono perse quando si utilizza un codice diverso?