Abbiamo appena saputo di firewall e DMZ e sto faticando a capire come vengono effettivamente implementati? L'architettura che abbiamo imparato era qualcosa del genere:
Diciamo che abbiamo un sito commerciale che consente agli utenti di registrare un account per fare acquisti online e anche partecipare al forum del sito web.
In termini di sicurezza, quali beni dovrebbero essere collocati nella DMZ e quali beni dovrebbero essere collocati nella rete interna?
Questo potrebbe variare in base alla situazione specifica, alle politiche che si sta tentando di applicare e ai requisiti di conformità normativa.
In genere, un'app Web ha un front-end e un back-end. Il front-end è responsabile della gestione del traffico degli utenti, della visualizzazione / presentazione dei dati e dell'autenticazione. Il back-end è solitamente un database di qualche tipo che gestisce la persistenza dell'applicazione. Potresti anche avere altri punti di integrazione (ad esempio chiamando un'API di spedizione o qualcosa di simile).
Dai un'occhiata a questo link per maggiori informazioni su un modello pubblico di server Web generico. Idealmente, il traffico non autenticato viene gestito il più vicino possibile al perimetro della rete. Il traffico esterno non dovrebbe mai oltrepassare la "DMZ" senza essere gestito da un proxy di filtraggio o dal web front-end. Quindi, la tua soluzione dovrebbe avere un componente come quello nella DMZ. Potresti anche voler creare un'altra zona, una che contenga solo il server del database. Dovrebbe quindi passare attraverso un altro firewall per raggiungere la rete aziendale. In questo modo, se il database dovesse essere compromesso, non comprometterebbe altri sistemi nella rete aziendale.
Si prega di comprendere che si tratta solo di generalizzazioni e che, a seconda dello stack tecnologico presente, la soluzione potrebbe cambiare.
Risponderò alla tua domanda di seguito, ma per metterla in contesto leggi quanto segue:
Il diagramma che stai usando è un modello molto anni '90. Quello che potrebbe essere molto più semplice e sicuro è semplicemente utilizzare un firewall con 3 o più interfacce. Ciò include anche l'impostazione delle regole del firewall e il filtraggio del traffico tra due interfacce. Un punto importante qui non è il traffico per qualsiasi segmento attraversa qualsiasi altro segmento:
3 interfacce:
+----DMZ
|
Internet---+ Firewall
|
+---- Intranet
Una versione leggermente più complessa di questa può essere la seguente:
4 interfacce:
+---- Intranet
|
Internet---+ Firewall+--- PCI Zone (Secured Subnet)
|
+---- DMZ
Detto questo, la ragione per cui le persone usavano questo design era perché i firewall originali erano molto costosi e molti venivano solo con due interfacce. Era anche un progetto costruito su tecnologia di bridging e vecchi proxy da molto tempo fa, in cui le persone erano semplicemente abituate a avere solo due interfacce con cui lavorare. Molti di questi sono passati alle vecchie reti IBM e in alcuni casi sono stati utilizzati anche come bridge tra Token-Ring, o FDDI ed Ethernet allo stesso tempo. Da allora i firewall si sono evoluti molto.
Ora che hai un'idea di cosa sia un firewall con più zone sicure se pensi di essere limitato dall'hardware che supporta solo due interfacce Ethernet fisiche (questo è prima che esistesse uno standard per VLANS, quindi quelle erano ancora sconosciute dell'epoca) potresti capire perché le persone hanno costruito il design che stavi vedendo nella tua classe. In poche parole, era davvero l'unica opzione al momento, date le restrizioni hardware. Nota: questo non vuol dire che il design non sia ancora utilizzato, ma la maggior parte del settore è passata a progettazioni più segmentate che utilizzano più interfacce fisiche e virtuali. Un ulteriore bit di informazioni che può essere utile, se si dispone di un'architettura a coppie ridondanti è necessario abbinare interfacce ridondanti su entrambi i firewall in ciascuna zona protetta (2 firewall con 4 porte per ogni tipo di cosa).
Nel design tradizionale i server della DMZ sono quelli che accettano le connessioni da Internet (mondo esterno). La LAN tradizionalmente potrebbe inviare pacchetti al mondo esterno e ricevere le risposte a tali richieste, ma nessuna richiesta in arrivo dal mondo esterno potrebbe essere avviata per entrare nella LAN. Parte di ciò riguardava anche un problema di progettazione che esisteva prima di quello che divenne noto come ispezione di pacchetti "stateful".
Spiegazione rapida del firewall Stateful vs. Stateless:
Stateless: fondamentalmente blocchi solo pacchetti TCP con il pacchetto ACK = 0 (questo è il primo pacchetto inviato in una normale sequenza TCP). Originariamente questo tipo di ha funzionato perché i server dietro il firewall non potevano assemblare un insieme di pacchetti e chiudevano la connessione una volta scaduto.
Stateful: Stateful deve essere creato perché alcuni malintenzionati intelligenti hanno appreso che potevano eseguire attacchi di tipo Denial of Service sui sistemi dietro i firewall Stateless riempiendo la loro memoria fino a quando non si arrestavano. Più tardi le persone si sono rese conto che potevano frammentare gli attacchi su più pacchetti e le regole di ispezione del firewall non sarebbero state attivate. Allo stesso modo, c'era anche un problema dovuto a ciò che è noto come attacchi a pacchetto singolo ma che è venuto molto più tardi.
Il trucco con Stateful è che il Firewall ora deve avere più RAM ma ora può contenere i pacchetti fino a quando abbastanza sono insieme e potrebbero essere analizzati (per catturare le cose frammentate) e anche rimuovere il problema di attacco a pacchetto singolo dal server. Fondamentalmente, il Firewall ora ferma tutto, raccoglie e analizza lo stato della connessione di tutti i pacchetti, ispeziona TUTTI i pacchetti e così facendo fornisce una protezione aggiuntiva per il server.
Più tardi siamo entrati nel proxy dell'applicazione, i firewall delle applicazioni Web e i firewall del database.
Nota: Ci sono altri tipi di attacchi ai frammenti rispetto a quello che ho menzionato e questa è una spiegazione davvero leggera di tutte le tecnologie che ho appena citato, ma si spera che sarà sufficiente per mettere la tua domanda in prospettiva in modo che abbia più senso .
Infine, poiché CtrlDot ha menzionato molte risposte dipende dal tuo scenario e utilizzo specifici. Queste sono risposte generali di alto livello.
Leggi altre domande sui tag architecture network firewalls