Collegamento di reti affidabili e non attendibili

Naviga le tue risposte
2

Abbiamo due domini che sono isolati. Il primo dominio è Corp Corp, il secondo è una rete ostile non sicura con client non fidati che potrebbero contenere malware.

I client sulla rete non affidabile creano report che devono essere letti dagli utenti sulla LAN di Corp. Attualmente i report vengono copiati dalla rete non attendibile su una USB scansionata dal corp. AV poi copiato su Corp LAN.

Vorremmo rimuovere la necessità del trasferimento USB e semplificare il processo.

Se mettiamo un firewall ai margini della rete non affidabile e un firewall sul bordo della LAN di Corp., tra i firewall si trova un server di staging che può essere archiviato. Potremmo quindi aprire il firewall LAN di Corp. per consentire agli utenti di accedere ai file.

Questa è una buona pratica? Qual è il rischio di malware che spera da un dominio all'altro? Stiamo aprendo la nostra corp. rete a rischio?

schema:

Le reti sono fisicamente separate ma nello stesso campus. La rete Corp è protetta da un firewall esistente.

    
posta Michael Wych 19.12.2014 - 15:26
fonte

2 risposte

1

Non hai necessariamente bisogno di due firewall separati per realizzare questo.

Tuttavia, senza visualizzare un diagramma della topologia attuale della rete, è difficile formulare raccomandazioni.

Hai menzionato due LAN separate. Sono separati logicamente o fisicamente?

Si menziona la copia di file su un'unità USB e lo spostamento dei dati su una macchina sull'altra rete. Questo mi fa pensare che le due reti condividano la vicinanza fisica. (a meno che non stiate spedendo l'unità USB)

Suppongo anche che almeno una di queste reti sia già dietro un firewall.

La DMZ può essere ospitata in sicurezza dal firewall esistente. Due firewall separati non sono necessari per mantenere una DMZ sicura.

Suggerirei di ospitare un server SFTP nella DMZ. SFTP in genere viene eseguito sulla porta 22. Il criterio del firewall dovrebbe essere configurato in modo che il server SFTP non possa avviare il traffico verso una rete.

Potrebbe tecnicamente essere più sicuro a causa di recenti exploit con unità USB che non possono essere riparati . (vedi anche: link )

Il (lieve) aumento della superficie di attacco potenziale verrebbe dal server SFTP se si scoprisse una vulnerabilità che potrebbe consentire la compromissione dello SFTP. Tuttavia, tieni presente che, come menzionato sopra, il server SFTP non sarebbe ancora in grado di avviare la comunicazione con la rete fidata.

    
risposta data 19.12.2014 - 16:26
fonte
1

Quindi quello che stai descrivendo è una DMZ o zona demilitarizzata. Questo è un modo comune e ampiamente accettato per l'hosting di diversi servizi. Come server Web, server di posta, server FTP in modo sicuro.

Essenzialmente per il tuo caso d'uso particolare e da quello che hai suggerito, magari usando DMZ con un'architettura Dual Firewall con un server FTP, sarebbe il modo migliore per farlo.

Poiché il DMZ funge da zona cuscinetto tra la rete locale e Internet, è una rete meno sicura della rete interna.

Per questo motivo, vengono aggiunte misure di sicurezza per un host DMZ che includono, disabilitando servizi non necessari, eseguendo i servizi necessari con i privilegi ridotti, eliminando eventuali account utente non necessari e assicurandosi che DMZ abbia la sicurezza più recente aggiornamenti e patch.

Il vantaggio aggiunto del secondo firewall è che, conoscendo la società da cui ti aspetti i dati, puoi autorizzarli per l'accesso al firewall. Che riduce il rischio di sfruttamento di un server SFTP senza patch. Anche se non completamente, dato che l'azienda esterna può ancora essere utilizzata per lanciare l'exploit.

    
risposta data 19.12.2014 - 15:47
fonte

Leggi altre domande sui tag

Snort ID per la distribuzione di Amazon I crittografi TLSv1.0 possono essere utilizzati con SSLv3?