Nascondi server di registrazione da DMZ

2

Ho un server sulla mia DMZ che relega i messaggi syslog e OcsInventory a un server su una vlan per la registrazione dei server.
Per consentire il passaggio dei pacchetti, è necessario consentire la porta 80 (OcsInventory) e la porta 514 udp da questo server DMZ alla macchina sul vlan.
Se la macchina sulla DMZ fosse mai stata compromessa, un utente malintenzionato avrebbe pieno accesso alla porta 80 e 514 UDP.
C'è un modo per consentire solo queste connessioni quando Syslog / OcsInventory ha bisogno di inviare un messaggio?
Port knocking forse?
Meglio ancora, c'è un modo per consentire solo determinati processi sul mio server DMZ per accedere alle porte remote?

Qualsiasi suggerimento è molto apprezzato.

    
posta user2284355 26.09.2013 - 17:44
fonte

2 risposte

1

D: C'è un modo per consentire solo determinati processi sul mio server DMZ di accedere alle porte remote?

A: Per farlo è necessario un box UTM o un firewall di prossima generazione. Queste caselle possono funzionare con il livello applicazione di ciascuna connessione e distinguere tra diverse applicazioni in modo da consentire il passaggio solo di determinate applicazioni. Un buon esempio di scatola libera è SOPHOS UTM che puoi testare.

    
risposta data 27.09.2013 - 13:10
fonte
-2

is there a way to only allow certain processes on my DMZ server to access the remote ports?

Sì, SELinux. Qualunque sysadmin serio sulla sicurezza IT dovrà, prima o poi, imparare come SELinux e creare policy per le applicazioni e il tuo problema è perfetto per SELinux da risolvere. Una volta che sei competente con SELinux e proteggi i tuoi server, ti sentirai molto più sicuro riguardo alla sicurezza del tuo server e spegnere SELinux ti farà sentire nudo, in una tormenta.

Gli unici libri che posso raccomandare sono "SELinux per esempio: utilizzo di Security Enhanced Linux" e "SELinux System Administration". Quest'ultimo dovrebbe essere rilasciato il mese prossimo.

Alcuni link che ti aiuteranno a iniziare:

link

link

C'è anche un'ottima community su #selinux @ Freenode IRC

    
risposta data 26.09.2013 - 18:00
fonte

Leggi altre domande sui tag