Un bilanciatore di carico può "ESSERE" il computer nella DMZ?

Naviga le tue risposte
0

Mi chiedo se un sistema di bilanciamento del carico web possa assumere il controllo di ciò che normalmente sarebbe considerato il server front-end in una DMZ?

Nel nostro ambiente attuale, abbiamo la classica configurazione DMZ come illustrato di seguito.

Internet - > Firewall - > Server front-end DMZ - > Firewall - > Dati server Lan

È in arrivo una nuova applicazione che non ha un server front-end appositamente creato dal fornitore. Sebbene nessun dato vivrà su questo server, sarà localizzato sulla lan. Alla domanda su come rendere l'applicazione sicura, la loro risposta è stata quella di utilizzare un proxy inverso come front-end.

Quindi la mia domanda è questa: posso semplicemente usare il nostro web load balancer come "server" nel dmz? Questo supera il test dello sniff? Funziona in un controllo?

Ecco un'illustrazione.

Internet - > Firewall - > Load Balancer - > Lan Server

Il bilanciamento del carico per sua natura funziona come un firewall in quanto è necessario specificare i numeri di porta. Tuttavia, l'interfaccia interna del firewall e tutte le interfacce del bilanciamento del carico (braccio singolo) e l'interfaccia del server LAN sono tutte sulla stessa rete LAN. Tuttavia, il servizio di bilanciamento del carico termina e crea nuove sessioni.

O devo utilizzare un proxy inverso e un bilanciamento del carico come illustrato di seguito?

Internet - > Firewall - > Load Balancer - > Revtor NGINX proxy - > Lan Server

Il proxy inverso NGINX non farebbe nulla in sostanza tranne che per i pacchetti esistente e di inoltro.

Che cosa rende davvero una DMZ? Sono due diverse sottoreti con firewalling che è più importante o è la conclusione e la ricreazione della sessione prima di raggiungere la lan? O è qualcos'altro?

Un altro progetto che ho avuto bisogno di abbottonare è un SSH aperto a un server nella lan. Non ha un server front-end, ma potremmo potenzialmente utilizzare il servizio di bilanciamento del carico per servire a questo scopo, ma solo se può legittimamente superare un controllo del SOC.

Grazie per qualsiasi discussione significativa!

    
posta Tom B 31.08.2016 - 21:53
fonte

1 risposta

2

Una DMZ è entrambe queste cose. È il punto in cui le richieste in entrata non accettabili note non attendibili vengono bloccate (da un firewall esterno) e le richieste in ingresso non attendibili ma potenzialmente accettabili vengono terminate e valutate per la potenziale re-inizializzazione all'interno sensibile.

Questo processo di valutazione può portare a un compromesso, quindi la sottorete in cui l'applicazione termina la richiesta in entrata dovrebbe essere a sua volta separata dalle reti interne, potenzialmente utilizzando un altro firewall per la segregazione. Questa richiesta di terminazione dell'applicazione è anche nota come proxy inverso.

internet - > firewall - > reverse proxy - > firewall - > lan

Per HTTP, il proxy inverso può essere considerato un livello 7 o un firewall dell'applicazione. Dovrebbe fare la conformità del protocollo e richiedere la sanitizzazione e dovrebbe supportare alcune funzioni difensive come la blacklist e le funzioni di firma delle richieste maligne.

Per HTTPS, il proxy inverso termina HTTPS, sebbene il traffico dal proxy inverso nella LAN possa essere nuovamente crittografato.

Il ruolo di bilanciamento del carico può essere inserito in una DMZ, ma la necessità deve essere valutata. Il bilanciamento del carico è in genere una funzione dell'applicazione che richiede l'orchestrazione e il coordinamento con le distribuzioni delle applicazioni ed è anche logicamente a valle dei tipi di funzioni di disinfezione e di sicurezza che dovrebbero verificarsi in una DMZ.

internet - > firewall - > reverse proxy - > firewall - > load balancer

In termini di limiti di affidabilità, Internet non è affidabile, la DMZ (dove viene eseguito il proxy inverso, tra i due firewall) è semi-attendibile e la lan, dove viene eseguito il bilanciamento del carico, è affidabile.

Infine, nginx è un software versatile in grado di supportare sia il firewall inverso / web application firewall che le funzioni di bilanciamento del carico, e così spesso sarà la stessa istanza di nginx a giocare entrambi i ruoli, il che significa che il bilanciamento del carico è nella DMZ, anche se può anche essere ancora un firewall tra nginx e gli host dell'applicazione.

internet - > firewall - > nginx (waf e lb) - > firewall - > applicazioni

Potrebbe non essere soddisfacente, a seconda delle condizioni di audit.

    
risposta data 01.09.2016 - 05:36
fonte

Leggi altre domande sui tag

Attacco DoS inverso? Analizzando un MetaSploit Exploit, non riesco a capire perché una funzione non è in esecuzione