Architettura di rete DMZ pubblica

25

Anni fa, quando ero studente, un professore di sicurezza di rete mi ha insegnato in una classe che cos'è un DMZ. L'architettura che ha usato nelle sue diapositive era simile a questa:

Orachesonostatoassunto,ilmiocapo,uningegneredellasicurezzaconoltre10annidiesperienzahaunpuntodivistadiverso.Perlui,unaDMZnondovrebbeessereinseritainun"sandwich" tra la LAN e Internet. Invece, dovrebbe essere come quello illustrato di seguito:

Durante la ricerca con Google per le architetture di rete con una DMZ, ho trovato diverse rappresentazioni e sono diventato ancora più confuso. Quindi la mia domanda è: come dovrebbe essere collocata una DMZ in un'architettura di rete altamente sicura? La prima rappresentazione è OK dal punto di vista della sicurezza?

    
posta lisa17 07.04.2012 - 17:44
fonte

12 risposte

18

I due sono funzionalmente equivalenti: la DMZ è efficacemente inserita in un sandwich, poiché deve avere connessioni dal mondo esterno protetto da firewall, ma ha anche firewall che ne limitano l'accesso alla rete interna.

Mentre il secondo diagramma è spesso quello che succede (per ragioni di costo - hai bisogno di meno firewall) il primo è considerato più sicuro in quanto puoi usare due diversi firewall, il che aiuta a evitare un attacco al firewall che li infrange entrambi. Nei casi in cui utilizzi un firewall, utilizzi insiemi di regole per ogni direzione e ogni connessione - e funzionalmente è lo stesso degli insiemi di regole del secondo esempio.

Questo è solo un leggero miglioramento della sicurezza, in quanto generalmente non si attaccano i firewall: si utilizzano le porte aperte per passare direttamente al server web, al server di posta o addirittura passare direttamente al database, ma i livelli di sicurezza tutti gli aiuti.

    
risposta data 07.04.2012 - 18:31
fonte
11

Come deve essere collocata una DMZ in un'architettura di rete altamente sicura?

La chiave è la difesa in profondità tra i domini di sicurezza. L'estensione dell'architettura implementata dipenderà dalle risorse disponibili, inclusi i limiti finanziari e le capacità tecniche.

Difesa in profondità

La difesa in profondità è un concetto di garanzia delle informazioni (IA) in cui più livelli di controlli di sicurezza (difesa) sono collocati in tutto un sistema informatico (IT). È una tattica di stratificazione, per attenuare le conseguenze di un singolo controllo di sicurezza non riuscito. Wikipedia

Domini di sicurezza

Un dominio di sicurezza è il fattore determinante nella classificazione di un'enclave di server / computer. Una rete con un diverso dominio di sicurezza è tenuta separata dalle altre reti. Wikipedia

Implementazione

Ai fini della determinazione dei controlli tra domini di sicurezza che potreste definire; Internet come non attendibile, DMZ come rete semi-attendibile e interna come affidabile.

Pertanto, utilizzerai più livelli di controlli di sicurezza tra Internet e DMZ, che potrebbero includere: firewall L3, IPS, AV, proxy inverso / bilanciamento del carico, filtro L7.

Dagli host DMZ alla tua rete interna, utilizzerai ulteriori livelli di: firewall L3, filtro L7 (ad esempio RPC), IPS / AV.

Anche l'accesso con privilegi minimi tra domini di sicurezza è fondamentale per massimizzare l'efficacia dei controlli di sicurezza.

La prima rappresentazione è OK dal punto di vista della sicurezza?

Consiglierei di no, a causa della mancanza di difesa in profondità. Esiste un unico controllo di accesso tra Internet-DMZ e DMZ-LAN. In genere un'architettura altamente sicura avrebbe una separazione dei fornitori e livelli di controlli di accesso (L3 FW, WAF, IPS, AV, ecc.).

    
risposta data 08.04.2012 - 02:58
fonte
8

Non ci sono assolutamente assoluti in sicurezza.

Da un punto di vista formativo - direi che il primo è più chiaro. Mostra il concetto che il mondo esterno attraversa questi vari livelli e che è più facile colpire la DMZ e presumibilmente ciò che è di stanza c'è meno rischi.

È anche meglio da un punto di vista della difesa a più livelli - come sottolineato in altre risposte molto bene.

Ma è meno pratico dal punto di vista dei costi. E ho visto molte, molte varianti sul diagramma inferiore - tutte le reti di segmentazione per vari motivi, cercando di fare di più con meno per vari costi o altri motivi pratici.

Non credo onestamente che ci sia un "modo giusto" o un "diagramma di destra". I fattori includono:

  • compromesso tra costi e rischi : più livelli di firewall con diversi fornitori sono decisamente più sicuri, ma anche più costosi. A deve avere per un alto valore / operazione ad alto rischio. Overkill per un'operazione a basso valore / a basso rischio - in quanto non è solo costoso da acquistare, ma anche da mantenere, e devi valutare il fattore umano nel mantenere queste cose, e il rischio di lacune e errate configurazioni. Un firewall ben configurato sarà migliore di due firewall che sono spalancati perché la persona che li ha configurati non ne sapeva abbastanza per fare il lavoro giusto!

  • chiarezza - che aspetto ha realmente la rete? Se c'è un solo firewall, si prega di disegnare il diagramma di conseguenza, non lasciare la gente a caccia di un secondo firewall. A meno che non si stia parlando di un livello logico e non di uno strato fisico, nel qual caso entrambi i "muri" potrebbero essere sullo stesso dispositivo. Il punto di un diagramma è aiutare gli esseri umani a fare cose ... un diagramma è "giusto" o "sbagliato" solo in termini di capacità di soddisfare questo bisogno.

Direi che se il tuo capo sostiene che il suo disegno è il "modo giusto" assoluto - è fuori di testa ... ci sono molti esempi pubblici per contrastarlo.

Se è il modo più chiaro per descrivere la cosa con cui stai lavorando, allora ha ragione.

    
risposta data 18.04.2012 - 18:24
fonte
3

Ripeterò alcune cose che gli altri hanno detto, ma qui va.

Prima di tutto, penserei a quanta sicurezza si desidera , al costo per realizzarlo, e ai problemi che sorgono se qualcosa fallisce e la comunicazione si perde tra la zona sicura e Internet.

Il tuo cenario sembra un po 'più sofisticato, perché ci sono più livelli dal mondo oscuro fino a quando i tuoi dati segreti non vengono raggiunti. Ma aggiunge anche più costi, esistono più punti di errore.

Il secondo cenario è altrettanto sicuro, come il firewall. Ottenere la DMZ compromessa non renderà più facile l'attacco, dal momento che deve passare attraverso il firewall, e il firewall è il pezzo di resistenza in tutto il concetto.

E scusa, ma se la domanda riguardava solo "quale è corretta: due firewall o uno solo?", non sono riuscito a trovare alcun riferimento per decidere.

    
risposta data 16.04.2012 - 22:48
fonte
3

Non sono chiaro su cosa intendi per "rete altamente sicura" architettura ". Dovresti considerare più in dettaglio quali sono le tue obiettivi di sicurezza, requisiti di sicurezza delle informazioni e minacce paesaggio in cui ti stai evolvendo per progettare e implementare controlli di sicurezza appropriati.

Cercherò comunque di rispondere alla tua domanda ad alto livello.

Sì, la prima architettura di sicurezza è OK da un punto di sicurezza di vista in generale. Ci sono variazioni di questa architettura (ad es si collega la DMZ ai firewall esterni e / o interni e / o nel mezzo) ma non credo che sia pertinente alla tua domanda a questo stage.

La mia comprensione è che questa architettura era più popolare in un tempo in cui i firewall avevano più vulnerabilità pubbliche note la loro implementazione che permetterebbe di bypassare o addirittura di sfruttare dei firewall stessi e in assenza di altri mitiganti controlli.

Nell'usare un'implementazione diversa per il tuo esterno e interno firewall, stai solo applicando il principio di selezione naturale a la tua architettura ed è generalmente una buona cosa: se uno l'implementazione è vulnerabile a un attacco specifico, lo stesso attacco potrebbe non lavorare su un'implementazione diversa se i loro rispettivi tratti sono abbastanza dissimile. Si spera che si rimuova un singolo punto di fallimento (dal punto di vista dell'implementazione) della "sicurezza del firewall funzione".

Ovviamente, in base ai requisiti di disponibilità delle informazioni, potrebbe essere necessario considerare il clustering esterno e interno firewall tra le altre cose.

La seconda architettura è valida anche dal punto di vista della sicurezza e Credo che ora sia più popolare del primo (costo aiutare). Hai un potenziale singolo punto di errore del firewall funzione di sicurezza. Tuttavia, la maggior parte delle organizzazioni avrebbe (si spera) realizzato ormai che non si può fare affidamento solo sul proprio firewall servizi di sicurezza. Router / switch / firewall host / ecc. può tutto contribuire alla postura di sicurezza di un'organizzazione che mitiga così alcuni o tutti i danni causati da un compromesso di un (singolo) firewall implementazione. Sembra anche che i firewall siano un po 'più solidi oggigiorno e che gli attacchi si sono spostati su livelli OSI più alti ma più morbidi per esempio. applicazioni.

Considererei la seconda architettura per la maggior parte delle implementazioni. potrei considera la prima architettura in alcune circostanze specifiche inclusi ma non limitati a obiettivi e requisiti di sicurezza, le motivazioni dei potenziali aggressori e, cosa più importante, le risorse.

    
risposta data 17.04.2012 - 18:09
fonte
3

Il rischio è di gran lunga peggiore nel primo diagramma. Fai un passo indietro e leggi i DMZ militari. Sono fondamentalmente luoghi in cui metti le cose a cui non ti interessa proteggere. È una terminologia scadente per cominciare e un'idea obsoleta nell'IT. Ora supponiamo di avere un ambiente molto più grande con diversi livelli di sicurezza, non è possibile lanciare tutti i dati in una zona (molto meno che il malware infettato dal malware sia stato infettato dal pilfer del traffico). Avrai bisogno di più zone di sicurezza (più DMZ se sei collegato a quel termine, io li chiamo segmenti sicuri). Come aggiungerebbe diciamo 20 diverse zone di sicurezza per ciascuno dei diagrammi sopra? Continuate ad aggiungerli in serie in base al loro livello di sicurezza? o aggiungerli in parallelo secondo necessità? Il motivo per cui i firewall più moderni hanno interfacce multiple (alcuni grandi hanno fino a 100 interfacce) è perché aggiungiamo subnet sicure in parallelo. In un ambiente ad alta sicurezza potresti avere zone di sicurezza separate per i server web e i server DNS rispetto ai server di posta, ecc. In questo modo se i tuoi server web sono di proprietà dell'attaccante non hai ottenuto ulteriori motivi per compromettere il tuo server di posta o qualsiasi altra cosa . Allo stesso modo, se un fornitore di servizi che ospita una dozzina di client collocati può mettere ciascuno dietro un'interfaccia diversa in modo che non possano attaccarsi l'un l'altro (o diffondere worm) in modo diverso dall'attacco tramite Internet. Scorri alcuni dei grandi siti Web dei fornitori (Cisco e Juniper) e consulta la documentazione sui firewall più grandi e su quante interfacce supportano. Vorreste comunque firewall interni e Firewall di applicazioni Web (WAF) come Imperva (o proxy mod_security), ma anche queste aree interne dovranno essere segmentate e suddivise in compartimenti stagni. Il vecchio diagramma a sandwich (architettura IT anni '70 -'80) è un importante sistema di sicurezza FAIL e deve essere eliminato.

    
risposta data 18.04.2012 - 05:28
fonte
2

Sì, oltre alla risposta precedente potrei aggiungere un IPS per bloccare gli attacchi che il firewall non catturerebbe poiché quegli attacchi avrebbero come target le porte aperte.

    
risposta data 08.04.2012 - 02:12
fonte
2

Il tuo capo ha ragione.

La prima rappresentazione presenta molti problemi o punti deboli.

  1. HA (alta disponibilità): avrai bisogno di 4 FW (2 esterni e 2 interni) = $$$
  2. Gestione: 'considerato più sicuro in quanto è possibile utilizzare due diversi tipi di firewall' ... un sacco di spese generali di gestione (aggiornamento, regole, registrazione, licenze). Se non ti fidi del tuo FW e ne hai bisogno di un altro da un produttore diverso, hai un problema !!!
  3. IP: questo design può essere un incubo con natting, routing, ecc.
  4. Rischio: in questo progetto, un host DMZ compromesso si trova in un luogo adatto per sniffare e man-in-the-middle-attack contro gli utenti nella zona LAN.

Nella vita reale, il secondo design è più sicuro e semplice del primo.

  1. HA (alta disponibilità): hai solo bisogno di un altro FW.
  2. Gestione: una sola casella da gestire
  3. IP: punto singolo per gestire il traffico per il routing o l'annidamento
  4. Rischio: se un host nella DMZ è compromesso, questa minaccia è contenuta nella DMZ
risposta data 12.04.2012 - 03:01
fonte
2

Dipende dal tipo di architettura di rete del tuo edificio.

Il primo esempio è ideale per situazioni come l'hosting di una grande app web, si crea sicurezza con i livelli, in modo da bilanciamento livello, livello applicazione, livello dati, ciascuno protetto da diverse misure di sicurezza, ma funziona da solo reti affidabili.

Nel secondo esempio esattamente come è descritto, con una LAN sospesa. Inoltre, questa opzione è ideale per le situazioni in cui devi essere in grado di modellare il traffico per garantire QoS.

Quindi, per rispondere alla tua domanda, entrambi sono validi ed entrambi hanno i propri vantaggi, non c'è un proiettile d'argento.

    
risposta data 16.04.2012 - 23:40
fonte
2

La maggior parte degli ingegneri del Firewall ha per lo più implementato il secondo modello di diagramma poiché un set di firewall è meno costoso, più facile da configurare e amp; gestire. È possibile utilizzare ciascuna porta sul firewall per la connessione fisica all'esterno, all'interno e ogni DMZ o utilizzare il multi contesto (molto simile a VM) in ambienti virtualmente separati. Utilizziamo il 2 ° modello nei nostri data center più piccoli e usiamo il 1 ° modello con multi FW nei nostri data center aziendali. I revisori amano il 1 ° modello per le sedi aziendali poiché una regola configurata in modo errato sul 2 ° modello può causare un utente malintenzionato che ha assunto il controllo del proprio server DMZ, forse ottenere il controllo all'interno della rete. Questo è molto più difficile con il 1 ° modello, in quanto un attaccante deve passare attraverso due serie di firewall per arrivare all'interno. Un amministratore del firewall potrebbe commettere un errore, magari per test su un firewall ma non su due (di solito). Abbiamo appena implementato i firewall multipli la scorsa settimana. Con Firewall su Internet, collegarsi a multi DMZ e Load Balancer ... e all'interno di firewall, connettendosi allo stesso DMZ / Load Balancer. Anche il secondo / firewall interno ha un multi contesto all'interno. Che fornisce il firewall tra WAN, produzione e nessuno degli ambienti di produzione ... dove i server di produzione possono accedere a qualsiasi cosa, ma la WAN può accedere ai server di produzione su www e https (ecc.) O consentire l'accesso RDP agli amministratori per arrivare ai server di produzione e DEV / QA all'interno del Firewall.

    
risposta data 19.04.2012 - 02:21
fonte
1

La risposta alla domanda su quale dei due progetti è "giusto" può basarsi solo sui requisiti posti alla soluzione progettata. In quanto tali, entrambi i modelli presentano vantaggi e svantaggi, ma in realtà si tratta di DUE PRIMARI DRIVER DI BUSINESS DIFFERENTI:

Se l'azienda sta facendo dei requisiti con affermazioni come:

"Abbiamo bisogno di un progetto di sicurezza Internet / DMZ che sia ...
* economicità, costo più basso, design semplice e semplice, semplice da gestire, economico e amp; protezione sporca, adeguata ... * ecc. "

Quindi il 3-LEGGED FW (esempio # 2) sarà il modello che dovresti usare come base per il tuo progetto. E in un mondo in cui "SAVE $$$" "Riduci i costi" sono spesso i driver numero 1, è il fattore principale per cui il design a 3-LEGGED FW è di gran lunga il più popolare, anche per le organizzazioni più grandi.

Se l'azienda sta facendo dei requisiti con affermazioni come:

"Abbiamo bisogno di un progetto di sicurezza Internet / DMZ che sia ...
altamente / estremamente sicuro, offre la migliore protezione Internet indipendentemente dal costo, la protezione dei nostri sistemi aziendali interni è UN MUST ... ecc. "

Quindi il modello FW-Sandwich / 2-Teir FW / Layered DMZ (esempio # 1) è quello che dovresti usare come base per il tuo progetto. Il motivo è estremamente semplice ... La sicurezza DMZ a strati aggiunge ulteriori ostacoli esclusivi all'ingresso per l'hacker di Internet. Se supera il primo FW, atterra allo strato successivo, e il successivo, e quindi il backend Internal FW prima che sia finalmente arrivato ai gioielli-corona dei dati aziendali. Il modello 3-LEGGED FW è uno strato di protezione per cui se viene compromesso un FW scarsamente configurato male, ha accesso diretto alla rete interna. BAD!

I miei progetti precedenti sono più complessi di un FW anteriore e posteriore. In un design ISP / DMZ estremamente sicuro, ho architettato FW, IPS, rete VIP anteriore, bilanciamento del carico VIP DMZ, reti di Farm privato, quindi gli FW di front-end Internal Facing. Ognuno di questi livelli aggiunge un'ulteriore barriera aggiuntiva all'ingresso per l'hacker. Inoltre, stabiliamo regole di progettazione efficaci che stabiliscono "un livello nel design deve comunicare solo con il livello successivo e non ignorarlo come scorciatoia"

Questo design è sicuramente più costoso, ma per le grandi aziende in cui devono essere protetti i database bancari, finanziari, di grandi dimensioni delle informazioni dei clienti, ecc. sarebbe sciocco usare un FW a 3 zampe che lo rende l'unica barriera tra hacker e questi gioielli della corona.

    
risposta data 26.06.2013 - 20:04
fonte
-3

La prima opzione è sbagliata perché trasformerai il firewall in un router ei firewall non dovrebbero essere router. La seconda opzione è buona, ma è possibile aggiungere quel secondo firewall a Internet, ma mantenere la DMZ sul firewall interno.

DC

    
risposta data 07.04.2014 - 21:58
fonte

Leggi altre domande sui tag