Progettazione DMZ (s) [chiuso]

Question

Progettazione DMZ (s) [chiuso]

Naviga le tue risposte

#1 da (2 voti)

-1

Mi chiedevo quale sarebbe stato il modo corretto di isolare i server per proteggerli e noi da troppi danni.

Abbiamo due scenari:

1) Accesso al server delle applicazioni dal mondo

Abbiamo

un proxy Apache distribuisce l'accesso ai server applicazioni Tomcat,
Server delle applicazioni Tomcat, nonché
Server DB a cui si accede da Tomcats.

Che cosa farei:

Metti il proxy dietro un primo firewall.
Metti i server Tomcats e DB dietro un secondo firewall.

In questo caso se il proxy è stato violato, nessuna connessione al DB sarebbe stata possibile almeno.

Tuttavia, cosa è più probabile? Il proxy Apache viene hackerato o il Tomcat?

Se questo fosse per es. un problema di iniezione SQL, in che modo il proxy proteggerà il Tomcat dietro ad esso? Probabilmente no.

La domanda sorge spontanea: oltre a essere distrutto da una verifica che scoprirà che non ci sono affatto firewall, cosa stiamo cercando di proteggere comunque? Nel caso in cui il livello dell'applicazione venga compromesso, posso installare tutti i firewall del mondo. Non ti aiuteranno.

2) Servizi di infrastruttura come syslog, dns, ntp, mail, lo chiami.

I server nelle DMZ potrebbero aver bisogno di questi servizi.

Si potrebbe mettere il server syslog in una propria DMZ (lasciare syslog in da qualsiasi parte ma niente fuori)?

In effetti, per essere sicuri, potresti mettere ogni server nella sua DMZ, ma naturalmente sarebbe di nuovo eccessivo ... E se il server syslog ha bisogno di inviare mail perché genera rapporti sui log che trasporta ?

E il DNS? Beh, non dovresti aver bisogno di DNS interni perché non hai accesso alle risorse interne. Tutto ciò che è necessario accedere a te è possibile utilizzare l'IP o una voce nel file hosts.

E NTP? Si potrebbero fare quelle richieste su Internet ...

Andiamo, cosa ne pensi di queste riflessioni e di quei 2 scenari in particolare?

network

posta Marki 17.12.2012 - 18:39

fonte

1 risposta

Leggi altre domande sui tag network

Quali sono i passaggi corretti per configurare questa esecuzione di exploit (jboss_invoke_deploy)? Utilizzo di ModSecurity come modalità trasparente

score 2 · Accepted Answer

Non esiste un'unica risposta corretta, dipende molto dal volume del traffico, dalle politiche di sicurezza e dalla struttura interna della rete. Risponderò semplicemente come lo farei a livello generale.

1) Se il ruolo del proxy è solo quello di bilanciamento del carico e cache, è possibile mettere server proxy e app sulla stessa rete DMZ. Quindi creare una rete DMZ separata per i server DB. Il DB è dove sono le tue risorse, quindi in questo senso merita una rete isolata da tutte le altre reti. È possibile utilizzare indirizzi privati nel DMZ del server DB, ma trattarlo come rete DMZ. Con questo intendo segmento di rete separato e interfaccia sul firewall. Se si utilizzano i server proxy e app anche per altri servizi, sarebbe possibile separare i proxy dalla propria rete DMZ. La rete modulare altamente segmentata richiederà più throughput dal firewall, ma aumenterà la sicurezza e scalerà meglio per il futuro. Direi che il server delle applicazioni è più vulnerabile del proxy, ma lo conterei comunque nella stessa categoria in base al loro ruolo e quindi al server DB nella sua categoria e alla rete DMZ separata.

Se stai prendendo più di 1 GB / sec di traffico, è ragionevole ripensare l'architettura e probabilmente abbandonare completamente il firewall.

2) Non mi preoccuperei troppo di syslog, NTP e SMTP, questi sono protocolli piuttosto vecchi con implementazioni ben note. In questi casi è possibile consentire ai dispositivi DMZ di utilizzare gli stessi servizi utilizzati dai dispositivi interni. Molte persone diranno che DMZ non dovrebbe aprire connessioni verso le reti interne, ma non vedo problemi quando utilizzo questo tipo di protocolli. I benefici superano il piccolo rischio per la sicurezza.

Se si desidera separare il DNS e non si dispone di server DNS pubblici per la risoluzione di indirizzi esterni, è sufficiente acquistare il servizio resolver DNS dall'ISP o da un altro fornitore di servizi. Non dovrebbe costare troppo e fornirà una sicurezza extra.