Impostazione della rete "interna" tra più server?

2

Quindi ho alcuni server che gestiscono cose diverse. Uno è per un sito web rivolto al futuro, uno è un sito Web utilizzato internamente e alcuni server che ospitano i database.

Sono in procinto di scrivere un micro-servizio che verrà utilizzato sia dal sito web frontale che da quello interno. Qualsiasi traffico tra server e questo micro-servizio dovrà essere crittografato e il micro-servizio non dovrebbe essere accessibile dal mondo esterno.

Non sapendo come si fa normalmente, sembrerebbe che impostare una VPN sia la mossa corretta su come proteggere questo tipo di traffico tra server. (Se questa ipotesi è sbagliata e ci sono soluzioni migliori, fatemelo sapere.) L'impostazione di questo genere di cose avrebbe anche il vantaggio di avere i DB accessibili solo a coloro che hanno accesso alla VPN (attualmente gestita dall'autenticazione del DB strategia).

Dopo aver studiato soluzioni VPN, OpenVPN sembrava essere uscito in cima. Sembra offrire la massima sicurezza e sembra funzionare su server Linux senza troppi problemi.

La mia domanda è: qual è la maggior parte delle impostazioni di OpenVPN quando si tratta di un gruppo di server, un server di autenticazione principale e i membri della rete? O dovresti avere più server e configurarli per utilizzare lo stesso certificato? Una volta che ti sei autenticato alla VPN, puoi stabilire connessioni dirette ad altri server che si trovano sulla rete?

Sto immaginando una situazione del genere:

server1 = VPNServer
server2 = VPNClient - Website
server3 = VPNClient - Service
server4 = VPNClient - DB

Supponiamo che server2 e server4 debbano trasmettere dati, la connessione andrà direttamente da server2 > server4 , o il traffico effettivo sembrerà server2 > server1 > server4 ? Oppure è impostato in modo che, una volta autenticato sulla VPN, tutti i membri della VPN siano quindi direttamente accessibili?

Ho una vaga comprensione di come funzionano le VPN, ma questa comprensione ovviamente si rompe quando si tratta di avere più membri sulla rete.

Come sto immaginando di configurare la VPN al momento (mi dispiace per la bassa qualità):

    
posta AlbertEngelB 25.02.2015 - 23:52
fonte

1 risposta

1

Il tuo diagramma è quasi azzeccato per alcuni dei metodi più comuni. I server 3 e 4 si trovano in quella che viene definita DMZ o rete privata protetta. Il server 2 è ridondante ma, a seconda della situazione e del livello di sicurezza che è necessario applicare, potrebbe avere un ruolo. Per questa spiegazione, lo rimuoverò poiché creerà complicazioni quando provo ad amministrare il server # 2.

Un metodo che potresti prendere in considerazione per fare in modo che funzioni:

  • Rendi server2 un server "multi-home". La sua nicchia principale è collegata al pubblico o alla rete pubblica dietro un firewall. Quindi, una seconda NIC che è ospitata su una rete privata interna. (es .: public public 205.205.205.3, private nice, 192.168.2.3)
  • Il tuo dispositivo VPN è anche multi-homed (solitamente fuori dalla scatola vengono in questo modo) e può essere usato per connettere la rete pubblica alla rete privata tramite una tecnologia VPN come IPSEC o PPTP (vecchia tecnologia microsoft vpn ) dalla rete pubblica e consentono di controllare chi ha accesso a questa rete privata. Questo può essere completamente indipendente da server2 ma consentirebbe di collegarsi anche alla seconda nic di server2. (es .: public public 205.205.205.2, private nic 192.168.2.2)
  • I server 3 e 4 sono di tipo privato solo come 192.168.2.4 e 192.168.2.5
  • firewall / router pubblico prima del server 2 dall'ISP potrebbe essere 205.205.205.1
  • L'aggiunta di una propria rete interna pubblica come 10.1.1.0/24 dietro un firewall consente di controllare molto il modo in cui le porte vengono mappate ai server nel caso in cui si abbiano più macchine pubbliche in futuro. Di nuovo un argomento importante, ma un punto di partenza da prendere in considerazione.

Sul server # 2, la maggior parte del software consente di controllare quale IP risponde anche al servizio o è possibile configurare un firewall su server2 per consentire solo determinati traffico dalla rete pubblica come la porta 80 e nessun filtro sulla nic interna come esempio . Raccomanderei almeno un firewall hardware tra il server 2 e la rete pubblica. In questo modo, anche un server compromesso non può ancora rispondere a una porta pubblica a meno che il firewall hardware non lo consenta.

Inoltre, per chiarezza, database e altre chiamate di servizio dal server n. 2 passano direttamente dalla nic n. 2 (il network privato nic) alle macchine di destinazione. In un ambiente ad alta sicurezza, questo può comportare altri firewall tra queste macchine, ma questo entra in un livello di protezione che va oltre lo scopo di questa risposta. A meno che tu non stia lavorando con dati bancari o dati hippa, probabilmente è eccessivo. Tuttavia, dipende dalle politiche di sicurezza dei dati del tuo cliente.

Posso aggiungere ulteriori dettagli in base al feedback. Questo può essere un argomento enorme ma spero che questo ti aiuti ad iniziare.

    
risposta data 26.02.2015 - 21:03
fonte

Leggi altre domande sui tag