Intercambio de datos DMZ y LAN: ¿en qué dirección se deben hacer las conexiones?

3

Al configurar servicios en la DMZ para intercambiar datos con la LAN interna, qué escenario sería más seguro:

DMZ service pushes data to LAN service

o

LAN service pulls data from DMZ service

Lo que sería más seguro, exponer el servicio que se ejecuta en DMZ para aceptar conexiones de LAN o preparar el servicio de LAN para poder aceptar conexiones de DMZ.

Existen diferentes arquitecturas, algunas usan un solo firewall y otras usan una configuración de dos firewall.

    
pregunta m1k3y02 03.10.2012 - 11:23
fuente

2 respuestas

3

Lo que realmente estás preguntando es en qué dirección se pueden abrir las conexiones TCP, ya que eso es lo que hay que poner en las reglas de firewall con estado. El objetivo de tener una DMZ es proporcionar una zona de amortiguamiento que limite la propagación de malware y evite que los sistemas pirateados accedan a los sistemas internos, por lo que permitir que los sistemas DMZ se conecten a los sistemas en la LAN es un riesgo inherente. Es más seguro permitir que los sistemas LAN abran conexiones a sistemas DMZ ya que es difícil propagar malware o hackear sistemas a través de conexiones abiertas a un sistema. Eso no significa que nunca pueda permitir que la DMZ se conecte a la LAN, a veces es inevitable, pero debería ser lo menos posible.

    
respondido por el GdD 03.10.2012 - 11:29
fuente
2

Además de la respuesta de @GdD, algunas conexiones deben abrirse desde la DMZ a la LAN, por ejemplo, una conexión de servidor web a una aplicación o servidor de base de datos.

El usuario hace clic en un botón del sitio web que activa una búsqueda en la base de datos para devolver información.

Como permitir que las conexiones se realicen fuera de la DMZ es un mayor riesgo (un atacante que comprometa al servidor en la DMZ puede comenzar a abusar de las conexiones) lo que usted hace es colocar controles sobre lo que pueden hacer estas conexiones. En este caso, usaría un firewall para limitar la conexión a un puerto específico ya la dirección IP específica del servidor de la base de datos, y el servidor en sí estaría configurado para ejecutar solo una breve lista de procedimientos almacenados que ya han sido examinados por riesgo .

Debido a que la DMZ es una zona de alto riesgo, la arquitectura que use debe ser apropiada para lo que desea usar. Eche un vistazo a esta pregunta sobre las mejores prácticas de DMZ para obtener ejemplos.

    
respondido por el Rory Alsop 03.10.2012 - 14:16
fuente

Lea otras preguntas en las etiquetas