Arquitectura de red pública DMZ

Los dos son funcionalmente equivalentes: la DMZ se encuentra efectivamente en un emparedado, ya que tiene que tener conexiones desde el mundo exterior con firewall, pero también tiene firewalls que restringen el acceso a la red interna.

Mientras que el último diagrama es a menudo lo que sucede (por razones de costo, necesita menos cortafuegos), el primero se considera más seguro, ya que puede usar dos marcas diferentes de cortafuegos, lo que ayuda a evitar un ataque al cortafuegos que los viola. Cuando usa un firewall, usa conjuntos de reglas para cada dirección y cada conexión, y funcionalmente, esto es lo mismo que los conjuntos de reglas en el segundo ejemplo.

Esto es solo una leve mejora en la seguridad, ya que generalmente no atacas los firewalls; usas los puertos abiertos para atravesar directamente el servidor web, el servidor de correo o incluso para pasar directamente a atacar la base de datos, pero las capas De seguridad toda la ayuda.

¿Cómo se debe colocar una DMZ en una arquitectura de red altamente segura?

La clave es la defensa en profundidad entre los dominios de seguridad. El alcance de la arquitectura implementada dependerá de los recursos disponibles, incluidas las limitaciones financieras y las capacidades técnicas.

Defensa en profundidad

Defensa en profundidad es un concepto de seguridad de la información (IA) en el que Se colocan múltiples capas de controles de seguridad (defensa) a lo largo de Un sistema de tecnología de la información (TI). Es una táctica de capas, para mitigar las consecuencias de un solo control de seguridad que falla. Wikipedia

Dominios de seguridad

Un dominio de seguridad es el factor determinante en la clasificación de un enclave de servidores / computadoras. Una red con un dominio de seguridad diferente se mantiene separada de otras redes. Wikipedia

Implementación

A los efectos de determinar los controles entre dominios de seguridad que podría definir; Internet como no confiable, DMZ como semi-confiable y redes internas como confiable.

Por lo tanto, emplearía varias capas de controles de seguridad entre Internet y su DMZ, que podrían incluir: cortafuegos L3, IPS, AV, proxy inverso / equilibrio de carga, filtrado L7.

Desde el (los) host (s) de DMZ a su red interna, emplearía capas adicionales de: cortafuegos L3, filtrado L7 (por ejemplo, RPC), IPS / AV.

El acceso de privilegios mínimos entre dominios de seguridad también es clave para maximizar la efectividad de los controles de seguridad.

¿La primera representación es correcta desde un punto de vista de seguridad?

Yo aconsejaría no, debido a la falta de defensa en profundidad. Solo hay un control de acceso único entre Internet-DMZ y DMZ-LAN. Por lo general, una arquitectura altamente segura tendría separación de proveedores y capas de controles de acceso (L3 FW, WAF, IPS, AV, etc.).

No hay absolutamente ningún absoluto en seguridad.

Desde una perspectiva de entrenamiento, diría que lo primero es más claro. Muestra el concepto de que el mundo exterior atraviesa estas distintas capas y que es más fácil llegar a la zona DMZ y, presumiblemente, lo que está estacionado allí es un riesgo menor.

También es mejor desde un punto de vista de defensa en capas, como se señala en otras respuestas muy bien.

Pero es menos práctico desde el punto de vista del costo. Y he visto muchas, muchas variantes en el diagrama inferior, todas las redes de segmentación por varias razones, tratando de hacer más con menos por varios costos u otras razones prácticas.

Honestamente, no creo que haya una "forma correcta" o un "diagrama correcto". Los factores incluyen:

• Compensación de costo frente a riesgo : las múltiples capas de firewalls con diversos proveedores son definitivamente más seguras y también más caras. A debe tener para una operación de alto valor / alto riesgo. Exagerar para una operación de bajo valor / bajo riesgo, ya que no solo es costoso comprar, sino también mantener, y usted debe sopesar el factor de los humanos que mantienen estas cosas, y el riesgo de brechas y configuraciones erróneas. ¡Un firewall bien configurado será mejor que dos firewalls que están abiertos porque la persona que los configura no sabía lo suficiente para hacer el trabajo correctamente!

• claridad : ¿cómo se ve realmente la red? Si solo hay un servidor de seguridad, dibuje el diagrama correspondiente, no deje que la gente busque un segundo servidor de seguridad. A menos que esté hablando de una capa lógica y no de una capa física, en cuyo caso ambas "paredes" pueden estar en el mismo dispositivo. El objetivo de un diagrama es ayudar a los humanos a hacer cosas ... un diagrama es "correcto" o "incorrecto" solo en términos de su capacidad para satisfacer esta necesidad.

Diría que si su jefe afirma que su dibujo es la "manera correcta" absoluta, está loco ... hay muchos ejemplos públicos para contrarrestar eso.

Si es la forma más clara de describir con qué estás trabajando, entonces tiene razón.

Repetiré algunas cosas que otros han dicho, pero aquí va.

Primero que nada, me gustaría pensar en cuánta seguridad se desea , el costo para lograrlo y los problemas que surgirán si algo falla y la comunicación se pierde entre la zona segura. y el internet.

Su escenario parece un poco más sofisticado, porque hay más capas del mundo oscuro hasta que se alcanza su información secreta. Pero también agrega más costos, existen más puntos de falla.

El segundo escenario es tan seguro como el firewall. Lograr que la DMZ se vea comprometida no hará que sea más fácil atacar, ya que tiene que atravesar el firewall, y el firewall es la pieza de resistencia en todo el concepto.

Y lo siento, pero si la pregunta fuera solo sobre "cuál es la correcta: ¿dos firewalls o una sola?", no pude encontrar ninguna referencia para decidirlo.

No tengo claro lo que quiere decir con una "red altamente segura arquitectura ". Debería considerar con más detalle cuáles son sus Objetivos de seguridad, requisitos de seguridad de la información y las amenazas. Paisaje en el que estás evolucionando para diseñar e implementar. controles de seguridad apropiados.

Sin embargo, intentaré responder tu pregunta a un alto nivel.

Sí, la primera arquitectura de seguridad está bien desde un punto de seguridad de vista en general Hay variaciones de esta arquitectura (por ejemplo, hacer conecta la DMZ a los cortafuegos externos y / o internos y / o intermedio) pero no creo que sea relevante para su pregunta en esta etapa.

Entiendo que esta arquitectura solía ser más popular en un momento en que los cortafuegos tenían múltiples vulnerabilidades públicas conocidas en Su implementación permitiría eludir o incluso explotar. de los cortafuegos en sí mismos y en ausencia de otras medidas de mitigación. controles.

En el uso de una implementación diferente para su externo e interno cortafuegos, solo está aplicando el principio de selección natural a su arquitectura y es generalmente una buena cosa: si uno La implementación es vulnerable a un ataque específico, el mismo ataque puede no trabajar en una implementación diferente si sus rasgos respectivos son bastante diferente Esperamos que estés eliminando un solo punto de fallo (desde una perspectiva de implementación) de la "seguridad del firewall función ".

Por supuesto, dependiendo de sus requisitos de disponibilidad de información, Es posible que deba considerar agrupar sus recursos externos e internos. cortafuegos entre otras cosas.

La segunda arquitectura también es válida desde una perspectiva de seguridad y Creo que ahora es más popular que el primero (costo ración). Tiene un posible punto único de falla del firewall Función de seguridad. Sin embargo, la mayoría de las organizaciones tendrían (con suerte) Ya se ha dado cuenta de que no puede confiar en su firewall solo para proporcionar servicios de seguridad. Enrutadores / conmutadores / cortafuegos host / etc. puede todo contribuir a la postura de seguridad de una organización mitigando así algunos o todos los daños causados por el compromiso de un (único) firewall implementación. También parece que los firewalls son un poco más sólidos. hoy en día y que los ataques se han desplazado a capas OSI más altas pero más suaves p.ej. aplicaciones.

Consideraría la segunda arquitectura para la mayoría de las implementaciones. Yo puedo Considerar la primera arquitectura en algunas circunstancias específicas. Incluyendo pero no limitado a los objetivos y requisitos de seguridad, Motivaciones de los posibles atacantes y, lo que es más importante, recursos.

El riesgo es mucho peor en el primer diagrama. Retroceda un paso y lea acerca de las zonas militares de DMZ. Básicamente, son lugares en los que colocan cosas que no le importa proteger. Para empezar, es una mala terminología y una idea obsoleta en TI. Ahora digamos que usted tiene un entorno mucho más grande con diferentes niveles de seguridad, no puede tirar todos los datos en una zona (y mucho menos permitir que su robo de tráfico LAN infectado con malware lo haya pensado). Necesitará múltiples zonas de seguridad (múltiples DMZ si está vinculado a ese término, yo las llamo segmentos seguros). ¿Cómo agregaría, por ejemplo, 20 zonas de seguridad diferentes a cada uno de los diagramas anteriores? ¿Continuar agregándolos en serie según su nivel de seguridad? ¿O agregarlos en paralelo según sea necesario? La razón por la que la mayoría de los firewalls modernos tienen múltiples interfaces (algunas grandes tienen hasta 100 interfaces) es porque agregamos subredes seguras en paralelo. En un entorno de alta seguridad, es posible que tenga zonas de seguridad separadas para los servidores web en comparación con los servidores dns en comparación con los servidores de correo, etc. De esa manera, si sus servidores web son de su propiedad, el atacante no tiene ningún fundamento adicional para comprometer su servidor de correo o cualquier otra cosa . Del mismo modo, si su proveedor de servicios aloja una docena de clientes combinados, puede poner a cada uno detrás de una interfaz diferente para que no puedan atacarse entre sí (o propagar gusanos) de manera diferente a los ataques a través de Internet. Busque en algunos de los sitios web de grandes proveedores (Cisco & Juniper) y mire la documentación sobre sus firewalls más grandes y cuántas interfaces admiten. Seguirá queriendo firewalls internos y firewalls de aplicación web (WAF) como Imperva (o mod_security proxies) pero incluso estas áreas internas deberán segmentarse y compartimentarse. El antiguo diagrama de sándwich (arquitectura de TI de los años 70 y 80) es un gran error de seguridad y debe desaparecer.

Sí, además de la respuesta anterior, podría agregar un IPS para bloquear ataques que el cortafuegos no detectaría, ya que esos ataques apuntarían a los puertos abiertos.

Tu jefe tiene razón.

La primera representación tiene muchos problemas o debilidades.

1. HA (alta disponibilidad): necesitará 4 FW (2 externos y 2 internos) = $$$
2. Administración: 'considerado más seguro ya que puede usar dos marcas diferentes de firewall' ... una gran cantidad de gastos generales de administración (actualización, reglas, registro, licencias). Si no puede confiar en su FW y necesita un fabricante de otro fabricante, tiene un problema.
3. IP: este diseño puede ser una pesadilla con natting, routing, etc.
4. Riesgo: en este diseño, un host DMZ comprometido se encuentra en un lugar agradable para rastrear y atacar a los usuarios en la zona LAN.

En la vida real, el segundo diseño es más seguro y simple que el primero.

1. HA (alta disponibilidad): solo necesitas otro FW.
2. Administración: solo una caja para administrar
3. IP: punto único para gestionar el tráfico para enrutar o anular
4. Riesgo: si un host en la DMZ está comprometido, esta amenaza está contenida en la DMZ

Depende del tipo de arquitectura de red de su edificio.

El primer ejemplo es ideal para situaciones como el hospedaje de una aplicación web grande, puede aumentar la seguridad en sus capas, por lo que el nivel de equilibradores, el nivel de aplicación, el nivel de datos, cada uno de ellos con firewall con diferentes medidas de seguridad, redes de confianza.

En el segundo ejemplo, exactamente cómo se describe, con una LAN colgando. Además, esta opción es ideal para situaciones en las que necesita poder configurar el tráfico para garantizar la calidad del servicio.

Entonces, para responder a su pregunta, ambas son válidas y ambas tienen sus propias ventajas, no hay una única bala de plata.

La mayoría de los ingenieros de Firewall han implementado el segundo modelo de diagrama, ya que un conjunto de firewalls es menos costoso, más fácil de configurar y amplificado; gestionar. Puede utilizar cada puerto en el firewall para la conexión física con el exterior, el interior y cada DMZ o usar el contexto múltiple (como el VM) para segregar virtualmente los entornos. Usamos el segundo modelo en nuestros centros de datos más pequeños y utilizamos el primer modelo con varios FW en nuestros centros de datos empresariales. A los auditores les encanta el primer modelo para ubicaciones empresariales, ya que una regla mal configurada en el segundo modelo puede causar que un atacante que haya tomado el control de su servidor DMZ, tal vez obtenga el control dentro de su red. Esto es mucho más difícil en el primer modelo, ya que un atacante debe pasar por dos conjuntos de cortafuegos para llegar al interior. Un administrador de firewall puede cometer un error, quizás al probar en un firewall pero no en dos (generalmente). Acabamos de desplegar varios cortafuegos la semana pasada. Con los Firewalls en Internet, finalice la conexión a múltiples DMZ y Load Balancers ... y dentro de los firewalls, conectándose a los mismos DMZ / Load Balancers. También el segundo / firewall interno tiene contexto múltiple en el interior. Lo que proporciona firewall entre entornos WAN, producción y no producción ... donde los servidores de producción pueden acceder a cualquier cosa, pero WAN puede acceder a los servidores de producción en www y https (etc.) o permitir el acceso RDP a los administradores para llegar a los servidores de producción y DEV / QA en el interior del cortafuegos.

La respuesta a la pregunta sobre cuál de los dos diseños es "correcta" solo se puede basar en los requisitos impuestos a la solución que se está diseñando. Como tales, ambos modelos tienen ventajas y desventajas, pero realmente se reducen a DOS CONDUCTORES DE NEGOCIO DIFERENTES PRINCIPALES:

Si la empresa está realizando requisitos con declaraciones como:

"Necesitamos un diseño de seguridad de Internet / DMZ que sea ...
* rentable, el costo más bajo, básico, diseño simple, fácil de administrar, barato & sucia, adecuada protección ... * etc. "

Luego, el FW 3-LEGGED (ejemplo # 2) será el modelo que debe usar como base para su diseño. Y en un mundo donde "AHORRE $$$", "Reducir costos" son a menudo los controladores principales, es el factor principal por el que el diseño 3-LEGGED FW es, con mucho, el despliegue más popular, incluso para organizaciones más grandes.

Si la empresa está realizando requisitos con declaraciones como:

"Necesitamos un diseño de seguridad de Internet / DMZ que sea ...
altamente / extremadamente seguro, proporciona la mejor protección de Internet sin importar el costo, la protección de nuestros sistemas corporativos internos es DEBE ... etc. "

Luego, el modelo FW-Sandwich / 2-Teir FW / Layered DMZ (ejemplo # 1) es el que debe usar como base para su diseño. La razón es extremadamente simple ... La seguridad DMZ en capas agrega barreras adicionales adicionales para la entrada del pirata informático de Internet. Si logra pasar el primer FW, aterriza en la siguiente capa y en la siguiente, y luego el Back FW interno antes de llegar finalmente a las joyas de la corona de los datos corporativos. El modelo 3-LEGGED FW es 1 capa de protección, por lo que si se compromete el FW mal configurado / mal configurado, tiene acceso directo a la red interna. ¡MALO!

Mis diseños anteriores son más complicados que un FW delantero y trasero. En un diseño de ISP / DMZ extremadamente seguro, arreglé FW, IPS, la red VIP frontal, los equilibradores de carga VIP de DMZ, las redes de granjas privadas y luego los FW internos de back-end. Cada una de estas capas agrega una barrera de entrada adicional única para que el hacker pueda atravesarla. También establecemos reglas de diseño sólidas que establecen que "una capa en el diseño solo debe comunicarse con la siguiente capa y no debe omitir esa capa como acceso directo"

Este diseño es sin duda más costoso, pero para las empresas a gran escala en las que se DEBE PROTEGER la banca, las finanzas, las grandes bases de datos de información del cliente, etc., sería una tontería utilizar un FW de 3 patas que lo convierte en la única barrera entre Los hackers y estas joyas de la corona.

La primera opción es incorrecta porque convertirás el firewall en un enrutador, y los firewalls no deberían ser enrutadores. La segunda opción es buena, pero puedes agregar ese segundo firewall a Internet, pero mantén el DMZ en el Firewall interno.

DC