Interfaz limpia y sucia en las puertas de enlace DMZ

Navega tus respuestas
3

Tenemos una puerta de enlace de servicios web en DMZ que maneja las solicitudes de servicios web entrantes y salientes en términos de autenticación y seguridad.

Tenemos dos interfaces de red instaladas, se llama "sucia" y se usa para el tráfico hacia y desde Internet. El otro se llama 'limpio' y se usa para el tráfico hacia y desde la intranet. Sin embargo, la interfaz sucia todavía tiene una dirección IP interna. Hay una dirección IP pública configurada en el firewall que realiza NAT para reenviar solicitudes a la interfaz sucia.

Ahora me pregunto cuál es el beneficio de tal arquitectura. ¿Existe realmente una ventaja en tener una interfaz sucia y limpia? Podría ver la ventaja en la seguridad si la interfaz sucia tiene directamente una dirección IP pública, pero en nuestro escenario no obtengo el beneficio de dividir el tráfico limpio y sucio ...

    
pregunta pfust75 08.10.2012 - 09:40
fuente

2 respuestas

2

Ya que su host DMZ es básicamente un firewall, el diseño que describió no tiene sentido, tiene toda la razón. Esto no es mejor que el firewall de una interfaz (que es la arquitectura más débil posible).

Cuando se usa un firewall de 2 interfaces, las dos interfaces están en redes diferentes, por ejemplo, "Internet" y la DMZ o la DMZ y la intranet.

Al mismo tiempo, este diseño confuso no hace ningún daño, quizás se trata de un contratiempo histórico de algún tipo.

    
respondido por el Vitaly Osipov 09.10.2012 - 09:25
fuente
1

La arquitectura de dos interfaces (también conocida como firewall de dos niveles) tiene que ver con la defensa en profundidad para su red interna. El escenario sucio y limpio hace que el tráfico pase por 2 conjuntos diferentes de cortafuegos. Los firewalls orientados a Internet protegen su DMZ contra amenazas externas, mientras que sus firewalls internos protegen su red interna de sistemas DMZ potencialmente comprometidos.

La idea detrás de tener dos conjuntos de firewalls es que si los firewalls orientados a Internet se ven comprometidos, o si alguien abre accidentalmente demasiado acceso, el set interno de firewalls seguirá protegiendo su red central. Muy a menudo, los 2 conjuntos de firewalls serán de diferentes fabricantes, de modo que ningún exploit comprometa ambos conjuntos de firewalls. Con un conjunto de cortafuegos, usted está poniendo todos sus huevos en una canasta.

No es necesario tener interfaces, pero hay ventajas:

  1. Mediciones: mantener el tráfico sucio y limpio por separado significa que puede medir la cantidad de los dos tipos de tráfico
  2. Simplicidad de la red: es algo más fácil mantener el enrutamiento recto con dos interfaces.
  3. Minimice la mezcla de tráfico sucio y limpio: el objetivo es reducir el tráfico que pasa directamente entre los cortafuegos externos e internos. El objetivo es forzar a todo el tráfico a través de un dispositivo para transitar entre los niveles. Idealmente, ningún tráfico viajará directamente entre los cortafuegos internos y externos. El tráfico web pasará por un proxy, por ejemplo. A través de él, mientras más dispositivos tenga el tráfico para viajar, más posibilidades habrá de detener el tráfico malicioso.

La desventaja de esto es una mayor complejidad y gastos de administración. También rara vez hace una diferencia en la seguridad de TI de una empresa, por lo que a menudo parece que es mucho trabajo sin ningún beneficio.

Sin embargo, a menudo hace la diferencia, vale la pena hacer una diferencia. También hace felices a los auditores; necesitaría mucha justificación para demostrar que tener un solo nivel es suficiente para su organización, especialmente porque alguien pensó que su organización necesita, para empezar, dos conjuntos de cortafuegos.

    
respondido por el GdD 08.10.2012 - 10:46
fuente

Lea otras preguntas en las etiquetas

¿Por qué “! - script” en una cadena JS causa una página rota / denegación de servicio para esa página? Diferencia entre sal y relleno aleatorio en criptografía