Conectando redes confiables y no confiables

Navega tus respuestas
2

Tenemos dos dominios que están aislados. El primer dominio es Corp LAN, el segundo es una red hostil no confiable con clientes no confiables que podrían contener malware.

Los clientes en la red no confiable crean informes que los usuarios deben leer en la LAN de Corp. Actualmente, los informes se copian de la red no confiable a un USB escaneado por el corp. AV luego se copió en el Corp LAN.

Nos gustaría eliminar la necesidad de la transferencia USB y simplificar el proceso.

Si colocamos un servidor de seguridad en el borde de la red no confiable y un servidor de seguridad en el borde de la LAN de Corp., entonces entre los servidores de seguridad alojan un servidor de almacenamiento en el que se pueden almacenar los archivos. Luego podríamos abrir el firewall de la LAN de Corp. para permitir que los usuarios accedan a los archivos.

¿Es esta buena práctica? ¿Cuál es el riesgo del malware que espera de un dominio a otro? ¿Estamos abriendo nuestro cuerpo? Red a cualquier riesgo?

diagrama:

Las redes están físicamente separadas pero en el mismo campus. La red de Corp está detrás de un firewall existente.

    
pregunta Michael Wych 19.12.2014 - 15:26
fuente

2 respuestas

1

No necesariamente necesitas dos cortafuegos separados para lograr esto.

Sin embargo, sin ver un diagrama de su topología de red actual, es difícil hacer recomendaciones.

Mencionas dos LANS separadas. ¿Están separados lógica o físicamente?

Menciona copiar archivos en una unidad USB y mover los datos a una máquina en la otra red. Eso me hace pensar que las dos redes comparten proximidad física. (a menos que esté enviando la unidad USB)

También supondré que al menos una de estas redes está ya detrás de un firewall.

La DMZ se puede alojar de forma segura desde el firewall existente. No son necesarios dos firewalls separados para mantener una DMZ segura.

Recomendaría alojar un servidor SFTP en la DMZ. Por lo general, SFTP se ejecuta en el puerto 22. La política de firewall se configurará de modo que el servidor SFTP no pueda iniciar el tráfico a ninguna de las redes.

Técnicamente puede ser más seguro debido a los exploits recientes con unidades USB que no se pueden reparar . (También vea: enlace )

El (leve) aumento en la posible superficie de ataque provendría del servidor SFTP si se descubriera una vulnerabilidad que pudiera comprometer el SFTP. Sin embargo, tenga en cuenta que, como se mencionó anteriormente, el servidor SFTP aún no podrá iniciar la comunicación con la red de confianza.

    
respondido por el k1DBLITZ 19.12.2014 - 16:26
fuente
1

Entonces, lo que estás describiendo es una DMZ o zona desmilitarizada. Esta es una forma común y ampliamente aceptada para alojar varios servicios diferentes. Como servidores web, servidores de correo, servidores FTP de forma segura.

Esencialmente para su caso de uso particular y de lo que sugirió, tal vez el uso de una DMZ de arquitectura de Firewall dual con un servidor FTP sea la mejor manera de hacerlo

Debido a que DMZ actúa como una zona de búfer entre la red de área local e Internet, es una red menos segura que la red interna.

Por esta razón, hay medidas de seguridad adicionales que se toman para un host DMZ que incluyen, deshabilitar servicios innecesarios, ejecutar los servicios necesarios con los privilegios reducidos, eliminar cualquier cuenta de usuario innecesaria y asegurarse de que la DMZ tenga la última seguridad Actualizaciones y parches.

El beneficio adicional del segundo firewall es que, como usted conoce a la compañía de la que espera los datos, puede incluirlos en la lista blanca para acceder al firewall. Lo que reduce el riesgo de que un servidor SFTP sin parchear sea explotado. Aunque no completamente, ya que la compañía externa todavía puede usarse para lanzar el exploit.

    
respondido por el John 19.12.2014 - 15:47
fuente

Lea otras preguntas en las etiquetas

¿Cómo crear Firefox portátil y seguro? ¿Cómo obtengo un certificado de cliente ssl firmado por un tercero?