Ocultar el servidor de registro de DMZ

Question

Ocultar el servidor de registro de DMZ

#1 de AdnanG (1 votos)
#2 de Matrix (-2 votos)

2

Tengo un servidor en mi DMZ que retransmite los mensajes de syslog y OcsInventory a un servidor en una vlan para los servidores de registro.
Para permitir que los paquetes pasen, debo permitir el puerto 80 (OcsInventory) y el puerto 514 udp desde este servidor DMZ a la máquina en el vlan.
Si la máquina en la DMZ estuviera comprometida alguna vez, un atacante tendría acceso completo al puerto 80 y al 514 UDP.
¿Hay alguna forma de permitir solo estas conexiones cuando Syslog / OcsInventory necesita enviar un mensaje?
Puerto golpeando tal vez?
Mejor aún, ¿hay alguna manera de permitir que ciertos procesos en mi servidor DMZ accedan a los puertos remotos?

Cualquier sugerencia es muy apreciada.

port-knocking ports logging iptables

pregunta user2284355 26.09.2013 - 17:44

fuente

2 respuestas

Lea otras preguntas en las etiquetas port-knocking ports logging iptables

Compartir archivos de audio de forma segura Acceso relajado a tcpdump

score 1 · Answer 1

P: ¿Hay alguna manera de permitir que ciertos procesos en mi servidor DMZ accedan a los puertos remotos?

A: Necesita un buzón UTM o un firewall de próxima generación para hacer eso. Estas cajas pueden trabajar con la capa de aplicación de cada conexión y distinguir entre diferentes aplicaciones para que solo pueda pasar el tráfico de ciertas aplicaciones. Un buen ejemplo de una caja gratuita es SOPHOS UTM que puedes probar.

score -2 · Answer 2

¿hay una manera de permitir que solo ciertos procesos en mi servidor DMZ accedan a los puertos remotos?

Sí, SELinux. Cualquier administrador del sistema que tenga en cuenta la seguridad de TI deberá, tarde o temprano, aprender a utilizar SELinux y crear políticas para las aplicaciones, y su problema es perfecto para que SELinux lo resuelva. Una vez que sea competente con SELinux y asegure sus servidores, se sentirá mucho más seguro con respecto a la seguridad de su servidor y al desactivar SELinux lo hará sentirse desnudo, en una tormenta de nieve.

Los únicos libros que puedo recomendar son "SELinux por ejemplo: Uso de Linux con seguridad mejorada" y "Administración del sistema SELinux". Este último debería ser lanzado el próximo mes.

Algunos enlaces que te ayudarán a comenzar:

enlace

También hay una comunidad excelente en #selinux @ Freenode IRC