¿Puede un equilibrador de carga "SER" la computadora en la DMZ?

Navega tus respuestas
0

Me pregunto si un equilibrador de carga web puede asumir los deberes de lo que normalmente se consideraría el servidor front-end en una DMZ.

En nuestro entorno actual, tenemos la configuración clásica de DMZ como se ilustra a continuación.

Internet - > Cortafuegos - > Servidor front-end DMZ - > Cortafuegos - > Datos del servidor Lan

Tenemos una nueva aplicación en línea que no tiene un servidor de aplicaciones para el usuario creado por el proveedor. Aunque no habrá datos en este servidor, se ubicará en la LAN. Cuando se les preguntó sobre cómo hacer que la aplicación fuera segura, su respuesta fue usar un proxy inverso como la parte frontal.

Entonces, mi pregunta es esta: ¿puedo simplemente usar nuestro equilibrador de carga web para ser el "servidor" en el dmz? ¿Pasa esto la prueba de olfateo? ¿Funciona esto en una auditoría?

Aquí hay una ilustración.

Internet - > Cortafuegos - > Equilibrador de carga - > Servidor Lan

El equilibrador de carga, por su naturaleza, funciona como un cortafuegos, ya que es necesario especificar los números de puerto. Sin embargo, la interfaz interna del firewall, así como todas las interfaces del equilibrador de carga (brazo único) y la interfaz del servidor de LAN, están todas en la misma red de LAN. Sin embargo, el equilibrador de carga finaliza y crea nuevas sesiones.

¿O debo emplear un proxy inverso y un equilibrador de carga como se ilustra a continuación?

Internet - > Cortafuegos - > Equilibrador de carga - > NGINX rev proxy - > Servidor Lan

El proxy inverso NGINX no haría nada esencialmente, excepto que existan y reenvíen paquetes.

¿Qué hace realmente una DMZ? ¿Son las dos subredes diferentes con firewall lo más importante o es la terminación y la recreación de la sesión antes de llegar a la LAN? ¿O es algo más?

Otro proyecto que he estado necesitando abrochar es un SSH abierto a un servidor en la LAN. No tiene un servidor front-end, pero podríamos usar el equilibrador de carga para este propósito, pero solo si puede pasar legítimamente una auditoría SOC.

¡Gracias por cualquier discusión significativa!

    
pregunta Tom B 31.08.2016 - 21:53
fuente

1 respuesta

2

Una DMZ es ambas cosas. Es el punto en el que las solicitudes entrantes no aceptables conocidas y no confiables se bloquean (mediante un firewall externo) y las solicitudes entrantes no confiables pero potencialmente aceptables se terminan y se evalúan para un posible reinicio en el interior sensible.

Este proceso de evaluación puede llevar a un compromiso, por lo que la subred en la que vive la aplicación que termina la solicitud entrante debería estar separada de las redes interiores, posiblemente utilizando otro firewall para la segregación. Esta solicitud de terminación de solicitud también se conoce como proxy inverso.

Entonces:

internet - > cortafuegos - > proxy inverso - > cortafuegos - > lan

Para HTTP, el proxy inverso puede considerarse una capa 7 o un firewall de aplicación. Debe cumplir con el protocolo y solicitar el saneamiento y debe admitir algunas funciones defensivas, como la lista negra y las funciones de firma de solicitud maliciosa.

Para HTTPS, el proxy inverso termina con HTTPS, aunque el tráfico del proxy inverso a la LAN puede volver a cifrarse.

El rol de equilibrio de carga se puede colocar en una DMZ, pero se debe evaluar la necesidad. El equilibrio de carga es generalmente una función de aplicación que requiere orquestación y coordinación con los despliegues de la aplicación, y también está lógicamente más abajo de los tipos de funciones de desinfección y orientadas a la seguridad que deben ocurrir en una DMZ.

Entonces:

internet - > cortafuegos - > proxy inverso - > cortafuegos - > equilibrador de carga

En términos de límites de confianza, internet no es confiable, DMZ (donde se ejecuta el proxy inverso, entre los dos firewalls) es semi confiable, y la lan, donde se ejecuta el equilibrador de carga, es confiable.

Finalmente, nginx es un software versátil que puede ser compatible con el servidor de seguridad inverso / aplicación web y las funciones de equilibrio de carga, y por lo general, será la misma instancia de nginx que desempeña ambos roles, lo que significa que el equilibrio de carga se encuentra en la DMZ. Aún debe ser un cortafuegos entre nginx y los hosts de la aplicación.

Entonces:

internet - > cortafuegos - > nginx (waf y lb) - > cortafuegos - > aplicaciones

Eso puede o no estar bien, dependiendo de las condiciones de la auditoría.

    
respondido por el Jonah Benton 01.09.2016 - 05:36
fuente

Lea otras preguntas en las etiquetas

¿Rompiendo llaves WI-FI sin conexión a distancia? LFI ¿Por qué no veo una respuesta?