¿Cómo agregar a la lista blanca un Amazon ELB en un (ny) firewall?

Question

¿Cómo agregar a la lista blanca un Amazon ELB en un (ny) firewall?

#1 de Gawainuk (7 votos)

10

Tenemos un cliente con una red muy cerrada. Cualquier conexión de salida requiere una lista blanca del puerto y la dirección IP.

Sin embargo, estamos ejecutando nuestro sistema detrás de un Amazon Elastic Load Balancer (ELB) . Eso significa que la dirección IP de ELB puede cambiar y está fuera de nuestro control.

¿Es posible incluir en la lista blanca un nombre de dominio en lugar de una dirección IP en particular?

Comprendo que esto dependerá de la infraestructura de TI del cliente. Son una tienda solo para Windows, por lo que si hubiera enfoques específicos que pudiéramos adoptar en el mundo de Microsoft, eso sería bueno. Si hay configuraciones específicas del enrutador para Cisco, etc., eso también sería de interés (en caso de que el cliente use esa configuración).

¿Tiene alguna otra sugerencia sobre cómo abordar este problema?

El uso de la lista blanca de direcciones IP parece ser muy frágil ... aunque abrir un nombre de dominio particular lo abre a ataques de envenenamiento de DNS.

firewalls windows whitelist

pregunta Peter K. 02.04.2013 - 16:46

fuente

1 respuesta

Lea otras preguntas en las etiquetas firewalls windows whitelist

¿El uso de pilas separadas para direcciones de retorno y argumentos de funciones es una medida de seguridad viable? ¿Cómo se evalúa adecuadamente el riesgo?

score 7 · Accepted Answer

Si el cliente es tan consciente de la seguridad como lo implica la pregunta, entenderá que la única forma confiable de realizar la tarea sería agregar a la lista blanca el tráfico al rango de direcciones IP para el servicio Amazon ELB.

Si la preocupación es que esto permitiría que otros sitios web utilicen el mismo acceso externo al servicio, entonces se requeriría un servidor proxy o un cortafuegos secundario para garantizar que el tráfico a estas IP solo fuera para los sitios web permitidos.

Es un poco difícil ser más específico sin un mayor conocimiento del diseño de sus clientes.

Sin embargo, en uno de los servicios que admito se haría utilizando un proxy de Bluecoat para controlar el acceso al sitio web externo.

También sería preferible que los clientes autorizados usen los controles AD, ya que el tráfico se envía al firewall a través de una dirección VIP en la interfaz externa de Bluecoats que es solo para el tráfico de este servicio.

El cortafuegos puede limitar el acceso al rango de destino de IP solo desde la fuente VIP.

Cualquier servidor proxy debería poder hacer esto y si su cliente no está usando uno, entonces se podría usar un segundo firewall con SNAT para hacer lo mismo. El primer servidor de seguridad permite el acceso al sitio web y luego reenvía el tráfico al segundo servidor de seguridad en un SNAT. SNAT se utiliza como la dirección de origen para una coincidencia de origen / destino con el rango de direcciones IP externas.

Esto evitaría el problema del envenenamiento de DNS ya que cualquier respuesta aún tendría que coincidir con el rango de direcciones IP permitidas en el firewall.