Diseñando DMZ (s) [cerrado]

Navega tus respuestas
-1

Me preguntaba cuál sería la forma correcta de aislar los servidores para protegerlos a nosotros ya nosotros de un daño excesivo.

Tengamos dos escenarios:

1) Acceso a Application Server desde el mundo

Tenemos

  • un Apache Proxy distribuye el acceso a los servidores de aplicaciones Tomcat,
  • Servidores de aplicaciones Tomcat, así como
  • Servidores DB accedidos por los Tomcats.

Lo que haría:

  • Coloque el proxy detrás de un primer firewall.
  • Ponga los servidores Tomcats y DB detrás de un segundo firewall.

En ese caso, si el proxy fue hackeado, al menos no sería posible establecer conexiones con la base de datos.

Sin embargo, ¿qué es más probable? ¿Se está pirateando Apache o el Tomcat?

Si esto fuera por ejemplo un problema de inyección de SQL, ¿cómo protegería el proxy el Tomcat detrás de él? Probablemente no del todo.

La pregunta surge: aparte de ser destrozado por una auditoría que descubriría que no hay ningún firewall, ¿qué estamos tratando de proteger de todos modos? En caso de que la capa de aplicación esté comprometida, puedo instalar todos los cortafuegos del mundo. Ellos no ayudarán.

2) Servicios de infraestructura como syslog, dns, ntp, mail, lo que sea.

Los servidores en las DMZ pueden necesitar esos servicios.

¿Se podría poner el servidor de syslog en una DMZ propia (dejar que syslog ingrese desde cualquier lugar, pero sin nada)?

De hecho, para estar seguro, puede poner cada servidor en su propia DMZ pero, por supuesto, eso volverá a ser excesivo ... ¿Y si el servidor syslog necesita enviar correos porque genera informes sobre los registros que lleva? ?

¿Qué pasa con el DNS? Bueno, no debería necesitar DNS internos porque no accede a los recursos internos. Todo lo interno que necesita para acceder puede utilizar la IP o una entrada en el archivo de hosts.

¿Qué pasa con NTP? Uno podría hacer esas solicitudes a Internet ...

Vamos, ¿qué piensas sobre estas reflexiones y esos 2 escenarios en particular?

    
pregunta Marki 17.12.2012 - 18:39
fuente

1 respuesta

2

No hay una única respuesta correcta, depende mucho de su volumen de tráfico, las políticas de seguridad y la estructura de la red interna. Simplemente responderé cómo lo haría a nivel general.

1) Si la función del proxy es simplemente cargar el saldo y la memoria caché, puede colocar los servidores de aplicaciones y proxy en la misma red DMZ. Luego haga una red DMZ separada para los servidores de base de datos. DB es donde están sus activos, por lo que en ese sentido merece una red aislada de todas las demás redes. Puede usar direcciones privadas en el servidor DB DB, pero trátelas como una red DMZ. Con esto me refiero a un segmento de red y una interfaz separados en su firewall. Si utiliza los servidores proxy y de aplicaciones para otros servicios, también sería posible separar los servidores proxy de su propia red DMZ. La red modular altamente segmentada requerirá más rendimiento desde el firewall, pero aumentará la seguridad y se ampliará mejor para el futuro. Diría que el servidor de aplicaciones es más vulnerable que el proxy, pero aún así los contaría en la misma categoría por su función y luego el servidor DB en su propia categoría y en una red DMZ separada.

Si está tomando más de 1 GB / s de tráfico, es razonable repensar la arquitectura y, probablemente, deshacerse del firewall por completo.

2) No me preocuparía demasiado por syslog, NTP y SMTP, estos son protocolos bastante antiguos con implementaciones conocidas. En estos casos, podría permitir que los dispositivos DMZ utilicen los mismos servicios que utilizan los dispositivos internos. Mucha gente dirá que DMZ no debería abrir conexiones hacia redes internas, pero no veo ningún problema al usar este tipo de protocolos. Los beneficios superan el pequeño riesgo de seguridad.

Si desea separar DNS y no tiene sus propios servidores DNS públicos para resolver direcciones externas, solo compre el servicio de resolución de DNS de su ISP o algún otro proveedor de servicios. No debería costar demasiado y proporcionará seguridad adicional.

    
respondido por el toottoot 18.12.2012 - 12:54
fuente

Lea otras preguntas en las etiquetas

¿Necesitamos la misma versión PGP para descifrar [cerrado] certificados X.509 codificados XER [cerrado]