¿Cuál es la mejor práctica para separar zonas confiables de una DMZ con un solo firewall?

7

En nuestra organización tenemos un solo firewall que se encuentra entre nuestras zonas internas y la Internet pública. Actualmente, todas nuestras zonas de confianza se definen como vlans diferentes en un conmutador de capa 3 conectado a una interfaz física en el firewall. La zona DMZ se define en el propio firewall y se conecta a un conmutador de capa 2 desde una interfaz física separada en el firewall.

¿Es esta una forma bastante segura de separar nuestras zonas de confianza de nuestra DMZ o esto plantea muchos problemas?

¿También representa un riesgo tener el vlan DMZ definido en el firewall y conectado a un conmutador de capa 2 o debo buscar otro conmutador de capa 3 para la DMZ también?

He considerado intentar obtener fondos para que se coloque un segundo cortafuegos entre nuestro cortafuegos principal y nuestras zonas de confianza, pero no sé si ese sería el mejor lugar para realizar un cambio para obtener la mejor mejora de la cantidad, si es que lo hace. .

    
pregunta YerPhate 01.07.2011 - 17:42
fuente

2 respuestas

2

Por lo que entiendo, esto es menos una cuestión de seguridad y más una pregunta de ingeniería de red, aunque la ingeniería de seguridad definitivamente tiene un lugar en cualquier diseño de red.

Primero vas a necesitar sacar lo que estás haciendo. Lo que hiciste cuando escribí esto, jaja. También adjunto el Visio que lancé juntos la primera vez que leí su pregunta.

Acontinuacióntengoquepreguntarporalgo.UsteddijoquelaDMZestá"conectada a un conmutador de capa 2". ¿Eso significa que en realidad está enlazando VLAN al conmutador de capa 2? Si es así, es posible que desee dejar sus VLAN en la interfaz del firewall. Especialmente si no estás intentando realizar una configuración DMZ sándwich. Ese conmutador DMZ parece que debería estar sin etiquetar.

No creo que haya necesidad de un cambio adicional para su DMZ, a menos que tenga preocupaciones de tamaño y configuración. Si se trata de una red a pequeña escala, como lo imagino, debería configurarlo con la pequeña configuración DMZ on-a-stick.

Muchos dispositivos de tipo todo en uno para pequeñas empresas tienen una configuración muy similar. He visto muchos dispositivos Edge de Edge utilizados en esta misma configuración.

Concedido que cuanta más seguridad / separación pueda proporcionar mejor cuando se trata de seguridad, pero esta configuración es perfecta para una pequeña empresa o configuración doméstica.

También, acabo de encontrar este artículo que tiene una explicación muy breve de esta misma configuración aquí .

    
respondido por el Ormis 01.07.2011 - 21:46
fuente
0

La configuración me parece justa, no veo ningún flujo que no pueda ser identificado y filtrado fácilmente en el firewall.

Cuando se habla de la VLAN definida en el firewall y el firewall secundario, la pregunta real es qué escenario de ataque es contra el que quiere defenderse. DMZ significa que estás considerando servidores comprometidos. En la configuración dada, el firewall (potencialmente) protegerá contra esto. Puede haber razones para un segundo firewall en / en el conmutador Layer3 dependiendo de qué flujos se deben permitir entre las VLAN.

El enlace troncal entre el conmutador FW y DMZ que haces para aumentar el rendimiento de la red, ¿verdad? Porque no veo una razón de seguridad para tener una VLAN en el lado DMZ del FW.

    
respondido por el pepe 01.07.2011 - 22:43
fuente

Lea otras preguntas en las etiquetas