En un mundo perfecto
El Authentication Authority Server no está conectado para evitar todas las conexiones salientes no deseadas (o no bien monitoreadas) (como los troyanos en el peor de los casos).
Para esto necesitarás
Esta solución presenta un sólido enfoque de seguridad, ya que no están conectados en absoluto a Internet, pero el host es más difícil de mantener actualizado: debe cargar físicamente cada actualización.
Y, finalmente, si existe una forma de conectar este host a Internet (usando el módem o una puerta de enlace local) ¡un troyano eficiente puede encontrarlos! Si esto pudiera suceder, todo esto se volverá totalmente incorrecto.
Más simple y eficiente pero más ligero
Instale su Authentication Authority Server detrás de un servidor de seguridad fuerte que suelte todos los paquetes pero no
- paquetes desde o hacia el servidor de aplicaciones , que coinciden con el protocolo utilizado para.
- paquetes del Authentication Authority Server a su proveedor de SMS, que coinciden con el protocolo de intercambio de SMS (quizás https) y sus respuestas.
Ejemplo basado en GNU / Linux iptables
:
LOCIF=eth0
DMZIF=eth1
PUBIF=eth2
AUTHSERV=192.168.3.21
WEBAPP=192.168.1.2
AUTHPORT=12345
SMSPORT=443
SMSSERV=1.2.3.4
iptables -t filter -P FORWARD DROP
iptables -t filter -o $LOCIF -i $DMZIF -d $AUTHSERV/32 -s $WEBAPP/32 -p tcp --dport $AUTHPORT -j ACCEPT
iptables -t filter -i $LOCIF -o $DMZIF -s $AUTHSERV/32 -d $WEBAPP/32 -p tcp --sport $AUTHPORT -j ACCEPT
iptables -t filtes -i $LOCIF -o $PUBIF -s $AUTHSERV/32 -d $SMSSERV/32 -p tcp --dport $SMSPORT -j ACCEPT
iptables -t filter -i $PUBIF -o $LOCIF -d $AUTHSERV/32 -s $SMSSERV/32 -p tcp --sport $SMSPORT -m state --state RELATED, ESTABLISHED -j ACCEPT
En este host, un troyano puede llegar a Internet directamente (debe estar bloqueado por un firewall), por lo que debe mantener su sistema y su firewall actualizados, con cuidado.
Controla tu tráfico
En cualquier caso, si desea confiar en su Authentication Authority Server , debe monitorear de forma fina y activa todo el tráfico de red a este host.
Usar un monitor de red de bajo nivel como tcpdump
para la muestra.