it-swarm-eu.dev

Veřejná DMZ architektura sítě)

Před lety, když jsem byl studentem, profesor bezpečnosti sítí mě učil ve třídě, co a DMZ je.) Architektura, kterou použil ve svých snímcích, byla podobná této:

Double firewall DMZ

Nyní, když jsem se zaměstnal, můj šéf, bezpečnostní technik s více než 10 let zkušeností má jiný názor. Pro něj by neměl být a DMZ) umístěn do „sendviče“ mezi LAN a internetem. Místo toho by měl vypadat jako ten, který je znázorněn níže:

Single firewall DMZ

Při hledání síťových architektur pomocí Google s DMZ jsem našel různé reprezentace a ještě jsem byl zmaten. Takže moje otázka zní, jak by měl být a DMZ) umístěn ve vysoce zabezpečené síťové architektuře? Je první reprezentace v pořádku z hlediska bezpečnosti?

25
lisa17

Oba jsou funkčně ekvivalentní - DMZ) je efektivně v sendviči, protože musí mít připojení z vnějšího světa firewalled, ale také musí mít brány firewall, které z něj omezují přístup do vnitřní sítě.

Zatímco tento druhý diagram je často tím, co se děje (z nákladových důvodů - potřebujete méně bran firewall), první je považován za bezpečnější, protože můžete použít dvě různé značky brány firewall, což pomáhá zabránit útoku na bránu firewall, která by porušila oba. Pokud používáte jeden firewall, používáte sady pravidel pro každý směr a každé připojení - a funkčně je to stejné jako sady pravidel v druhém příkladu.

Jedná se pouze o mírné zlepšení zabezpečení, protože obvykle neútočíte na firewall - pomocí otevřených portů projdete přímo a zaútočíte na webový server, poštovní server nebo dokonce projdete přímo k útoku na databázi, ale všechny úrovně zabezpečení jsou všechny Pomoc.

18
Rory Alsop

Jak by měl být umístěn do vysoce zabezpečené síťové architektury DMZ)?

Klíčem je ochrana do hloubky mezi zabezpečovacími doménami. Rozsah nasazené architektury bude záviset na dostupných zdrojích, včetně finančních omezení a technických možností.

Hloubková obrana

Obrana do hloubky je koncept zabezpečení informací (IA), ve kterém je v celém systému informačních technologií (IT) umístěno více vrstev bezpečnostních kontrol (obrany). Je to taktika vrstvení, která zmírňuje důsledky selhání jediné bezpečnostní kontroly. Wikipedia

Zabezpečovací domény

Doména zabezpečení je určujícím faktorem při klasifikaci enklávy serverů/počítačů. Síť s jinou doménou zabezpečení je udržována odděleně od ostatních sítí. Wikipedia

Implementace

Pro účely určení ovládacích prvků mezi doménami zabezpečení byste mohli definovat; internet jako nedůvěryhodný, DMZ jako nedůvěryhodné) a vnitřní sítě jako důvěryhodné.

Proto byste mezi internet a váš DMZ použili více vrstev bezpečnostních kontrol, což by mohlo zahrnovat: brány firewall L3, IPS, AV, reverzní proxy/vyrovnávání zatížení, filtrování L7.

Od hostitelů DMZ) zpět do vaší vnitřní sítě byste použili další vrstvy: brány firewall L3, filtrování L7 (např. RPC), IPS/AV.

Klíčem k maximalizaci efektivity bezpečnostních kontrol je také nejmenší privilegovaný přístup mezi zabezpečovacími doménami.


Je první zastoupení v pořádku z bezpečnostního hlediska?

Radil bych ne, kvůli nedostatečné obraně do hloubky. Mezi Internet-DMZ a DMZ-LAN existuje pouze jedno řízení přístupu. Vysoce bezpečná architektura by obvykle měla oddělení od dodavatele a vrstvy řízení přístupu (L3 FW, WAF, IPS, AV atd.).

11
lew

V bezpečí neexistují absolutní absolutní hodnoty.

Z pohledu školení - řekl bych, že první je jasnější. Ukazuje koncept, že vnější svět prochází těmito různými vrstvami a že je snazší zasáhnout DMZ) a pravděpodobně to, co je umístěno, představuje nižší riziko.

Je to také lepší z hlediska vrstvené obrany - jak je uvedeno v jiných odpovědích velmi pěkně.

Z hlediska nákladů je to však méně praktické. A viděl jsem mnoho, mnoho variant na dolním diagramu - všechny segmentující sítě z různých důvodů, snažit se dělat více s méně z různých nákladů nebo z jiných praktických důvodů.

Upřímně nevěřím, že existuje „správný způsob“ nebo „správný diagram“. Mezi faktory patří:

  • trade vs. risk tradeoff - více vrstev firewallů u různých dodavatelů je rozhodně bezpečnější, je také dražší. Musí mít pro provoz s vysokou hodnotou/vysokým rizikem. Přetěžujte pro provoz s nízkou hodnotou/nízkým rizikem - protože je nejen drahý nákup, ale také údržba, a musíte zvážit faktor lidí, kteří tyto věci udržují, a riziko mezer a nesprávných konfigurací. Jeden dobře nakonfigurovaný firewall bude lepší než dvě brány firewall, které jsou dokořán, protože osoba, která je konfigurovala, nevěděla dost, aby tuto práci provedla správně!

  • jasnost - jak vypadá síť opravdu? Pokud existuje pouze jeden firewall, nakreslete prosím odpovídajícím způsobem diagram, nenechávejte lidi hledat druhý firewall. Pokud nemluvíte o logické vrstvě a nikoliv o fyzické vrstvě, v tomto případě mohou být obě „stěny“ na stejném zařízení. Účelem diagramu je pomoci lidem dělat věci ... diagram je „správný“ nebo „špatný“ pouze z hlediska jeho schopnosti splnit tuto potřebu.

Řekl bych, že pokud váš šéf tvrdí, že jeho kresba je absolutní „správná cesta“ - nemá na mysli ... existuje mnoho veřejných příkladů, které tomu čelí.

Pokud je to nejjasnější způsob, jak popsat věc, se kterou pracujete, má pravdu.

8
bethlakshmi

Budu opakovat některé věci, které ostatní řekli, ale tady to jde.

Nejprve bych přemýšlel o o kolik je požadováno zabezpečení, o nákladech na jeho dosažení ao problémech, které vyvstanou, pokud něco selže a dojde ke ztrátě komunikace mezi zabezpečenou zónou a internetem .

Vaše cenario vypadá trochu sofistikovanější, protože z temného světa je více vrstev, dokud se nedosáhnou vašich tajných dat. Ale také to zvyšuje náklady, existuje více bodů selhání.

Druhé cenario je stejně bezpečné jako firewall. Získání kompromitovaného DMZ) útoku nebude snazší, protože musí projít bránou firewall a brána firewall je součástí celého konceptu.

A omlouvám se, ale pokud se jednalo pouze o otázku „který je správný: dva firewally nebo jeden?“, Nemohl jsem najít žádný odkaz, který by to rozhodl.

3
woliveirajr

Nevím, co máte na mysli pod „vysoce zabezpečenou síťovou architekturou“. Budete muset podrobněji zvážit, jaké jsou vaše bezpečnostní cíle, požadavky na zabezpečení informací a prostředí hrozeb, ve kterém se vyvíjíte, abyste mohli navrhnout a implementovat příslušné bezpečnostní kontroly.

Pokusím se však na vaši otázku odpovědět na vysoké úrovni.

Ano, první architektura zabezpečení je z bezpečnostního hlediska obecně v pořádku. Existují variace této architektury (např. Připojujete DMZ k externím a/nebo interním firewallům a/nebo mezi nimi), ale nevěřím, že je to relevantní pro vaši otázku v tomto etapa.

Chápu, že tato architektura bývala populárnější v době, kdy brány firewall měly při implementaci několik známých zranitelností veřejnosti, které by umožnily obejít nebo dokonce využít samotné brány firewall a v nepřítomnosti dalších zmírňujících kontrol.

Při použití jiné implementace pro externí a interní brány firewall pouze aplikujete na svou architekturu princip přirozeného výběru a je to obecně dobrá věc: pokud je jedna implementace zranitelná vůči určitému útoku, nemusí stejný útok fungovat na různé implementace, pokud jsou jejich specifické rysy dostatečně odlišné. Doufejme, že odstraníte jediný bod selhání (z pohledu implementace) „funkce zabezpečení brány firewall“.

V závislosti na vašich požadavcích na dostupnost informací samozřejmě budete možná muset zvážit mimo jiné seskupení externích a interních bran firewall.

Druhá architektura je také platná z hlediska bezpečnosti a já věřím, že je nyní populárnější než ta první (nákladová pomoc). Máte potenciální jediný bod selhání funkce zabezpečení brány firewall. Většina organizací by si však (doufejme) už uvědomila, že se na svůj firewall nemůžete spoléhat pouze na poskytování bezpečnostních služeb. Směrovače/přepínače/hostitelské firewally/atd. mohou všichni přispět k bezpečnostní pozici organizace, čímž zmírní některé nebo všechny škody způsobené kompromitací (jediné) implementace brány firewall. Také se zdá, že firewally jsou dnes o něco pevnější a že útoky se posunuly do vyšších, ale jemnějších vrstev OSI, např. aplikace.

U většiny nasazení bych uvažoval o druhé architektuře. První architekturu považuji za určitých specifických okolností, mimo jiné včetně bezpečnostních cílů a požadavků, motivace potenciálních útočníků a hlavně zdrojů.

3
obscure

V prvním diagramu je riziko mnohem horší. Udělejte krok zpět a přečtěte si o vojenských DMZ, jsou to v podstatě místa, kam dáte věci, které vám nezajímá ochrana. Je to špatná terminologie začít a zastaralý nápad v IT. Nyní řekněme, že máte mnohem větší prostředí s různými úrovněmi zabezpečení, nemůžete hodit všechna data v jedné zóně (mnohem méně si to váš malware infikovaný sítí LAN zamyslel). Budete potřebovat více bezpečnostních zón (více DMZ, pokud jste k tomuto termínu připojeni, říkám jim zabezpečené segmenty). Jak byste přidali řekněme 20 různých bezpečnostních zón do každého z výše uvedených diagramů? Pokračovat v jejich přidávání do série podle úrovně zabezpečení? nebo je přidat podle potřeby paralelně? Důvod, proč mají nejmodernější firewally více rozhraní (některé velké mají až 100 rozhraní) je ten, že přidáváme bezpečné podsítě paralelně. Ve vysoce zabezpečeném prostředí můžete mít samostatné zóny zabezpečení pro webové servery vs. servery DNS a servery DNS atd. Tímto způsobem, pokud útočníci získají vlastnictví webových serverů, nezískal útočník další důvod k ohrožení poštovního serveru ani cokoli jiného . Stejně tak, pokud váš poskytovatel služeb hostující tucet lokalizovaných klientů, můžete každého umístit za jiné rozhraní, aby nemohli navzájem útočit (nebo šířit červy) jinak než útočit přes internet. Projděte si některé z velkých webů prodejců (Cisco & Juniper) a podívejte se na dokumentaci kolem jejich větších bran firewall a na kolik rozhraní podporují. Stále budete chtít interní brány firewall a brány webových aplikací (WAF), jako je Imperva (nebo mod_security proxy), ale i tyto vnitřní oblasti bude třeba segmentovat a rozdělit. Starý sendvičový diagram (IT architektura 70. - 80. let) je z hlediska bezpečnosti FAIL hlavní a musí zmizet.

3
Trey Blalock

Ano, kromě předchozí odpovědi bych mohl přidat IPS) pro blokování útoků, které by firewall nezachytil, protože tyto útoky by byly zaměřeny na otevřené porty.

2
Justin Andrusk

Závisí to na typu síťové architektury vaší budovy.

První příklad je ideální pro situace, jako je hostování velké webové aplikace, s kterou si stavíte zabezpečení ve svých vrstvách, takže vyvažovače, vrstva aplikací, vrstva dat, každá brána firewall je chráněna různými bezpečnostními opatřeními, ale pracují na vlastních důvěryhodných sítích.

Ve druhém příkladu přesně jak je to popsáno, s LAN visí to. Tato možnost je také ideální pro situace, kdy musíte být schopni formovat provoz pro zajištění QoS.

Takže na odpověď na vaši otázku jsou platné a oba mají své vlastní výhody, neexistuje žádná stříbrná kulka.

2
Vincent

Většina inženýrů Firewallu většinou nasadila model druhého diagramu, protože sada firewallů je levnější, snadněji konfigurovatelná a spravovatelná. Můžete použít každý port na firewallu pro fyzické připojení k vnějším, vnitřním a každým DMZ nebo použít více kontextů (podobně jako VM) pro virtuální oddělení prostředí. V našich menších datových centrech používáme 2. model a v našich podnikových datových centrech používáme 1. model s multi FW. Auditoři milují 1. model pro umístění podniku, protože jedno nesprávně nakonfigurované pravidlo pro 2. model může způsobit útočníkovi, který převzal kontrolu nad vaším serverem DMZ, možná získat kontrolu uvnitř vaší sítě. To je mnohem těžší na 1. modelu, protože útočník musí jít přes dvě sady firewallů, aby se dostal dovnitř. Správce firewallu může udělat chybu snad pro testování na jednom firewallu, ale ne na dvou (obvykle). Minulý týden jsme právě nasadili více bran firewall. S bránami Firewally na Internetu se připojují k multi DMZ a Load Balancer ... a uvnitř firewally se připojují ke stejným DMZ/Load Balancer. Také 2./vnitřní firewall má uvnitř více kontextů. Což poskytuje firewall mezi WAN, produkčním a žádným produkčním prostředím ... kde produkční servery mají přístup k čemukoli, ale WAN má přístup k produkčním serverům na www a https (atd.) Nebo umožňuje přístup RDP administrátorům k produkční a DEV/QA servery uvnitř Firewallu.

2
Matt

Váš šéf má pravdu.

První zastoupení má mnoho problémů nebo slabostí.

  1. HA (vysoká dostupnost): budete potřebovat 4 FW (2 externí a 2 vnitřní) = $$$
  2. Správa: 'považováno za bezpečnější, protože můžete použít dva různé značky brány firewall' ... spousta režijních nákladů na správu (aktualizace, pravidla, protokolování, licence). Pokud nemůžete věřit svému FW a potřebujete další od jiného výrobce, máte problém !!!
  3. IP: tento design může být noční můrou s natting, routing, atd.
  4. Riziko: V tomto návrhu je kompromitovaný hostitel DMZ = Hostitel) na pěkném místě pro čichání a útok typu „prostředník“ proti uživatelům v zóně LAN.

Ve skutečnosti je druhý návrh bezpečnější a jednodušší než ten první.

  1. HA (vysoká dostupnost): potřebujete pouze další FW.
  2. Správa: pouze jedna schránka pro správu
  3. IP: jeden bod pro správu provozu pro směrování nebo nating
  4. Riziko: pokud je hostitel v DMZ) ohrožen, je tato hrozba obsažena v DMZ
2
L_g__n

Odpověď na otázku, který z těchto dvou vzorů je „správný“, může vycházet pouze z požadavků kladených na navrhované řešení. Oba modely mají jako takové výhody a nevýhody, ale ve skutečnosti jde o dva PRIMARY DIFFERING BUSINESS DRIVERS:

Pokud podnik vytváří požadavky s prohlášeními jako:

„Potřebujeme internet/DMZ bezpečnostní návrh, který je ...
* nákladově efektivní, nejnižší náklady, základní, jednoduchý design, snadno ovladatelný, levný a špinavý, odpovídající ochrana ... * atd."

Pak bude 3-LEGGED FW (příklad # 2) modelem, který byste měli použít jako základ pro svůj design. A ve světě, kde je „SAVE $$$“ „Snížení nákladů“ často hnací silou č. 1, je hlavním faktorem, proč je 3-LEGGED FW Design zdaleka nejoblíbenějším nasazením - dokonce i pro větší organizace.

Pokud podnik vytváří požadavky s prohlášeními jako:

„Potřebujeme internet/DMZ bezpečnostní návrh, který je ...
vysoce/extrémně zabezpečené, poskytuje nejlepší internetovou ochranu bez ohledu na náklady, ochrana našich interních podnikových systémů MUSÍ ... atd. “

Pak model FW-Sandwich/2-Teir FW/Layered DMZ (příklad # 1) je ten, který byste měli použít jako základ pro svůj design. Důvod je velmi jednoduchý ... Layered DMZ security přidává další jedinečné překážky vstupu pro internetového hackera. Pokud se dostane přes první FW, přistane na další vrstvě a další a pak backend Internal FW před tím se konečně dostal k korunovým klenotům podnikových dat. Model 3-LEGGED FW je 1 vrstva ochrany, která v případě ohrožení špatně/nesprávně nakonfigurovaného FW má přímý přístup do vnitřní sítě.

Moje minulé návrhy jsou složitější než přední a zadní FW. V extrémně vysoce zabezpečeném designu ISP/DMZ jsem architekturoval FW, IPS, front VIP síť, DMZ VIP Load) Vyrovnávače, sítě privátních farem a pak back-end interní čelní FW. Každá z těchto vrstev přidává jedinečnou další překážku vstupu, kterou hacker může projít. Také jsme stanovili přísná pravidla návrhu, která stanoví, že „jedna vrstva v designu musí mluvit pouze na další vrstvu a tuto obejít jako obejít

Tento návrh je jistě nákladnější, ale pro velké podniky, kde musí být bankovní, finanční, rozsáhlé databáze informací o klientech atd. Chráněny, by bylo hloupé používat 3-legged FW, což z něj činí jedinou bariéru mezi hackery a těmito korunovační klenoty.

1
user27666