it-swarm-eu.dev

Öffentlich DMZ Netzwerkarchitektur

Vor Jahren, als ich Student war, brachte mir ein Professor für Netzwerksicherheit in einer Klasse bei, was eine DMZ] ist. Die Architektur, die er in seinen Folien verwendete, war ähnlich wie diese:

Double firewall DMZ

Nach meiner Anstellung hat mein Chef, ein Sicherheitsingenieur mit mehr als 10 Jahren Erfahrung, eine andere Sichtweise. Für ihn sollte ein DMZ nicht in ein "Sandwich" zwischen LAN und Internet gestellt werden. Stattdessen sollte es wie das unten abgebildete sein:

Single firewall DMZ

Bei der Suche mit Google nach Netzwerkarchitekturen mit einer DMZ habe ich verschiedene Darstellungen gefunden und war noch verwirrter. Meine Frage ist also, wie sollte eine DMZ] in einer hochsicheren Netzwerkarchitektur platziert werden? Ist die erste Darstellung aus Sicherheitsgründen in Ordnung?

25
lisa17

Die beiden sind funktional gleichwertig - das DMZ ist effektiv in einem Sandwich, da Verbindungen von der Außenwelt durch eine Firewall geschützt sein müssen, aber auch Firewalls, die den Zugriff von dort auf das interne Netzwerk einschränken.

Während das letztere Diagramm häufig der Fall ist (aus Kostengründen - Sie benötigen weniger Firewalls), wird das erste als sicherer angesehen, da Sie zwei verschiedene Firewall-Marken verwenden können, um einen Angriff auf die Firewall zu vermeiden, der beide verletzt. Wenn Sie eine Firewall verwenden, verwenden Sie Regelsätze für jede Richtung und jede Verbindung - und funktional entspricht dies den Regelsätzen im zweiten Beispiel.

Dies ist nur eine geringfügige Verbesserung der Sicherheit, da Sie im Allgemeinen nicht die Firewalls angreifen - Sie verwenden die offenen Ports, um direkt durch den Webserver, den Mailserver zu gehen oder sogar direkt durchzugehen, um die Datenbank anzugreifen, sondern alle Sicherheitsebenen Hilfe.

18
Rory Alsop

Wie sollte ein DMZ) in einer hochsicheren Netzwerkarchitektur platziert werden?

Der Schlüssel ist die Tiefenverteidigung zwischen Sicherheitsdomänen. Das Ausmaß der bereitgestellten Architektur hängt von den verfügbaren Ressourcen ab, einschließlich finanzieller Einschränkungen und technischer Fähigkeiten.

Tiefenverteidigung

Tiefenverteidigung ist ein Informationssicherungskonzept (Information Assurance, IA), bei dem mehrere Ebenen von Sicherheitskontrollen (Verteidigung) in einem IT-System (Informationstechnologie) angeordnet sind. Es ist eine Schichtungstaktik, um die Konsequenz eines Ausfalls einer einzelnen Sicherheitskontrolle zu mildern. Wikipedia

Sicherheitsdomänen

Eine Sicherheitsdomäne ist der bestimmende Faktor bei der Klassifizierung einer Enklave von Servern/Computern. Ein Netzwerk mit einer anderen Sicherheitsdomäne wird von anderen Netzwerken getrennt gehalten. Wikipedia

Implementierung

Zum Bestimmen der Kontrollen zwischen Sicherheitsdomänen können Sie Folgendes definieren: das Internet als nicht vertrauenswürdig, das DMZ als halb vertrauenswürdig und interne Netzwerke als vertrauenswürdig.

Daher würden Sie mehrere Ebenen von Sicherheitskontrollen zwischen dem Internet und Ihrer DMZ verwenden, darunter: L3-Firewalls, IPS, AV, Reverse-Proxy/Load-Balancing, L7-Filterung.

Von den DMZ Hosts) zurück zu Ihrem internen Netzwerk würden Sie zusätzliche Schichten verwenden: L3-Firewalls, L7-Filterung (z. B. RPC), IPS/AV.

Der Zugriff mit den geringsten Berechtigungen zwischen Sicherheitsdomänen ist auch der Schlüssel zur Maximierung der Effektivität der Sicherheitskontrollen.


Ist die erste Darstellung aus Sicherheitsgründen in Ordnung?

Ich würde nein raten, da es an Tiefenverteidigung mangelt. Es gibt nur eine einzige Zugriffskontrolle zwischen der Internet-DMZ und dem DMZ-LAN. In der Regel weist eine hochsichere Architektur eine Herstellertrennung und Ebenen von Zugriffskontrollen (L3 FW, WAF, IPS, AV usw.) auf.

11
lew

Es gibt absolut keine absoluten Sicherheit.

Aus Trainingssicht - ich würde sagen, das erste ist klarer. Es zeigt das Konzept, dass die Außenwelt diese verschiedenen Schichten durchläuft und dass es einfacher ist, die DMZ] zu treffen, und vermutlich ist das Risiko geringer, was dort stationiert ist.

Es ist auch aus Sicht der geschichteten Verteidigung besser - wie in anderen Antworten sehr gut hervorgehoben.

Aus Kostengründen ist dies jedoch weniger praktisch. Und ich habe im unteren Diagramm viele, viele Varianten gesehen - alle Segmentierungsnetzwerke aus verschiedenen Gründen, die aus verschiedenen Kosten oder aus anderen praktischen Gründen versuchen, mit weniger mehr zu erreichen.

Ich glaube nicht ehrlich, dass es einen "richtigen Weg" oder ein "richtiges Diagramm" gibt. Faktoren umfassen:

  • Kompromiss zwischen Kosten und Risiko - Mehrere Schichten von Firewalls mit verschiedenen Anbietern sind definitiv sicherer und auch teurer. Ein Muss für einen Betrieb mit hohem Wert und hohem Risiko. Overkill für einen Betrieb mit geringem Wert und geringem Risiko - da es nicht nur teuer zu kaufen, sondern auch zu warten ist und Sie den Faktor abwägen müssen, wie Menschen diese Dinge warten, und das Risiko von Lücken und Fehlkonfigurationen. Eine gut konfigurierte Firewall ist besser als zwei weit geöffnete Firewalls, da die Person, die sie konfiguriert, nicht genug wusste, um die Aufgabe richtig zu erledigen!

  • Klarheit - Wie sieht das Netzwerk wirklich aus? Wenn es nur eine Firewall gibt, zeichnen Sie das Diagramm entsprechend. Lassen Sie die Leute nicht nach einer zweiten Firewall suchen. Es sei denn, Sie sprechen von einer logischen Schicht und nicht von einer physischen Schicht. In diesem Fall befinden sich möglicherweise beide "Wände" auf demselben Gerät. Der Sinn eines Diagramms ist es, Menschen dabei zu helfen, Dinge zu tun ... ein Diagramm ist "richtig" oder "falsch", nur in Bezug auf seine Fähigkeit, dieses Bedürfnis zu erfüllen.

Ich würde sagen, wenn Ihr Chef behauptet, dass seine Zeichnung der absolut "richtige Weg" ist - er ist verrückt ... es gibt viele öffentliche Beispiele, um dem entgegenzuwirken.

Wenn es der klarste Weg ist, das zu beschreiben, mit dem Sie arbeiten, dann hat er Recht.

8
bethlakshmi

Ich werde einige Dinge wiederholen, die andere gesagt haben, aber hier geht es.

Zunächst würde ich über wie viel Sicherheit gewünscht wird, die Kosten, um dies zu erreichen, und die Probleme nachdenken, die auftreten, wenn etwas ausfällt und die Kommunikation zwischen der Sicherheitszone und dem Internet verloren geht .

Ihr Szenario sieht etwas ausgefeilter aus, da es mehr Ebenen aus der dunklen Welt gibt, bis Ihre geheimen Daten erreicht sind. Aber es bringt auch mehr Kosten mit sich, es gibt mehr Fehlerquellen.

Das zweite Szenario ist genauso sicher wie die Firewall. Wenn Sie das DMZ kompromittiert) erhalten, wird der Angriff nicht einfacher, da es durch die Firewall gehen muss und die Firewall der Widerstand in allen Konzepten ist.

Tut mir leid, aber wenn die Frage nur lautete: "Welche ist richtig: zwei Firewalls oder eine einzige?", Konnte ich keinen Hinweis finden, um darüber zu entscheiden.

3
woliveirajr

Mir ist nicht klar, was Sie unter einer "hochsicheren Netzwerkarchitektur" verstehen. Sie müssten detaillierter überlegen, welche Sicherheitsziele Sie haben, welche Anforderungen an die Informationssicherheit gestellt werden und in welcher Bedrohungslandschaft Sie sich weiterentwickeln, um geeignete Sicherheitskontrollen zu entwerfen und zu implementieren.

Ich werde jedoch versuchen, Ihre Frage auf hohem Niveau zu beantworten.

Ja, die erste Sicherheitsarchitektur ist unter Sicherheitsgesichtspunkten im Allgemeinen in Ordnung. Es gibt Variationen dieser Architektur (z. B. hängen Sie die DMZ an die externen und/oder internen Firewalls und/oder dazwischen) an, aber ich glaube nicht, dass dies für Ihre Frage hier relevant ist Bühne.

Meines Wissens nach war diese Architektur zu einer Zeit populärer, als Firewalls mehrere bekannte öffentliche Schwachstellen in ihrer Implementierung aufwiesen, die es ermöglichten, die Firewalls selbst zu umgehen oder sogar auszunutzen, und ohne andere mildernde Kontrollen.

Wenn Sie eine andere Implementierung für Ihre externen und internen Firewalls verwenden, wenden Sie lediglich das Prinzip der natürlichen Auswahl auf Ihre Architektur an. Dies ist im Allgemeinen eine gute Sache: Wenn eine Implementierung für einen bestimmten Angriff anfällig ist, funktioniert derselbe Angriff möglicherweise nicht auf einem unterschiedliche Implementierung, wenn ihre jeweiligen Merkmale unterschiedlich genug sind. Sie entfernen hoffentlich einen einzelnen Fehlerpunkt (aus Sicht der Implementierung) der "Firewall-Sicherheitsfunktion".

Abhängig von Ihren Anforderungen an die Verfügbarkeit von Informationen müssen Sie möglicherweise unter anderem das Clustering Ihrer externen und internen Firewalls in Betracht ziehen.

Die zweite Architektur ist auch aus Sicherheitsgründen gültig, und ich glaube, sie ist jetzt beliebter als die erste (Kostenhilfe). Sie haben einen potenziellen Single Point of Failure der Firewall-Sicherheitsfunktion. Die meisten Unternehmen hätten jedoch (hoffentlich) inzwischen erkannt, dass Sie sich nicht nur auf Ihre Firewall verlassen können, um Sicherheitsdienste bereitzustellen. Router/Switches/Host-Firewalls/etc. können alle zur Sicherheitslage eines Unternehmens beitragen und so einige oder alle Schäden mindern, die durch einen Kompromiss einer (einzelnen) Firewall-Implementierung verursacht werden. Es scheint auch, dass Firewalls heutzutage etwas solider sind und dass sich Angriffe auf höhere, aber weichere OSI-Schichten verlagert haben, z. Anwendungen.

Ich würde die zweite Architektur für die meisten Bereitstellungen in Betracht ziehen. Ich kann die erste Architektur unter bestimmten Umständen in Betracht ziehen, einschließlich, aber nicht beschränkt auf Sicherheitsziele und -anforderungen, die Motivation potenzieller Angreifer und vor allem Ressourcen.

3
obscure

Das Risiko ist im ersten Diagramm bei weitem viel schlimmer. Machen Sie einen Schritt zurück und lesen Sie über militärische DMZs. Sie sind im Grunde Orte, an denen Sie Dinge platzieren, die Sie nicht schützen möchten. Es ist zunächst eine schlechte Terminologie und eine veraltete Idee in der IT. Angenommen, Sie haben eine viel größere Umgebung mit unterschiedlichen Sicherheitsstufen. Sie können nicht alle Daten in eine Zone werfen (geschweige denn, Ihr mit Malware infizierter LAN-Verkehrspilfer hat dies gedacht). Sie benötigen mehrere Sicherheitszonen (mehrere DMZs, wenn Sie diesem Begriff zugeordnet sind, nenne ich sie sichere Segmente). Wie würden Sie beispielsweise jedem der obigen Diagramme 20 verschiedene Sicherheitszonen hinzufügen? Fügen Sie sie entsprechend ihrer Sicherheitsstufe weiter in Serie hinzu? oder nach Bedarf parallel hinzufügen? Der Grund, warum die meisten modernen Firewalls mehrere Schnittstellen haben (einige große haben bis zu 100 Schnittstellen), ist, dass wir parallel sichere Subnetze hinzufügen. In einer Hochsicherheitsumgebung haben Sie möglicherweise separate Sicherheitszonen für Webserver im Vergleich zu DNS-Servern im Vergleich zu Mailservern usw. Auf diese Weise hat der Angreifer, wenn Ihre Webserver in Besitz genommen werden, keinen zusätzlichen Grund gewonnen, Ihren Mailserver oder irgendetwas anderes zu gefährden . Wenn Sie ein Dienstanbieter sind, der ein Dutzend zusammengestellte Clients hostet, können Sie jeden hinter eine andere Schnittstelle stellen, damit sie sich nicht gegenseitig angreifen (oder Würmer verbreiten), anders als über das Internet. Schauen Sie sich auf einigen Websites großer Anbieter (Cisco & Juniper) um und lesen Sie die Dokumentation zu den größeren Firewalls und die Anzahl der von ihnen unterstützten Schnittstellen. Sie möchten weiterhin interne Firewalls und Web Application Firewalls (WAFs) wie Imperva (oder mod_security-Proxys), aber auch diese internen Bereiche müssen segmentiert und unterteilt werden. Das alte Sandwich-Diagramm (IT-Architektur der 70er bis 80er Jahre) ist in Bezug auf die Sicherheit ein großer Fehler und muss entfernt werden.

3
Trey Blalock

Ja, zusätzlich zur vorherigen Antwort könnte ich ein IPS) hinzufügen, um Angriffe zu blockieren, die die Firewall nicht abfangen würde, da diese Angriffe auf die offenen Ports abzielen würden.

2
Justin Andrusk

Dies hängt von der Art der Netzwerkarchitektur Ihres Gebäudes ab.

Das erste Beispiel ist ideal für Situationen wie das Hosten einer großen Web-App. Sie bauen die Sicherheit in Ihren Ebenen auf, sodass Balancer-Ebenen, App-Ebenen und Datenebenen jeweils durch unterschiedliche Sicherheitsmaßnahmen abgeschirmt werden, aber in eigenen vertrauenswürdigen Netzwerken arbeiten.

Im zweiten Beispiel genau so, wie es beschrieben wird, hängt ein LAN daran. Diese Option ist auch ideal für Situationen, in denen Sie den Datenverkehr gestalten müssen, um die QoS sicherzustellen.

Um Ihre Frage zu beantworten, sind beide gültig und beide haben ihre eigenen Vorteile. Es gibt keine einzige Silberkugel.

2
Vincent

Die meisten Firewall-Ingenieure haben meistens das zweite Diagrammmodell bereitgestellt, da eine Reihe von Firewalls kostengünstiger und einfacher zu konfigurieren und zu verwalten sind. Sie können jeden Port in der Firewall für die physische Verbindung nach außen, innen und zu jedem DMZ verwenden oder Multi-Context (ähnlich wie VM) verwenden, um Umgebungen virtuell zu trennen. Wir verwenden das 2. Modell in unseren kleineren Rechenzentren und das 1. Modell mit Multi-FW in unseren Unternehmens-Rechenzentren. Auditoren lieben das 1. Modell für Unternehmensstandorte, da eine falsch konfigurierte Regel im 2. Modell dazu führen kann, dass ein Angreifer, der die Kontrolle über Ihren DMZ Server übernommen hat, möglicherweise die Kontrolle über Ihr Netzwerk erlangt. Dies ist beim ersten Modell viel schwieriger, da ein Angreifer zwei Firewalls durchlaufen muss, um ins Innere zu gelangen. Ein Firewall-Administrator macht möglicherweise einen Fehler beim Testen auf einer Firewall, jedoch nicht auf zwei (normalerweise). Wir haben letzte Woche gerade mehrere Firewalls bereitgestellt. Wenn Firewalls im Internet eine Verbindung zu mehreren DMZ und Load Balancern herstellen ... und innerhalb von Firewalls eine Verbindung zu denselben DMZ/Load Balancern herstellen. Auch die 2nd/Inside-Firewall verfügt über einen Multi-Kontext im Inneren. Dies bietet eine Firewall zwischen WAN, Produktion und keiner Produktionsumgebung ... in der Produktionsserver auf alles zugreifen können, aber WAN auf Produktionsserver unter www und https (usw.) zugreifen oder RDP-Zugriff auf Administratoren ermöglichen kann Produktions- und DEV/QA-Server innerhalb der Firewall.

2
Matt

Ihr Chef hat recht.

Die erste Darstellung hat viele Probleme oder Schwächen.

  1. HA (Hochverfügbarkeit): Sie benötigen 4 FW (2 externe und 2 interne) = $$$
  2. Verwaltung: "Als sicherer angesehen, da Sie zwei verschiedene Firewall-Marken verwenden können" ... viel Verwaltungsaufwand (Aktualisierung, Regeln, Protokollierung, Lizenzierung). Wenn Sie Ihrer FW nicht vertrauen können und eine andere von einem anderen Hersteller benötigen, haben Sie ein Problem !!!
  3. IP: Dieses Design kann ein Albtraum mit Natting, Routing usw. sein.
  4. Risiko: In diesem Design befindet sich ein kompromittierter DMZ Host) an einem schönen Ort zum Schnüffeln und Man-in-the-Middle-Angriff gegen Benutzer in der LAN-Zone.

Im wirklichen Leben ist das zweite Design sicherer und einfacher als das erste.

  1. HA (Hochverfügbarkeit): Sie benötigen nur eine weitere FW.
  2. Management: Nur eine Box zum Verwalten
  3. IP: Einzelpunkt zum Verwalten des Verkehrs für das Routing oder Nating
  4. Risiko: Wenn ein Host in der DMZ] gefährdet ist, ist diese Bedrohung in der DMZ enthalten
2
L_g__n

Die Antwort auf die Frage, welches der beiden Designs "richtig" ist, kann nur auf den Anforderungen basieren, die an die zu entwerfende Lösung gestellt werden. Als solche haben beide Modelle Vor- und Nachteile, aber es kommt wirklich auf ZWEI PRIMÄR UNTERSCHIEDLICHE GESCHÄFTSFAHRER an:

Wenn das Unternehmen Anforderungen mit Aussagen wie:

"Wir brauchen ein Internet/DMZ Sicherheitsdesign, das ...
* kostengünstig, kostengünstigste, einfache, einfache Konstruktion, einfach zu verwalten, billig und schmutzig, angemessener Schutz ... * usw."

Dann ist die 3-LEGGED FW (Beispiel 2) das Modell, das Sie als Grundlage für Ihr Design verwenden sollten. Und in einer Welt, in der "SAVE $$$" "Reduce Costs" häufig die Haupttreiber sind, ist dies der Hauptfaktor, warum das 3-LEGGED FW Design bei weitem die beliebteste Bereitstellung ist - selbst für größere Unternehmen.

Wenn das Unternehmen Anforderungen mit Aussagen wie:

"Wir brauchen ein Internet/DMZ Sicherheitsdesign, das ...
hoch/extrem gesichert, bietet den besten Internetschutz unabhängig von den Kosten, Schutz unserer internen Unternehmenssysteme sind ein MUSS ... usw. "

Dann ist das Modell FW-Sandwich/2-Teir FW/Layered DMZ (Beispiel 1)) das, das Sie als Grundlage für Ihr Design verwenden sollten. Der Grund ist äußerst einfach ... Layered DMZ Sicherheit fügt dem Internet-Hacker zusätzliche eindeutige Eintrittsbarrieren hinzu. Wenn er die erste FW durchläuft, landet er auf der nächsten Ebene und der nächsten und dann der internen Backend-FW vor ihm hat endlich die Kronjuwelen der Unternehmensdaten erreicht. Das 3-LEGGED FW-Modell ist eine Schutzschicht. Wenn eine schlecht/falsch konfigurierte FW kompromittiert wird, hat er direkten Zugriff auf das interne Netzwerk. SCHLECHT!

Meine früheren Entwürfe sind komplexer als eine vordere und hintere FW. In einem extrem hochsicheren ISP/DMZ-Design habe ich FW, IPS, Front VIP Netzwerk, DMZ VIP Load)) aufgebaut Balancer, Private Farm-Netzwerke und dann die Back-End-FWs mit interner Ausrichtung. Jede dieser Ebenen bietet dem Hacker eine einzigartige zusätzliche Eintrittsbarriere. Wir legen außerdem strenge Entwurfsregeln fest, nach denen "eine Ebene im Entwurf nur sprechen darf" zur nächsten Ebene und diese Ebene nicht als Verknüpfung umgehen "

Dieses Design ist sicherlich teurer, aber für große Unternehmen, bei denen Bank-, Finanz-, große Datenbanken mit Kundeninformationen usw. geschützt werden müssen, wäre es dumm, eine dreibeinige FW zu verwenden, die es zur einzigen Barriere zwischen den Hackern und diesen macht Kronjuwelen.

1
user27666