it-swarm.dev

Public DMZ architettura di rete

Anni fa, quando ero uno studente, un professore di sicurezza della rete mi ha insegnato in una classe cos'è un DMZ. L'architettura che ha usato nelle sue diapositive era simile a questa:

Double firewall DMZ

Ora che mi sono assunto, il mio capo, un ingegnere della sicurezza con oltre 10 anni di esperienza, ha un diverso punto di vista. Per lui, un DMZ non dovrebbe essere inserito in un "sandwich" tra la LAN e Internet. Invece, dovrebbe essere come quello illustrato di seguito:

Single firewall DMZ

Durante la ricerca con Google di architetture di rete con una DMZ, ho trovato rappresentazioni diverse e mi sono confuso ancora di più. Quindi la mia domanda è: come dovrebbe essere inserito un DMZ in un'architettura di rete altamente sicura? La prima rappresentazione è OK dal punto di vista della sicurezza?

25
lisa17

I due sono funzionalmente equivalenti: il DMZ è effettivamente in un sandwich, poiché deve avere connessioni dal mondo esterno con firewall, ma anche firewall che limitano l'accesso da esso alla rete interna.

Mentre quest'ultimo diagramma è spesso ciò che accade (per motivi di costo - sono necessari meno firewall), il primo è considerato più sicuro in quanto è possibile utilizzare due diverse marche di firewall, il che aiuta a evitare un attacco al firewall che violi entrambi. Laddove utilizzi un firewall, usi set di regole per ogni direzione e ogni connessione - e funzionalmente questo è lo stesso degli insiemi di regole nel secondo esempio.

Questo è solo un leggero miglioramento della sicurezza, poiché in genere non si attaccano i firewall: si utilizzano le porte aperte per passare direttamente e attaccare il server web, il server di posta o addirittura passare direttamente per attaccare il database, ma tutti i livelli di sicurezza Aiuto.

18
Rory Alsop

Come dovrebbe essere collocato un DMZ in un'architettura di rete altamente sicura?

La chiave è la difesa in profondità tra i domini di sicurezza. L'estensione dell'architettura distribuita dipenderà dalle risorse disponibili, compresi limiti finanziari e capacità tecniche.

Difesa in profondità

La difesa in profondità è un concetto di assicurazione delle informazioni (IA) in cui più livelli di controlli di sicurezza (difesa) sono collocati in un sistema di tecnologia dell'informazione (IT). È una tattica di stratificazione, per mitigare le conseguenze di un singolo controllo di sicurezza fallito. Wikipedia

Domini di sicurezza

Un dominio di sicurezza è il fattore determinante nella classificazione di un'enclave di server/computer. Una rete con un dominio di sicurezza diverso viene mantenuta separata dalle altre reti. Wikipedia

Attuazione

Ai fini della determinazione dei controlli tra domini di sicurezza che è possibile definire; Internet non attendibile, DMZ come semi-attendibile e reti interne come attendibili.

Pertanto, utilizzeresti più livelli di controlli di sicurezza tra Internet e la tua DMZ, che potrebbero includere: firewall L3, IPS, AV, proxy inverso/bilanciamento del carico, filtro L7.

Dal DMZ Host (s) alla tua rete interna, impiegheresti livelli aggiuntivi di: firewall L3, filtro L7 (ad esempio RPC), IPS/AV.

Anche l'accesso ai privilegi minimi tra domini di sicurezza è la chiave per massimizzare l'efficacia dei controlli di sicurezza.


La prima rappresentazione è OK dal punto di vista della sicurezza?

Vorrei consigliare di no, a causa della mancanza di difesa in profondità. Esiste un solo controllo di accesso tra Internet-DMZ e DMZ-LAN. In genere un'architettura altamente sicura avrebbe la separazione dei fornitori e livelli di controlli di accesso (L3 FW, WAF, IPS, AV, ecc.).

11
lew

Non ci sono assolutamente assoluti in termini di sicurezza.

Dal punto di vista dell'allenamento, direi che il primo è più chiaro. Mostra il concetto che il mondo esterno attraversa questi vari livelli e che è più facile colpire il DMZ e presumibilmente ciò che è di stanza lì è a rischio minore.

È anche meglio da un punto di vista della difesa a più livelli - come sottolineato in altre risposte molto bene.

Ma è meno pratico dal punto di vista dei costi. E ho visto molte, molte varianti nel diagramma inferiore - tutte le reti di segmentazione per vari motivi, cercando di fare di più con meno per vari costi o altri motivi pratici.

Onestamente non credo che esista un "modo giusto" o un "diagramma giusto". I fattori includono:

  • compromesso tra costo e rischio - più livelli di firewall con diversi fornitori è sicuramente più sicuro, è anche più costoso. Un must per un'operazione ad alto valore/alto rischio. Overkill per un'operazione a basso valore/basso rischio - poiché non è solo costoso da acquistare, ma anche da mantenere, e devi soppesare il fattore di mantenimento di queste cose da parte dell'uomo e il rischio di lacune e configurazioni errate. Un firewall ben configurato sarà migliore di due firewall spalancati perché la persona che li ha configurati non sapeva abbastanza per fare bene il lavoro!

  • chiarezza - che aspetto ha davvero la rete? Se esiste un solo firewall, disegna il diagramma di conseguenza, non lasciare che la gente cerchi un secondo firewall. A meno che non si parli di un livello logico e non di un livello fisico, nel qual caso entrambi i "muri" possono trovarsi sullo stesso dispositivo. Lo scopo di un diagramma è aiutare gli umani a fare le cose ... un diagramma è "giusto" o "sbagliato" solo in termini della sua capacità di soddisfare questa esigenza.

Direi che se il tuo capo afferma che il suo disegno è il "modo giusto" assoluto - è fuori di testa ... ci sono molti esempi pubblici per contrastarlo.

Se è il modo più chiaro per descrivere la cosa con cui stai lavorando, allora ha ragione.

8
bethlakshmi

Ripeterò alcune cose che altri hanno detto, ma ecco qui.

Prima di tutto, penso a quanta sicurezza è richiesta, il costo per raggiungerlo e i problemi che sorgeranno se qualcosa fallisce e la comunicazione viene persa tra la zona sicura e Internet .

Il tuo cenario sembra un po 'più sofisticato, perché ci sono più livelli dal mondo oscuro fino al raggiungimento dei tuoi dati segreti. Ma aggiunge anche più costi, esistono più punti di errore.

Il secondo cenario è sicuro come lo è il firewall. Ottenere DMZ compromesso non renderà più facile l'attacco, poiché deve passare attraverso il firewall e il firewall è l'elemento di resistenza in tutto il concetto.

E scusa, ma se la domanda riguardasse solo "quale è corretta: due firewall o uno solo?", Non sono riuscito a trovare alcun riferimento per deciderlo.

3
woliveirajr

Non sono chiaro su cosa intendi per "architettura di rete altamente sicura". Dovresti considerare più in dettaglio quali sono i tuoi obiettivi di sicurezza, i requisiti di sicurezza delle informazioni e il panorama delle minacce in cui ti stai evolvendo per progettare e attuare controlli di sicurezza adeguati.

Cercherò comunque di rispondere alla tua domanda ad alto livello.

Sì, la prima architettura di sicurezza è OK dal punto di vista della sicurezza in generale. Esistono variazioni di questa architettura (ad esempio, si allega DMZ ai firewall esterni e/o interni e/o nel mezzo) ma non credo che sia rilevante per la tua domanda in questo palcoscenico.

La mia comprensione è che questa architettura era più popolare in un momento in cui i firewall presentavano più vulnerabilità pubbliche note nella loro implementazione che consentivano di bypassare o persino lo sfruttamento dei firewall stessi e in assenza di altri controlli attenuanti.

Usando un'implementazione diversa per i tuoi firewall esterni e interni, stai solo applicando il principio della selezione naturale alla tua architettura ed è generalmente una buona cosa: se un'implementazione è vulnerabile a un attacco specifico, lo stesso attacco potrebbe non funzionare su un diversa implementazione se i loro rispettivi tratti sono abbastanza diversi. Si spera di rimuovere un singolo punto di errore (dal punto di vista dell'implementazione) della "funzione di sicurezza del firewall".

Ovviamente, a seconda dei requisiti di disponibilità delle informazioni, potrebbe essere necessario prendere in considerazione il clustering dei firewall esterni e interni tra le altre cose.

La seconda architettura è valida anche dal punto di vista della sicurezza e credo che ora sia più popolare della prima (assistenza ai costi). Esiste un potenziale singolo punto di errore della funzione di sicurezza del firewall. Tuttavia, la maggior parte delle organizzazioni dovrebbe (si spera) ormai capito che non è possibile fare affidamento sul proprio firewall solo per fornire servizi di sicurezza. Router/switch/firewall host/ecc. tutti possono contribuire alla posizione di sicurezza di un'organizzazione mitigando in tal modo alcuni o tutti i danni causati da un compromesso di una (singola) implementazione del firewall. Sembra anche che i firewall siano un po 'più solidi al giorno d'oggi e che gli attacchi si siano spostati su livelli OSI più alti ma più morbidi, ad es. applicazioni.

Considererei la seconda architettura per la maggior parte delle distribuzioni. Potrei prendere in considerazione la prima architettura in alcune circostanze specifiche, inclusi, a titolo esemplificativo, obiettivi e requisiti di sicurezza, motivazioni di potenziali aggressori e, soprattutto, risorse.

3
obscure

Il rischio è di gran lunga peggiore nel primo diagramma. Fai un passo indietro e leggi le DMZ militari che sono fondamentalmente luoghi in cui metti cose che non ti interessano proteggere. È una cattiva terminologia per cominciare e un'idea obsoleta nell'IT. Ora diciamo che hai un ambiente molto più grande con diversi livelli di sicurezza, non puoi buttare tutti i dati in una zona (tanto meno consentire al tuo navigatore del traffico LAN infetto da malware di pensarlo). Avrai bisogno di più zone di sicurezza (più DMZ se sei collegato a quel termine, le chiamo segmenti sicuri). Come aggiungeresti 20 diverse zone di sicurezza a ciascuno dei diagrammi sopra? Continuare ad aggiungerli in serie in base al loro livello di sicurezza? o aggiungerli in parallelo secondo necessità? La ragione per cui la maggior parte dei firewall moderni ha interfacce multiple (alcune di grandi dimensioni hanno fino a 100 interfacce) è perché in parallelo aggiungiamo sottoreti sicure. In un ambiente ad alta sicurezza potresti avere zone di sicurezza separate per server Web rispetto a server DNS rispetto a server di posta, ecc. In questo modo, se i tuoi server Web diventano di proprietà, l'aggressore non ha guadagnato terreno aggiuntivo per compromettere il tuo server di posta o qualsiasi altra cosa . Allo stesso modo, se sei un fornitore di servizi che ospita una dozzina di clienti collocati, puoi mettere ognuno dietro un'interfaccia diversa in modo che non possano attaccarsi a vicenda (o diffondere worm) in modo diverso dall'attacco via Internet. Navigare in alcuni dei siti Web dei grandi fornitori (Cisco e Juniper) e consultare la documentazione relativa ai firewall più grandi e al numero di interfacce supportate. Avrai comunque bisogno di firewall interni e Web Application Firewall (WAF) come Imperva (o proxy mod_security) ma anche queste aree interne dovranno essere segmentate e suddivise in compartimenti. Il vecchio diagramma a sandwich (architettura IT anni '70 -'80) è un grande difetto di sicurezza e deve andare via.

3
Trey Blalock

Sì, oltre alla risposta precedente, potrei aggiungere un IPS per bloccare gli attacchi che il firewall non catturerebbe poiché quegli attacchi avrebbero preso di mira le porte aperte.

2
Justin Andrusk

Dipende dal tipo di architettura di rete dell'edificio.

Il primo esempio è ideale per situazioni come l'hosting di un'app Web di grandi dimensioni, con cui si crea la sicurezza nei livelli, in modo che i livelli di bilanciamento, il livello di app, il livello di dati, ciascuno protetto da firewall mediante misure di sicurezza diverse, ma lavori su reti proprie attendibili.

Nel secondo esempio esattamente come viene descritto, con una LAN sospesa. Inoltre, questa opzione è ideale per le situazioni in cui è necessario essere in grado di modellare il traffico per garantire la qualità del servizio.

Quindi, per rispondere alla tua domanda entrambi sono validi ed entrambi hanno i propri vantaggi, non esiste un proiettile d'argento.

2
Vincent

La maggior parte degli ingegneri Firewall ha implementato per lo più il modello del secondo diagramma poiché una serie di firewall è meno costosa, più facile da configurare e gestire. È possibile utilizzare ciascuna porta sul firewall per la connessione fisica all'esterno, all'interno e ogni DMZ oppure utilizzare il multi contesto (molto simile alla VM) per separare virtualmente gli ambienti. Usiamo il 2 ° modello nei nostri data center più piccoli e utilizziamo il 1 ° modello con multi-FW nei nostri data center aziendali. I revisori adorano il 1 ° modello per le sedi aziendali poiché una regola mal configurata sul 2 ° modello può causare un utente malintenzionato che ha preso il controllo del server DMZ, forse ottenere il controllo all'interno della rete. Questo è molto più difficile sul 1 ° modello, poiché un attaccante deve passare attraverso due serie di firewall per entrare all'interno. Un amministratore del firewall può commettere un errore, forse per il test su un firewall ma non su due (di solito). La scorsa settimana abbiamo appena implementato più firewall. Con i firewall su Internet terminano la connessione a multi DMZ e Load Balancers ... e all'interno dei firewall, connettendosi agli stessi DMZ/Load Balancers. Anche il 2 °/firewall interno ha multi contesto all'interno. Che fornisce firewall tra WAN, ambienti di produzione e nessuno ... in cui i server di produzione possono accedere a qualsiasi cosa, ma WAN possono accedere ai server di produzione su www e https (ecc.) O consentire l'accesso RDP agli amministratori server di produzione e DEV/QA all'interno di Firewall.

2
Matt

Il tuo capo ha ragione.

La prima rappresentazione presenta molti problemi o punti deboli.

  1. HA (alta disponibilità): avrai bisogno di 4 FW (2 esterni e 2 interni) = $$$
  2. Gestione: "considerata più sicura in quanto è possibile utilizzare due diverse marche di firewall" ... molte spese generali di gestione (aggiornamento, regole, registrazione, licenze). Se non puoi fidarti del tuo FW e ne hai bisogno di un altro di un altro produttore, hai un problema !!!
  3. IP: questo design può essere un incubo con natting, routing, ecc.
  4. Rischio: in questo progetto, un compromesso DMZ l'host è in una posizione favorevole per lo sniffing e l'attacco man-in-the-middle contro gli utenti nella zona LAN.

Nella vita reale, il secondo design è più sicuro e più semplice del primo.

  1. HA (alta disponibilità): hai solo bisogno di un altro FW.
  2. Gestione: solo una scatola da gestire
  3. IP: punto singolo per gestire il traffico per routing o nating
  4. Rischio: se un host nella DMZ è compromesso, questa minaccia è contenuta nella DMZ
2
L_g__n

La risposta alla domanda su quale dei due progetti è "giusta" può basarsi solo sui requisiti posti sulla soluzione che viene progettata. In quanto tale, entrambi i modelli presentano vantaggi e svantaggi, ma in realtà dipende da DUE PRIMARI DIFFERENTI BUSINESS DRIVER:

Se l'azienda richiede requisiti con dichiarazioni come:

"Abbiamo bisogno di un Internet/DMZ disegno di sicurezza che è ...
* economico, dal costo più basso, design semplice e di base, semplice da gestire, economico e sporco, protezione adeguata ... * eccetera."

Quindi il 3-LEGGED FW (esempio n. 2) sarà il modello che dovresti usare come base per il tuo design. E in un mondo in cui "SAVE $$$" "Riduci i costi" sono spesso i driver n. 1, è il fattore principale per cui il design FW 3-LEGGED è di gran lunga la distribuzione più popolare, anche per le organizzazioni più grandi.

Se l'azienda richiede requisiti con dichiarazioni come:

"Abbiamo bisogno di un Internet/DMZ disegno di sicurezza che è ...
altamente/estremamente sicuro, fornisce la migliore protezione di Internet indipendentemente dai costi, la protezione dei nostri sistemi aziendali interni è DEVE ... ecc. "

Quindi il modello FW-Sandwich/2-Teir FW/Layered DMZ (esempio n. 1) è quello che dovresti usare come base per il tuo design. Il motivo è estremamente semplice ... Layered DMZ la sicurezza aggiunge ulteriori barriere uniche all'ingresso per l'hacker di Internet. Se supera il primo FW, atterra al livello successivo e al successivo, quindi al FW interno back-end prima di è finalmente arrivato ai gioielli della corona dei dati aziendali. Il modello FW 3-LEGGED è 1 livello di protezione in base al quale se FW scarsamente/configurato male viene compromesso - ha accesso diretto alla rete interna.

I miei progetti passati sono più complessi di un FW anteriore e posteriore. In un design ISP/DMZ estremamente sicuro, ho progettato FW, IPS, front VIP, DMZ VIP Load Bilanciatori, reti di aziende agricole private, quindi FW interni di back-end. Ciascuno di questi livelli aggiunge un unico ostacolo aggiuntivo all'ingresso per l'hacker. Abbiamo anche stabilito regole di progettazione rigorose che affermano che "un livello nella progettazione deve solo parlare al livello successivo e non bypassare quel livello come scorciatoia "

Questo design è sicuramente più costoso, ma per le aziende di grandi dimensioni in cui banche bancarie, finanziarie, grandi database di informazioni sui clienti, ecc. DEVONO ESSERE PROTETTI, sarebbe sciocco usare un FW a 3 zampe che lo rende l'unica barriera tra gli hacker e questi gioielli della corona.

1
user27666