DMZ Setup com dois firewalls - Tráfego de DMZ para LAN e LAN para DMZ

4

Estou configurando uma rede com máquinas que precisam ser acessadas pela internet. Estou planejando colocar isso em uma DMZ. Algumas das máquinas na DMZ precisam de acesso a máquinas na rede privada e as máquinas na rede privada precisam de acesso a máquinas na DMZ.

Eu li que a implementação mais segura é uma com dois firewalls. Os dois firewalls que estou planejando usar são ambos CISCO ASA 5500.

Embora eu esteja interessado em saber como posso implementar isso com esses dispositivos específicos, também estou interessado no aspecto teórico porque estou criando documentação para clientes de nossa empresa sobre como configurar isso. Instruções específicas para os dispositivos que estou usando ajuda, mas também quero saber como resolver isso genericamente.

Eu tenho três máquinas específicas:

  • DMZ_Web
  • DMZ_Service
  • INT_SRV

Como seus nomes descrevem, DMZ_Web e DMZ_Service estão na DMZ e INT_SRV é o servidor interno.

Eu também tenho dois firewalls:

  • FW1
  • FW2

Resumindo:

  • Clientes Ext precisam acessar o DMZ_Web na porta 443
  • Ext Clientes precisam acessar o DMZ_Service na porta 3030
  • DMZ_Web precisa acessar o INT_SRV na porta 2020
  • Nos clientes, é necessário acessar o DMZ_Service na porta 3030

Rede:

  • O FW1 está conectado à internet, à DMZ e à rede interna
  • O FW2 está conectado à rede DMZ (interface externa) e a rede interna (interface interna)
  • Rede Interna é 192.168.1.0 255.255.0.0
  • A rede DMZ é 192.169.1.0 255.255.0.0
  • As máquinas DMZ têm duas NICs, uma conectada ao FW1 e uma conectada ao FW2. As NICs conectadas ao FW2 possuem IPs estáticos no intervalo 192.169.1.0. As NICs conectadas ao FW1 possuem IPs estáticos acessíveis publicamente pela Internet.

Link abaixo é um diagrama que espero que responda a muitas perguntas sobre topologia.

Acredito que posso precisar configurar algumas regras NAT estáticas para obter tráfego das máquinas DMZ para a rede interna e vice-versa, mas não tenho certeza.

Uma coisa que gostaria de salientar é que a rede interna está conectada ao FW1 & FW2 Está ligado ao FW1 para permitir o acesso à internet. Ele está conectado ao FW2 para que possa ter acesso aos dispositivos no DMZ.

Não tenho certeza se isso está correto. Se não estiver correto, qual é a implementação correta? Além disso, se não estiver correto, funcionará?

Eu procurei em todo o site, mas não consegui encontrar um local que implementasse toda a minha solução. Na maioria das vezes, era uma peça aqui e ali. Eu não consegui fazer todas as peças funcionarem juntas: (

    
por joeizy 11.05.2012 / 03:11

1 resposta

6

Se você for usar duas camadas de firewall, então a melhor prática de segurança determina que você use dois fornecedores diferentes, com a teoria de que a vulnerabilidade em um não estará no outro (na minha experiência, isso é verdade na prática) . Se você ainda não comprou os dois ASAs e seu orçamento permitir, recomendo usar uma solução diferente para uma das camadas.

Tecnicamente falando, o que você tem não é uma DMZ. Um DMZ verdadeiro estaria pendurado em sua camada de firewall externa e não na vlan entre as duas camadas de firewall. Isso é possivelmente semântica e pode não ser algo que você possa fazer muito. Para conexões de volta do seu DMZ para sua LAN, você só precisa passar por um firewall. A maioria das pessoas segregam essas zonas com dois firewalls com uma camada intermediária entre os dois firewalls. Seu projeto mescla a DMZ e a camada intermediária e, para ser honesto, os servidores da DMZ nessa configuração são um bom ponto de partida (se invadido) para a sua lan, onde presumo que dados mais importantes, etc., são mantidos.

Apenas imaginando, o seu orçamento permite switches L2 / L3 para que seus servidores não estejam diretamente conectados aos firewalls?

Para acesso interno da LAN aos servidores DMZ, não acredito que você precisará de regras NAT, pois você pode ter uma rota do seu LAB para a rede 192.169 para passar pelo firewall interno (supondo que esteja configurado para permitir e rotear esses pacotes).

Por que você está usando 192.169. . como um intervalo de IP interno? Leia o RFC1918, que não é um intervalo de IP privado.

Como os clientes acessam a Internet?

    
por 15.05.2012 / 17:47

Tags