Segurança de VLAN em comparação com DMZ

3

Eu encontrei esta pergunta iluminando sobre DMZs e quando colocar um servidor em um.

Estamos reorganizando nossa rede interna da empresa (mantendo os mesmos IPs e domínios externos), nossos principalmente servidores Windows (nós usamos muito o WinAD) serão mantidos na LAN com firewalls e portas encaminhamento para direcionar o tráfego externo.

Quais são as vantagens de segurança (des) que definem um servidor (exemplo: email) em uma VLAN diferente para o resto da rede interna em vez de dentro de uma DMZ?

    
por SteB 25.12.2012 / 21:39

1 resposta

10

Isso é um pouco de comparação de maçãs e laranjas. Um DMZ é um segmento de rede separado para sistemas com maior risco de comprometimento; uma vlan é um mecanismo para alcançar a separação lógica entre diferentes redes lógicas na mesma rede física.

A comparação que você provavelmente deseja fazer é a seguinte: Devo implementar minha DMZ por meio da separação física usando uma infraestrutura de rede separada ou por meio da separação lógica na mesma infraestrutura de rede?

Com a separação física, a principal barreira é o custo; você estará investindo em equipamentos de rede dedicados para o que soa como um pequeno número de sistemas DMZ. Há também tempo extra de gerenciamento envolvido na configuração e manutenção dessa infraestrutura.

Com a separação de vlan, você estará basicamente construindo a mesma infraestrutura lógica que com a separação física; uma vlan dedicada com sua própria sub-rede, o dispositivo que faz o roteamento entre as sub-redes aplicará controles de acesso, etc.

No entanto, a preocupação é a segurança; compartilhar a mesma infraestrutura física aumenta o número de possíveis superfícies de ataque para um invasor que comprometeu um dispositivo DMZ para tentar acessar a rede não DMZ.

Ao usar apenas a separação lógica, os ataques vlan hopping, bem como as explorações remotas diretas contra os dispositivos de rede acessíveis à DMZ (mas que atendem a ambas as redes) são riscos potenciais, além de um maior risco de configuração incorreta em um único dispositivo comprometendo a barreira entre as redes.

    
por 25.12.2012 / 22:49

Tags