Se você precisar abrir portas de DMZ para LAN, em que ponto a separação não vale mais a pena?

Não há medições realistas nas quais eu consideraria não usar uma DMZ. Com segurança, cada bit extra você pode obter ajuda. A ideia é limitar a quantidade de ataques possíveis. Como administradores, muitas vezes temos que lutar pela segurança que temos permissão para implementar, então pegue o que puder. Mesmo que você tenha que abrir completamente um host em sua lan para a DMZ, um host é muito melhor do que qualquer host.

Um exemplo realista do que você disse é colocar um servidor de troca de front-end na DMZ e um diretório de backend e ativo na LAN. Mesmo que estes ainda possam ser alcançados pela DMZ, pelo menos você limitou as possíveis maneiras de passar. Você pode, então, esforçar-se para observar quaisquer avisos de segurança relacionados a esses serviços específicos.

O objetivo de uma DMZ é geralmente separar a rede não confiável da rede confiável. Dependendo do nível de firewalls, você pode controlar muitos aspectos da conexão, além de abrir as portas.

Minha experiência tem sido que as empresas implementam uma política que impede que conexões não confiáveis se comuniquem diretamente com recursos confiáveis, com exceções sendo cuidadosamente revisadas. Por exemplo, os servidores proxy reversos na DMZ podem fornecer pré-autenticação para conexões não confiáveis antes de receberem dados de recursos confiáveis.

Outro ponto que vale a pena considerar é que, mesmo com a abertura de portas, é possível controlar quais dispositivos podem se comunicar por essas portas. Por exemplo, pode ser necessário abrir uma porta para permitir a comunicação SQL entre um servidor da Web no DMZ e um servidor SQL no ambiente de trabalho confiável, mas você pode restringir o tráfego que passa por essa porta apenas para o servidor da Web e o SQL servidor.

Por enquanto, cabe a você criar uma política de limites que forneça o nível mínimo de acesso para satisfazer os requisitos de seu aplicativo.

Eu não gosto do termo "DMZ" porque isso implica que há uma única zona na qual você joga coisas que você realmente não confia especificamente. Na verdade, muitos lugares terão apenas algum switch ou hub aleatório conectado a outra interface em seu firewall, e chamam isso de "DMZ".

Eu prefiro muito mais segregar serviços individuais em zonas individuais (geralmente uma mistura de interfaces no firewall e vlans em um switch conectado ao firewall). De lá, farei uma mistura de roteamento simétrico ou roteamento direto com regras de ACLs / firewall em uma base por serviço / por servidor. Se você é um servidor FTP, obtém acesso relacionado ao ftp; Servidor dns? Você obtém a porta 53, etc. Mas eu nunca coloco o servidor ftp e o servidor DNS no mesmo domínio de transmissão.

Para mim, o ponto de uma "DMZ" é principalmente agir como um único ponto para monitorar e regular o tráfego, não apenas para bloquear o tráfego. Você configura políticas com base no serviço e tem um único ponto de estrangulamento para configurar seu registro, monitoramento e filtragem.

Claro, se você acabar tendo que entrar diretamente em sua rede corporativa por qualquer motivo, pelo menos você ainda pode monitorar os logs para aquela regra específica que traz o tráfego, e monitorar esse host específico um pouco mais de perto do que os outros. Idealmente, você pode simplesmente mover esse servidor para a DMZ e permitir mais acesso de dentro da zona corporativa para essa zona de serviço do que seria permitido de fora; isso dá a você 100% de visibilidade no tráfego gerado por esse host, de modo que, se ele for comprometido pelo serviço de Internet, você verá rapidamente que ele está nos registros de tráfego.

Você não deve mover alguns dos serviços para a DMZ? Tente manter a LAN inacessível de qualquer lugar. Em seguida, gerencie a segurança na área da DMZ.