topologia de rede incluindo muitos serviços

2

Eu sei que essa é outra pergunta sobre como configurar a rede, mas espero que você ainda não esteja entediado com essas questões.

O site também é um escritório, por isso inclui o windows dc, o anúncio do Windows, a troca, o sql, o compartilhamento de arquivos, os servidores de aplicativos de desenvolvimento e outros computadores.

Além das coisas de escritório (internas), há ambientes de teste e produção compostos por uma pilha de servidor-aplicativo-servidor da web. Há também serviço ftp aberto ao público.

Eu considero:

dmz1 - servidor web - borda de troca - ftp

dmz2 - servidor de aplicativos - sql para o servidor de aplicativos

interno - dc e anúncio - hub de troca e transporte - compartilhamento interno de arquivos - sql para uso interno - servidores de aplicativos para uso interno - peças

public - > dmz1, somente web, ftp e smtp público - > dmz2 não é possível público - > interno não é possível

dmz1 - > O dmz2 é possível de servidores da web para servidores de aplicativos usando http ou ajp dmz1 - > interno só é possível para troca, caso contrário não é possível

dmz2 - > interno não é possível

Isso soa bem? Alguma outra recomendação? Ele será configurado usando o MS ISA ou o Jupiter SSG. Obrigado.

    
por mete 08.01.2011 / 22:00

3 respostas

1

Então aqui estão meus 2 centavos. Você parece estar no caminho certo com a segmentação de rede. Aqui estão alguns pensamentos.

Onde o seu IDS vai se sentar? Se você tem 2 DMZs e uma zona interna, então parece que você gostaria de sensores IDS na frente de cada uma dessas zonas. No entanto, você precisa permitir o tráfego de seus sensores IDS na DMZ para a zona interna.

E enquanto estou nisso, como você está fornecendo serviços de DNS para os dispositivos na DMZ?

Um pensamento final é muito suspeito e bloqueia o seu servidor de FTP público, eles podem ser facilmente abusados.

    
por 09.01.2011 / 08:46
4

Do ponto de vista generalista, parece que você fez a devida diligência em seu projeto geral de rede. Aqui estão algumas coisas que eu recomendo que você tenha em mente:

  • Afie suas regras de firewall com muito cuidado. Como você já declarou, o seu DMZ2 não é acessível a partir da rede pública ou privada. Isso é ótimo! Você também afirmou que apenas alguns servidores podem acessar alguns outros servidores. Isso é ainda melhor! Certifique-se de que apenas o seu servidor de aplicativos possa acessar seu servidor SQL e, mesmo assim, apenas nas portas para as quais você precisa. Afine as necessidades de acesso de cada nó até o nível mais atômico!
  • Colete registros de acesso de todos os seus dispositivos e monitore-os para eventos. Use o Splunk, talvez? Mesmo apenas Syslog. Certifique-se de que os dados de acesso e tráfego sejam mantidos a longo prazo. Verifique quem acessa seus dispositivos quando e por quê.
  • Ative a análise de rede em seus dispositivos, se possível. Netflow / sFlow. Colete os dados e use softwares capazes de exibi-los de maneira significativa. Analise quais tipos de dados estão entrando e saindo de sua rede. Se nada te surpreende sobre o tráfego que você vê, você não está procurando o suficiente.
  • Você também deve proteger os firewalls de software individuais para cada uma dessas máquinas de modo que, se, por acaso, seus firewalls de hardware forem comprometidos e / ou uma regra errônea for implementada, os firewalls de software também estão bloqueando o tráfego que você não usa. t quer.
  • Documento até a ponta dos dedos sangrar, seus olhos lacrimejarem e você quiser ferir fisicamente a pessoa que inventou Wikis e repositórios de controle de documentos. Em seguida, documente um pouco mais. Você está entrando em um labirinto de passagens sinuosas todas iguais. Você precisará ser tão OCD com sua documentação que você precisará de paletas de Tofranil lançadas no ar para você (pacientes com TOC saberão o que é Tofranil.;)). Se alguém da sua equipe não documentar adequadamente em um ambiente de rede tão complexo, faça-o.
  • Você também pode considerar a possibilidade de criptografar fluxos de dados sempre que possível. No que diz respeito à sua camada da Web, talvez considere criptografar os fluxos com IPSEC. Isso pode ser um pouco exagerado, eu admito.

O objetivo final não é apenas diminuir a superfície de ataque, mas observar o tráfego que tenta tocar nas superfícies disponíveis e não disponíveis. É como garantir que um banco tenha todas as melhores fechaduras, cofres e mantraps, mas nunca monitorar o equipamento para ver se alguém está tentando um assalto. Suponha que, se houver tempo suficiente sem supervisão, qualquer um pode fazer qualquer coisa.

O seu servidor web e de banco de dados são como frascos dourados de nitro glicerina. Suponha que todos os querem para seu próprio lucro e também queiram explodir seu rosto com eles no processo. Realmente, qualquer dispositivo voltado para o público é.

Você está no caminho certo! Ótimo trabalho em segmentar sua rede. Você é uma cabeça acima de seus pares. Agora tente colocar a cabeça e ombros acima da norma.

    
por 08.01.2011 / 23:49
0

Sim, é mais uma dessas perguntas. Você não foi muito específico ao descrever suas necessidades / objetivos. A resposta está na sua resposta a perguntas como (mas não limitado a):

Quantos usuários?

Quais serviços você precisa fornecer a esses usuários?

Quais serviços você precisa fornecer ao mundo exterior?

Quais são os objetivos / requisitos de negócios para implementar uma infraestrutura de TI?

O que o DRP \ BCP exige?

Et., etc.

Sua pergunta na forma atual é como perguntar:

Estou assando uma torta. Eu tenho algumas maçãs e estou pensando em usar um pouco de farinha e açúcar. O que você acha?

    
por 08.01.2011 / 23:58