É uma boa ideia permitir apenas que conexões sejam estabelecidas na direção da LAN-DMZ?

1

Estou tentando configurar a coisa normal, com um DMZ contendo servidores que podem ser acessados pela Internet e uma LAN que deve ser o mais segura possível.

Eu também tenho liberdade total na arquitetura. Dado que eu quero fazer a minha área de LAN tão segura quanto possível, eu pensei comigo mesmo "O que pode ser melhor do que não ser capaz de acessar a LAN da DMZ". Para fazer isso, eu configuraria o firewall para bloquear qualquer conexão de entrada na direção da DMZ- > LAN.

É claro que ainda preciso que meus aplicativos front-end na DMZ entrem em contato com os servidores confiáveis da LAN. A fim de tornar isso possível, eu estava pensando em apenas permitir conexões a serem estabelecidas na direção da DMZ.

Isso significa que, em uma reversão da situação normal, são os serviços de LAN confiáveis que se conectam aos servidores front-end DMZ não confiáveis. Depois que a conexão TCP for estabelecida, todas as solicitações e respostas entre os dois pontos de extremidade serão multiplexadas nessa conexão.

É uma boa ideia em termos de segurança? Existe mais alguma coisa que eu poderia fazer para tornar meus servidores de rede ainda mais difíceis de alcançar? Você já ouviu falar de alguém que já está protegendo sua LAN dessa maneira? Alguma coisa está me iludindo que faz disso uma ideia estúpida?

    
por LordOfThePigs 22.02.2014 / 19:10

3 respostas

1

OK, minimizar as conexões entre a DMZ e a LAN é uma boa regra geral, embora eu não me torne um escravo dessa ideia (se você tiver servidores de e-mail no local, seu serviço de e-mail será interessante para dizer o mínimo se você forçá-lo a aceitar sua ideia).

Além disso, não pense que esta é uma defesa mágica contra hackers. Se alguém comprometer um servidor na DMZ, ainda haverá um potencial para que ele penetre na sua rede, dependendo de como os servidores na DMZ estão configurados (por exemplo, com conexões abertas da LAN entre um banco de dados SQL do lado da LAN e um DMZ- O servidor da Web secundário faz pouco para ajudá-lo se o servidor da Web tiver sido enraizado e as credenciais para acessar o servidor SQL estiverem armazenadas no servidor DMZ.

Além disso, se as informações usadas / armazenadas forem valiosas por si só e ainda puderem ser roubadas por alguém que enraizou o servidor na DMZ, o que você propõe ganhou não ajuda muito.

    
por 22.02.2014 / 20:44
4

Como em todas as questões relacionadas à segurança, a resposta é "depende". Depende do tipo de empresa que você é, o tipo de serviços que você executa, quão fortalecidos são seus serviços de Internet, os dados que você está sob custódia, qual a legislação que você tem que aderir, Etc., Etc.

Resposta curta - minimize a "superfície de ataque" limitando os endereços / portas entre sua DMZ e a rede confiável. Se possível, implemente tecnologias que usem um arranjo de tipo de proxy reverso, para que o início de uma conversa do DMZ- > Trust não seja possível. Claro, isso nem sempre será possível. Considere ter uma zona de firewall intermediário contendo bancos de dados "somente na Internet". Por fim, certifique-se de limitar também as portas / endereços da Trust- > DMZ. Um monte de malware faz uso de conexões de estilo de proxy reverso (mas na direção oposta), ou seja, elas dependem de uma conexão de entrada para invadir a rede de origem.

O problema com esse tipo de pergunta é que você obterá respostas diferentes de praticamente todos, e é seu trabalho escolher o que é melhor para você. A segurança adicional inevitavelmente torna as operações do dia-a-dia mais difíceis, e as configurações de segurança excessivamente complicadas muitas vezes são prejudiciais aos erros de configuração, deixando buracos que passam despercebidos.

A segurança é toda sobre camadas de defesa, e nenhuma solução, não importa o que as pessoas digam, é 100% segura. O que quer que você decida fazer, considere testá-lo antes de ir ao vivo e certifique-se de manter os serviços da DMZ corrigidos. Por fim, revise sua configuração pelo menos uma vez por ano.

    
por 22.02.2014 / 21:50
0

Bem, você já praticamente lista um dos problemas com essa configuração, é apenas TCP. Não só isso, mas uma sessão pode ser falsificada com relativa facilidade de dentro da DMZ. A solução ideal ideal para mim parece tratar a LAN confiável como um usuário comum, enviá-los para fora de sua rede e vice-versa.

    
por 22.02.2014 / 19:38