Domanda:
Architettura di rete DMZ pubblica
lisa17
2012-04-07 20:44:02 UTC
view on stackexchange narkive permalink

Anni fa, quando ero uno studente, un professore di sicurezza di rete mi ha insegnato in una classe cos'è una DMZ. L'architettura che ha usato nelle sue diapositive era simile a questa:

Double firewall DMZ

Ora che ho trovato un impiego, il mio capo, un ingegnere della sicurezza con oltre 10 anni di esperienza ha una punto di vista diverso. Per lui, una DMZ non dovrebbe essere collocata in un "sandwich" tra la LAN e Internet. Invece, dovrebbe essere come quello illustrato di seguito:

Single firewall DMZ

Durante la ricerca con Google di architetture di rete con una DMZ, ho trovato diverse rappresentazioni e sono diventato ancora più confuso. Quindi la mia domanda è: come dovrebbe essere collocata una DMZ in un'architettura di rete altamente sicura? La prima rappresentazione va bene dal punto di vista della sicurezza?

Uno dei motivi per cui crea confusione è a causa del cambiamento nell'architettura dei firewall negli ultimi 15 anni e perché nel diagramma in alto, non è chiaro se la connessione al firewall interno passa o meno attraverso la macchina DMZ. I firewall moderni possono implementare logicamente sia il firewall interno che quello esterno rappresentato nel diagramma in alto, quindi c'è la questione tra fisico e logico. Inoltre, in generale, la macchina DMZ non dovrebbe essere in grado di avviare connessioni nella LAN, quindi il diagramma in alto dovrebbe mostrare 2 linee dal firewall esterno, 1 alla DMZ e 1 all'interno.
http://csrc.nist.gov/publications/nistpubs/800-44-ver2/SP800-44v2.pdf [Sezione 8] mostra come possiamo migliorare ulteriormente la sicurezza complessiva per i server web.
Dodici risposte:
#1
+18
Rory Alsop
2012-04-07 21:31:24 UTC
view on stackexchange narkive permalink

I due sono funzionalmente equivalenti: la DMZ è effettivamente in un sandwich, poiché deve avere connessioni dal mondo esterno protette da firewall, ma anche firewall che ne limitano l'accesso alla rete interna.

Mentre il secondo diagramma è spesso ciò che accade (per ragioni di costo - hai bisogno di meno firewall) il primo è considerato più sicuro in quanto puoi usare due diversi tipi di firewall, il che aiuta a evitare che un attacco al firewall violi entrambi. Quando utilizzi un firewall, utilizzi set di regole per ciascuna direzione e connessione e, dal punto di vista funzionale, questo è lo stesso dei set di regole nel secondo esempio.

Questo è solo un leggero miglioramento della sicurezza, poiché in genere non attacchi i firewall: usi le porte aperte per passare direttamente e attaccare il server web, il server di posta o persino passare direttamente per attaccare il database, ma i livelli di sicurezza aiutano tutti.

Azzeccato. Nota anche che molti "wizard" di configurazione del firewall di solito offrono entrambi questi come modelli da configurare ... Tieni anche in considerazione che il routing tra le zone può essere un problema e può essere più complicato da implementare e applicare in un modo piuttosto che nell'altro.
Sì, ma come squadra rossa è sempre divertente attaccare il sistema di sicurezza di base e avere il pieno vantaggio in questo modo;)
Non sono d'accordo sul fatto che i due siano funzionalmente equivalenti. Nel diagramma in basso, tutto ciò che devi fare è compromettere il firewall per ottenere pieno accesso alla LAN interna. Come sottolineato da altri, questo non è così difficile da fare in molti casi a causa di un errore nella configurazione del firewall. Nel diagramma in alto, devi superare 2 firewall per accedere ai sistemi interni. Il secondo firewall può generalmente avere una configurazione molto più chiusa e quindi essere più difficile da configurare in modo errato o compromettere.
#2
+11
lew
2012-04-08 05:58:48 UTC
view on stackexchange narkive permalink

Come dovrebbe essere collocata una DMZ in un'architettura di rete altamente sicura?

La chiave è la difesa in profondità tra i domini di sicurezza. L'estensione dell'architettura implementata dipenderà dalle risorse disponibili, comprese le limitazioni finanziarie e le capacità tecniche.

Difesa in profondità

La difesa in profondità è un concetto di assicurazione delle informazioni (IA) in cui più livelli di controlli di sicurezza (difesa) sono collocati in un sistema di tecnologia dell'informazione (IT). Si tratta di una tattica di stratificazione, per porre rimedio alle conseguenze di un singolo fallimento del controllo di sicurezza. Wikipedia

Domini di sicurezza

Un dominio di sicurezza è il fattore determinante nella classificazione di un enclave di server / computer. Una rete con un dominio di sicurezza diverso viene tenuta separata dalle altre reti. Wikipedia

Ai fini della determinazione dei controlli tra domini di sicurezza è possibile definire; Internet come non attendibile, la DMZ come semi-attendibile e le reti interne come attendibili.

Pertanto, utilizzeresti più livelli di controlli di sicurezza tra Internet e la tua DMZ, che potrebbero includere: firewall L3, IPS , AV, proxy inverso / bilanciamento del carico, filtro L7.

Dagli host DMZ alla tua rete interna, dovresti impiegare livelli aggiuntivi di: firewall L3, filtro L7 (ad esempio RPC) , IPS / AV.

Anche l'accesso con privilegi minimi tra i domini di sicurezza è fondamentale per massimizzare l'efficacia dei controlli di sicurezza.


La prima rappresentazione è OK da un punto di sicurezza di visualizzare?

Io consiglierei di no, per mancanza di difesa in profondità. Esiste un solo controllo di accesso tra Internet-DMZ e DMZ-LAN. In genere un'architettura altamente sicura avrebbe separazione dei fornitori e livelli di controlli di accesso (L3 FW, WAF, IPS, AV e così via).

#3
+8
bethlakshmi
2012-04-18 21:24:47 UTC
view on stackexchange narkive permalink

Non ci sono assolutamente valori assoluti nella sicurezza.

Dal punto di vista dell'addestramento, direi che il primo è più chiaro. Mostra il concetto che il mondo esterno attraversa questi vari livelli e che è più facile colpire la DMZ e presumibilmente ciò che è di stanza ha un rischio inferiore.

È anche meglio da un punto di vista della difesa a più livelli, come indicato in altre risposte molto bene.

Ma è meno pratico dal punto di vista dei costi. E ho visto molte, molte varianti nel diagramma inferiore: tutte segmentano le reti per vari motivi, cercando di fare di più con meno per vari costi o altri motivi pratici.

Onestamente non credo che ci sia un "modo giusto" o un "diagramma giusto". I fattori includono:

  • compromesso tra costi e rischi : più livelli di firewall con fornitori diversi sono decisamente più sicuri, ma anche più costosi. Un must per un'operazione ad alto valore / alto rischio. Esagerato per un'operazione a basso valore / basso rischio, poiché non solo è costoso da acquistare, ma anche da mantenere, e devi soppesare il fattore che gli esseri umani mantengono queste cose e il rischio di lacune e configurazioni errate. Un firewall ben configurato sarà migliore di due firewall aperti perché la persona che li ha configurati non ne sapeva abbastanza per svolgere bene il lavoro!

  • chiarezza - che aspetto ha realmente la rete? Se c'è un solo firewall, traccia il diagramma di conseguenza, non lasciare che le persone cerchino un secondo firewall. A meno che tu non stia parlando di un livello logico e non di un livello fisico, nel qual caso entrambi i "muri" potrebbero trovarsi sullo stesso dispositivo. Lo scopo di un diagramma è aiutare gli esseri umani a fare le cose ... un diagramma è "giusto" o "sbagliato" solo in termini di capacità di soddisfare questa esigenza.

Direi che se il tuo capo afferma che il suo disegno è il "modo giusto" assoluto, è fuori di testa ... ci sono molti esempi pubblici per contrastarlo.

Se è il modo più chiaro per descrivere l'oggetto con cui stai lavorando, allora ha ragione.

#4
+3
woliveirajr
2012-04-17 01:48:43 UTC
view on stackexchange narkive permalink

Ripeterò alcune cose che altri hanno detto, ma eccolo qui.

Prima di tutto, penserei a quanta sicurezza si desidera , il costo per raggiungerlo e i problemi che sorgeranno se qualcosa fallisce e la comunicazione tra la zona sicura e Internet viene persa.

Il tuo cenario sembra un po 'più sofisticato, perché ci sono più strati dall'oscurità mondo finché non vengono raggiunti i tuoi dati segreti. Ma aggiunge anche più costi, esistono più punti di errore.

Il secondo cenario è sicuro quanto lo è il firewall. La compromissione della DMZ non renderà più facile l'attacco, poiché deve passare attraverso il firewall e il firewall è l'elemento di resistenza in tutto il concetto.

E scusate, ma se la domanda fosse solo su "quale è corretto: due firewall o uno solo?", non sono riuscito a trovare alcun riferimento per deciderlo.

#5
+3
obscure
2012-04-17 21:09:48 UTC
view on stackexchange narkive permalink

Non mi è chiaro cosa intendi per "architettura di rete altamente sicura". Dovresti considerare più in dettaglio quali sono i tuoi obiettivi di sicurezza, i requisiti di sicurezza delle informazioni e il panorama delle minacce in cui ti stai evolvendo per progettare e implementare controlli di sicurezza appropriati.

Cercherò comunque di rispondere alla tua domanda ad alto livello .

Sì, la prima architettura di sicurezza va bene dal punto di vista della sicurezza in generale. Esistono variazioni di questa architettura (ad esempio, si collega la DMZ ai firewall esterni e / o interni e / o nel mezzo) ma non credo che sia rilevante per la tua domanda in questa fase.

La mia comprensione è che questa architettura era più popolare un tempo in cui i firewall avevano più vulnerabilità pubbliche note nella loro implementazione che avrebbero consentito di aggirare o addirittura sfruttare i firewall stessi e in assenza di altri controlli di mitigazione.

Utilizzando un'implementazione diversa per i vostri firewall esterni ed interni, state semplicemente applicando il principio della selezione naturale alla nostra architettura ed è generalmente una buona cosa: se un'implementazione è vulnerabile a un attacco specifico, lo stesso attacco potrebbe non funzionare su un'implementazione diversa se i loro rispettivi tratti sono abbastanza dissimili. Si spera che tu stia rimuovendo un singolo punto di guasto (dal punto di vista dell'implementazione) della "funzione di sicurezza del firewall".

Ovviamente, a seconda dei requisiti di disponibilità delle informazioni, potresti dover prendere in considerazione il raggruppamento dei firewall esterni e interni tra gli altri cose.

La seconda architettura è valida anche dal punto di vista della sicurezza e credo che ora sia più popolare della prima (a favore dei costi). Hai un potenziale singolo punto di errore della funzione di protezione del firewall. Tuttavia, la maggior parte delle organizzazioni avrebbe (si spera) a questo punto realizzato che non è possibile fare affidamento sul firewall solo per fornire servizi di sicurezza. Router / switch / firewall host / ecc. possono tutti contribuire allo stato di sicurezza di un'organizzazione mitigando così alcuni o tutti i danni causati dalla compromissione di una (singola) implementazione del firewall. Sembra anche che i firewall siano un po 'più solidi al giorno d'oggi e che gli attacchi siano passati a livelli OSI più alti ma più morbidi. applicazioni.

Considererei la seconda architettura per la maggior parte delle distribuzioni. Potrei prendere in considerazione la prima architettura in alcune circostanze specifiche, inclusi ma non limitati a obiettivi e requisiti di sicurezza, motivazioni di potenziali aggressori e, soprattutto, risorse.

#6
+3
Trey Blalock
2012-04-18 08:28:09 UTC
view on stackexchange narkive permalink

Il rischio è di gran lunga peggiore nel primo diagramma. Fai un passo indietro e leggi delle DMZ militari che sono fondamentalmente luoghi in cui metti cose che non ti interessa proteggere. È una cattiva terminologia per cominciare e un'idea obsoleta nell'IT. Supponiamo ora che tu abbia un ambiente molto più grande con diversi livelli di sicurezza, non puoi gettare tutti i dati in una zona (tanto meno permettere che il tuo furto di traffico LAN infetto da malware lo pensasse). Avrai bisogno di più zone di sicurezza (più DMZ se sei collegato a quel termine, le chiamo segmenti protetti). Come aggiungeresti diciamo 20 diverse zone di sicurezza a ciascuno dei diagrammi sopra? Continuare ad aggiungerli in serie in base al loro livello di sicurezza? o aggiungerli in parallelo secondo necessità? Il motivo per cui la maggior parte dei firewall moderni ha più interfacce (alcuni grandi hanno fino a 100 interfacce) è perché aggiungiamo sottoreti sicure in parallelo. In un ambiente ad alta sicurezza potresti avere zone di sicurezza separate per server web, server DNS e server di posta, ecc. In questo modo, se i tuoi server web vengono posseduti, l'aggressore non ha guadagnato terreno aggiuntivo per compromettere il tuo server di posta o altro . Allo stesso modo, se sei un fornitore di servizi che ospita una dozzina di client collocati, puoi mettere ognuno dietro un'interfaccia diversa in modo che non possano attaccarsi a vicenda (o diffondere worm) in modo diverso dall'attacco tramite Internet. Sfogliare alcuni dei siti Web di grandi fornitori (Cisco & Juniper) e guardare la documentazione relativa ai firewall più grandi e al numero di interfacce che supportano. Avrai comunque bisogno di firewall interni e Web Application Firewall (WAF) come Imperva (o proxy mod_security) ma anche queste aree interne dovranno essere segmentate e compartimentate. Il vecchio diagramma a sandwich (architettura IT degli anni '70 e '80) è un importante FAIL dal punto di vista della sicurezza e deve essere eliminato.

In nessun modo il primo diagramma con due firewall è molto peggiore del secondo diagramma con uno solo. Hai anche detto tu stesso "vorrai comunque firewall interni". La migliore pratica è che si prenda in parallelo il proprio firewall moderno con sottoreti sicure e si inserisca ancora un altro firewall tra esso e sistemi che non dovrebbero essere accessibili dall'esterno della LAN.
#7
+2
Justin Andrusk
2012-04-08 05:12:21 UTC
view on stackexchange narkive permalink

Sì, oltre alla risposta precedente potrei aggiungere un IPS per bloccare gli attacchi che il firewall non intercetterebbe poiché quegli attacchi mirerebbero alle porte aperte.

#8
+2
L_g__n
2012-04-12 06:01:25 UTC
view on stackexchange narkive permalink

Il tuo capo ha ragione.

La prima rappresentazione ha molti problemi o punti deboli.

  1. HA (alta disponibilità): avrai bisogno di 4 FW (2 esterni e 2 internals) = $$$
  2. Gestione: "considerata più sicura in quanto è possibile utilizzare due diversi tipi di firewall" ... molto sovraccarico di gestione (aggiornamento, regole, registrazione, licenze). Se non puoi fidarti del tuo FW e hai bisogno di un altro di un produttore diverso, hai un problema !!!
  3. IP: questo design può essere un incubo con natting, routing, ecc.
  4. Rischio: in questo progetto, un host DMZ compromesso è in una buona posizione per lo sniffing e l'attacco man-in-the-middle contro gli utenti nella zona LAN.

In realtà vita, il secondo progetto è più sicuro e più semplice del primo.

  1. HA (alta disponibilità): basta un altro FW.
  2. Gestione: un solo box da gestire
  3. IP: unico punto per gestire il traffico per instradamento o nating
  4. Rischio: se un host nella DMZ è compromesso, questa minaccia è contenuta nella DMZ
  5. ol>
Sfortunatamente in pratica, in ambienti ad alta sensibilità (si pensi al settore bancario, ecc.) Il primo progetto è molto più semplice: i tuoi punti non sono necessariamente corretti. per 1 - acquisti solo altri 2 firewall, 2 - due sistemi di gestione non sono un problema, 3 - non rilevante in quanto di solito hai più bilanciatori del carico, failover HA, endpoint SSL ecc. e 4 - il rischio è inferiore per lo scenario 1: esso è più facile contenere il rischio.
Dai un'occhiata a questa architettura di rete DMZ: "Design Zone for Security, Enterprise Internet Edge Design Guide" nel sito web di Cisco. Vedrai il modello a 3 interfacce (figura 3 del documento Cisco) per la DMZ. Questo modello ha gli attributi chiave da aspettarsi nella progettazione della DMZ: • Disponibilità e resilienza del servizio • Conformità alle normative • Sicurezza: previene le intrusioni, la fuga di dati e le frodi e garantisce la riservatezza dell'utente e l'integrità dei dati.
Anche l'utilizzo di firewall di due diversi fornitori è un "design vecchia scuola". Questo documento di Gartner "Q&A: Is It More Secure to Use Firewall From Two Different Vendors?" (Pubblicato: 4 novembre 2010) è molto informativo su questo punto. Un estratto da questo documento: "Oltre il 95% delle violazioni del firewall sono causate da configurazioni errate del firewall, non da difetti del firewall." ... "Due piattaforme firewall non sono migliori di una. Riteniamo che vi sia un rischio maggiore associato alla configurazione e alla gestione dei firewall di più fornitori rispetto a quello di un singolo fornitore. "
@tactika +1 per i riferimenti
Quel documento di Cisco, sebbene abbastanza approfondito, è forse troppo sofisticato per questa domanda, poiché fa distinzioni tra switch, router e firewall gestiti a livello locale. Negli schemi semplificati dell'OP, un firewall combina le caratteristiche di tutti e 3 i dispositivi.
#9
+2
Vincent
2012-04-17 02:40:08 UTC
view on stackexchange narkive permalink

Dipende dal tipo di architettura di rete del tuo edificio.

Il primo esempio è ideale per situazioni come l'hosting di un'app Web di grandi dimensioni, con cui crei la sicurezza nei tuoi livelli, quindi livello, livello dati, ciascuno protetto da firewall da diverse misure di sicurezza, ma funziona su reti affidabili.

Nel secondo esempio, esattamente come viene descritto, con una LAN sospesa. Inoltre, questa opzione è ideale per le situazioni in cui devi essere in grado di modellare il traffico per garantire la QoS.

Quindi, per rispondere alla tua domanda, entrambe sono valide ed entrambe hanno i propri vantaggi, non esiste un proiettile d'argento .

#10
+2
Matt
2012-04-19 05:21:24 UTC
view on stackexchange narkive permalink

La maggior parte degli ingegneri di Firewall ha implementato principalmente il secondo modello di diagramma poiché un set di firewall è meno costoso, più facile da configurare, gestire &. È possibile utilizzare ciascuna porta sul firewall per la connessione fisica all'esterno, all'interno e ogni DMZ o utilizzare il multi contesto (molto simile alla VM) per separare virtualmente gli ambienti. Utilizziamo il secondo modello nei nostri data center più piccoli e il primo modello con multi FW nei nostri data center aziendali. I revisori adorano il primo modello per le sedi aziendali poiché una regola configurata in modo errato sul secondo modello può far sì che un utente malintenzionato che ha preso il controllo del tuo server DMZ, forse acquisisca il controllo all'interno della tua rete. Questo è molto più difficile sul 1 ° modello, in quanto un attaccante deve passare attraverso due serie di firewall per entrare. Un amministratore del firewall potrebbe commettere un errore forse per il test su un firewall ma non su due (di solito). Abbiamo implementato più firewall la scorsa settimana. Con i firewall su Internet che si connettono a più DMZ e Load Balancer ... e all'interno dei firewall, si connettono alla stessa DMZ / Load Balancer. Anche il secondo firewall interno ha un multi contesto all'interno. Che fornisce firewall tra WAN, ambienti di produzione e nessuno di produzione ... dove i server di produzione possono accedere a qualsiasi cosa, ma la WAN può accedere ai server di produzione su www e https (ecc.) O consentire l'accesso RDP agli amministratori per raggiungere i server di produzione e DEV / QA all'interno del Firewall.

#11
+1
user27666
2013-06-26 23:04:20 UTC
view on stackexchange narkive permalink

La risposta alla domanda su quale dei due progetti sia "giusto" può essere basata solo sui requisiti posti alla soluzione che si sta progettando. In quanto tali, entrambi i modelli hanno vantaggi e svantaggi, ma in realtà si riducono a DUE PRINCIPALI FATTORI DIFFERENTI PER IL BUSINESS:

Se l'azienda richiede affermazioni come:

"Abbiamo bisogno di un Internet / Progettazione di sicurezza DMZ che è ...
* conveniente, costo più basso, base, design semplice, semplice da gestire, economico & sporco, protezione adeguata ... * ecc. "

Quindi il modello FW a 3 zampe (esempio n. 2) sarà il modello che dovresti utilizzare come base per il tuo design. E in un mondo in cui "RISPARMIA $$$" "Riduci i costi" sono spesso i driver n. 1, è il fattore principale per cui il design FW a 3 gambe è di gran lunga la distribuzione più popolare, anche per organizzazioni più grandi. >

Se l'attività richiede affermazioni come:

"Abbiamo bisogno di un design di sicurezza Internet / DMZ che sia ...
altamente / estremamente sicuro, che fornisca la migliore connessione Internet protezione indipendentemente dal costo, la protezione dei nostri sistemi aziendali interni è UN MUST ... ecc. "

Quindi il modello FW-Sandwich / 2-Teir FW / Layered DMZ (esempio n. 1) è quello che dovresti usare come base per il tuo design. Il motivo è estremamente semplice ... La sicurezza DMZ a strati aggiunge ulteriori barriere uniche all'ingresso per gli hacker di Internet. Se riesce a superare il primo FW, atterra al livello successivo e al successivo, quindi al FW interno di backend prima di arrivare finalmente ai gioielli della corona dei dati aziendali. Il modello FW a 3 ZAMPE è 1 livello di protezione per cui, se il FW mal configurato / mal configurato è compromesso, ha accesso diretto alla rete interna. MALE!

I miei progetti passati sono più complessi di un FW anteriore e posteriore. In un design ISP / DMZ estremamente protetto, ho progettato FW, IPS, rete VIP anteriore, Load Balancer VIP DMZ, reti di aziende agricole private, quindi FW con rivestimento interno back-end. Ciascuno di questi livelli aggiunge una barriera aggiuntiva unica all'ingresso che l'hacker può attraversare. Abbiamo anche stabilito regole di progettazione rigide che affermano che "uno strato nel design deve parlare solo al livello successivo e non aggirare quel livello come scorciatoia"

Questo design è sicuramente più costoso, ma per le imprese su larga scala per cui banche, finanziarie, grandi database di informazioni sui clienti, ecc. DEVONO ESSERE PROTETTI, sarebbe sciocco utilizzare un FW a tre gambe che lo rende l'unica barriera tra gli hacker e questi gioielli della corona.

#12
-3
Darrin
2014-04-08 00:58:26 UTC
view on stackexchange narkive permalink

La prima opzione è sbagliata perché trasformerai il firewall in un router e i firewall non dovrebbero essere router. La seconda opzione è buona, ma puoi aggiungere il secondo firewall a Internet, ma mantieni la DMZ sul firewall interno.

DC



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...