it-swarm-tr.com

Genel DMZ ağ mimarisi

Yıllar önce, ben öğrenciyken, bir ağ güvenliği profesörü bana bir sınıfta DMZ) ne olduğunu öğretti. Slaytlarında kullandığı mimari buna benzerdi:

Double firewall DMZ

Artık işe başladığımdan, patronum, 10 yıldan fazla tecrübeye sahip bir güvenlik mühendisi farklı bir bakış açısına sahip. Onun için, bir DMZ LAN ve internet arasındaki bir "sandviç" içine yerleştirilmemelidir. Bunun yerine, aşağıda gösterilene benzer olmalıdır:

Single firewall DMZ

Google ile bir DMZ içeren ağ mimarileri ararken, farklı temsiller buldum ve daha da kafam karıştı. Benim sorum şu: DMZ son derece güvenli bir ağ mimarisine nasıl yerleştirilmelidir?) İlk gösterim güvenlik açısından uygun mu?

25
lisa17

İkisi işlevsel olarak eşdeğerdir - DMZ, dış dünyadan güvenlik duvarına sahip bağlantılara sahip olması gerektiğinden, aynı zamanda iç ağa erişimi kısıtlayan güvenlik duvarlarına sahip olduğundan etkili bir şekilde sandviçte.

İkinci diyagram genellikle olan şeydir (maliyet nedenleriyle - daha az güvenlik duvarına ihtiyacınız vardır), her ikisi de ihlal eden güvenlik duvarına yapılan bir saldırıyı önlemeye yardımcı olan iki farklı güvenlik duvarı modeli kullanabildiğiniz için birincisi daha güvenli kabul edilir. Tek bir güvenlik duvarı kullandığınızda, her yön ve her bağlantı için kural kümeleri kullanırsınız - ve işlevsel olarak bu, ikinci örnekteki kural kümeleriyle aynıdır.

Bu genellikle güvenlik duvarlarında küçük bir gelişmedir, çünkü genel olarak güvenlik duvarlarına saldırmazsınız - açık portları doğrudan ilerlemek ve web sunucusuna, posta sunucusuna saldırmak, hatta veritabanına saldırmak için doğrudan geçiş yaparsınız, ancak güvenlik katmanları Yardım.

18
Rory Alsop

DMZ son derece güvenli bir ağ mimarisine nasıl yerleştirilmelidir?

Anahtar güvenlik alanları arasında derinlemesine savunmadır. Konuşlandırılan mimarinin kapsamı, finansal sınırlamalar ve teknik yetenekler de dahil olmak üzere mevcut kaynaklara bağlı olacaktır.

Derinlemesine savunma

Derinlemesine savunma, bir bilgi teknolojisi (BT) sistemi boyunca birden fazla güvenlik kontrol katmanının (savunma) yerleştirildiği bir bilgi güvencesi (IA) konseptidir. Tek bir güvenlik kontrolünün başarısız olmasının sonucunu hafifletmek bir katman taktiğidir. Vikipedi

Güvenlik alanları

Güvenlik etki alanı, sunucuların/bilgisayarların bulunduğu bir alanın sınıflandırılmasında belirleyici faktördür. Farklı güvenlik etki alanına sahip bir ağ diğer ağlardan ayrı tutulur. Vikipedi

Uygulama

Güvenlik etki alanları arasındaki denetimleri belirlemek amacıyla tanımlayabilirsiniz; güvenilmez olarak DMZ ve güvenilir olarak dahili ağlar).

Bu nedenle, internet ve DMZ'niz arasında aşağıdakileri içerebilecek çok sayıda güvenlik denetimi katmanı kullanırsınız: L3 güvenlik duvarları, IPS, AV, Ters proxy/Yük dengeleme, L7 filtreleme.

DMZ Ana Bilgisayar (lar) dan dahili ağınıza), şu ek katmanları kullanırsınız: L3 güvenlik duvarları, L7 filtreleme (örn. RPC), IPS/AV.

Güvenlik etki alanları arasındaki en düşük ayrıcalık erişimi, güvenlik denetimlerinin etkinliğini en üst düzeye çıkarmak için de önemlidir.


İlk gösterim güvenlik açısından uygun mu?

Derinlemesine savunma eksikliği nedeniyle hayır tavsiye ederim. Internet-DMZ ve DMZ-LAN arasında yalnızca tek bir erişim kontrolü vardır. Tipik olarak yüksek düzeyde güvenli bir mimaride satıcı ayrımı ve erişim kontrol katmanları (L3 FW, WAF, IPS, AV, vb.) Bulunur.

11
lew

Güvenlik konusunda kesinlikle hiçbir mutlak yoktur.

Eğitim bakış açısından - birincisinin daha açık olduğunu söyleyebilirim. Dış dünyanın bu çeşitli katmanlardan geçtiğini ve DMZ) ve muhtemelen orada bulunanın daha düşük riskli olduğunu vurmanın daha kolay olduğunu gösterir.

Katmanlı bir savunma açısından da daha iyidir - diğer cevaplarda çok güzel bir şekilde belirtildiği gibi.

Ancak maliyet açısından daha az pratiktir. Ve alt diyagramda birçok, birçok varyant gördüm - çeşitli nedenlerle tüm bölümleme ağları, çeşitli maliyet veya diğer pratik nedenlerle daha azıyla daha fazlasını yapmaya çalışıyor.

Dürüst olmak gerekirse bir "doğru yol" ya da "doğru diyagram" olduğuna inanmıyorum. Faktörler şunları içerir:

  • maliyete karşı risk değiş tokuş - Farklı satıcılara sahip birden fazla güvenlik duvarı katmanı kesinlikle daha güvenlidir, aynı zamanda daha pahalıdır. A yüksek değer/yüksek riskli operasyon için olmalıdır. Düşük bir değer/düşük riskli operasyon için aşırı doldurun - çünkü sadece satın almak değil, aynı zamanda korumak da pahalıdır ve bu şeyleri koruyan insanların faktörünü ve boşluklar ve yanlış yapılandırma riskini tartmanız gerekir. İyi yapılandırılmış bir güvenlik duvarı, açık olan iki güvenlik duvarından daha iyi olacaktır, çünkü onları yapılandıran kişi işi doğru yapacak kadar bilgili değildi!

  • netlik - ağ gerçekten nasıl görünüyor? Sadece bir güvenlik duvarı varsa, lütfen şemayı buna göre çizin, insanları ikinci bir güvenlik duvarı için avlama. Fiziksel bir katmandan değil, mantıksal bir katmandan bahsetmediğiniz sürece, bu durumda her iki "duvar" da aynı cihazda olabilir. Bir diyagramın amacı insanların bir şeyler yapmasına yardımcı olmaktır ... bir diyagram sadece bu ihtiyacı karşılama yeteneği açısından "doğru" veya "yanlış" dır.

Eğer patronunuz çiziminin mutlak "doğru yol" olduğunu iddia ediyorsa - aklını kaçırmış ... buna karşı koymak için birçok genel örnek var.

Çalıştığınız şeyi açıklamanın en açık yolu buysa, o zaman haklıdır.

8
bethlakshmi

Başkalarının söylediği bazı şeyleri tekrarlayacağım, ama işte gidiyor.

Her şeyden önce, ne kadar güvenlik istendiğinde, bunu başarmanın maliyeti ve bir şey başarısız olursa ve güvenli bölge ile internet arasında iletişim kaybedilirse ortaya çıkacak problemleri düşünürdüm. .

Senaryonunuz biraz daha sofistike görünüyor, çünkü karanlık verilerinizden gizli verilerinize ulaşıncaya kadar daha fazla katman var. Ama aynı zamanda daha fazla maliyet ekliyor, daha fazla arıza noktası var.

İkinci cenario, güvenlik duvarı kadar güvenli. DMZ güvenliğinin aşılması, güvenlik duvarından geçmesi gerektiğinden ve güvenlik duvarı tüm konseptte bir direnç parçası olduğu için saldırmayı kolaylaştırmaz.

Ve üzgünüm, ama sadece "hangisi doğruysa: iki güvenlik duvarı mı, yoksa tek bir güvenlik duvarı mı?" Sorusuysa, buna karar vermek için herhangi bir referans bulamadım.

3
woliveirajr

"Yüksek güvenlikli bir ağ mimarisi" ile ne demek istediğiniz konusunda net değilim. Güvenlik hedeflerinizin, bilgi güvenliği gereksinimlerinizin ve uygun güvenlik denetimlerini tasarlamak ve uygulamak için geliştirdiğiniz tehdit ortamını daha ayrıntılı olarak ele almanız gerekir.

Ancak sorunuzu üst düzeyde yanıtlamaya çalışacağım.

Evet, ilk güvenlik mimarisi genel olarak güvenlik açısından sorun yaratmaz. Bu mimarinin varyasyonları vardır (örneğin, dış ve/veya iç güvenlik duvarlarına ve/veya arada) DMZ) ekler misiniz, ancak bunun bu konuyla ilgili olduğuna inanmıyorum sahne.

Anladığım kadarıyla, bu mimari, güvenlik duvarlarının uygulamalarında, güvenlik duvarlarının kendilerinin atlanmasına veya hatta sömürülmesine ve diğer hafifletici kontrollerin yokluğuna izin verecek birden fazla bilinen kamu açıklarına sahip olduğu bir zamanda daha popülerdi.

Harici ve dahili güvenlik duvarlarınız için farklı bir uygulama kullanırken, mimarinize doğal seçim ilkesini uyguluyorsunuz ve bu genellikle iyi bir şeydir: bir uygulama belirli bir saldırıya karşı savunmasızsa, aynı saldırı kendi özellikleri yeterince farklı değilse farklı uygulama. "Güvenlik duvarı güvenlik işlevi" nin tek bir hata noktasını (uygulama perspektifinden) kaldırmayı umuyoruz.

Elbette, bilgi kullanılabilirliği gereksinimlerinize bağlı olarak, harici ve dahili güvenlik duvarlarınızı diğer şeylerin yanı sıra kümelemeyi düşünmeniz gerekebilir.

İkinci mimari de güvenlik açısından geçerlidir ve şimdi birincisinden daha popüler olduğuna inanıyorum (maliyet yardımı). Güvenlik duvarı güvenlik işlevinde tek bir olası hata noktanız var. Bununla birlikte, çoğu kuruluş (umarım) şimdiye kadar sadece güvenlik hizmetleri sağlamak için güvenlik duvarınıza güvenemeyeceğinizi fark etmiş olurdu. Yönlendiriciler/anahtarlar/Ana bilgisayar güvenlik duvarları/vb. bir kuruluşun güvenlik duruşuna katkıda bulunabilir, böylece (tek) güvenlik duvarı uygulamasının güvenliğinin tehlikeye girmesinin bir kısmını veya tamamını azaltır. Ayrıca, güvenlik duvarlarının günümüzde biraz daha sağlam olduğu ve saldırıların daha yüksek ancak daha yumuşak OSI katmanlarına (ör. uygulamalar.

Çoğu dağıtım için ikinci mimariyi düşünürdüm. İlk mimariyi, güvenlik hedefleri ve gereksinimleri, potansiyel saldırganların motivasyonları ve daha da önemlisi kaynaklar dahil ancak bunlarla sınırlı olmamak üzere bazı özel durumlarda düşünebilirim.

3
obscure

İlk diyagramda risk çok daha kötüdür. Bir adım geri dönün ve askeri DMZ'leri okuyun, temel olarak korumaya aldığınız şeyleri koyduğunuz yerlerdir. Başlamak kötü bir terminoloji ve BT'de modası geçmiş bir fikir. Şimdi, farklı güvenlik düzeylerine sahip çok daha büyük bir ortamınız olduğunu, tüm verileri tek bir bölgeye atayamayacağınızı (kötü amaçlı yazılım bulaşmış LAN trafik pilfer'ının düşünmesine izin veremeyeceğinizi) varsayalım. Birden fazla güvenlik bölgesine ihtiyacınız olacak (bu terime bağlıysanız birden fazla DMZ, onlara güvenli segmentler diyorum). Yukarıdaki şemaların her birine 20 farklı güvenlik bölgesi diyelim? Güvenlik seviyelerine göre seri olarak eklemeye devam etmek istiyor musunuz? veya gerektiğinde paralel olarak eklensin mi? Modern güvenlik duvarlarının çoğunun birden fazla arabirime sahip olmasının nedeni (bazı büyük olanların 100'e kadar arabirimi vardır) paralel olarak güvenli alt ağlar eklememizdir. Yüksek güvenlikli bir ortamda, web sunucuları için dns sunucuları ve posta sunucuları vb. İçin ayrı güvenlik bölgeleri olabilir. Bu şekilde, web sunucularınızın sahibi olursa, saldırgan posta sunucunuzu veya başka bir şeyi tehlikeye atmak için ek bir zemin kazanmamıştır. . Benzer şekilde, bir düzine ortak konumlu istemciyi barındıran bir hizmet sağlayıcınız, her birini farklı bir arayüzün arkasına koyabilir, böylece birbirlerine Internet üzerinden saldırmaktan farklı şekilde saldıramazlar (veya solucanlar yayabilirler). Bazı büyük satıcıların web sitelerine (Cisco ve Juniper) göz atın ve daha büyük güvenlik duvarlarının etrafındaki belgelere ve kaç tane arayüzü desteklediklerine bakın. Yine de Imperva (veya mod_security proxy'leri) gibi dahili güvenlik duvarları ve Web Uygulaması Güvenlik Duvarları (WAF'ler) isteyeceksiniz, ancak bu dahili alanların bile bölümlere ayrılması ve bölümlere ayrılması gerekir. Eski sandviç diyagram (70'ler - 80 BT mimarisi) büyük bir FAIL güvenlik açısından ve gitmesi gerekiyor.

3
Trey Blalock

Evet, önceki cevaba ek olarak güvenlik duvarının yakalayamayacağı saldırıları engellemek için bir IPS) ekleyebilirim, çünkü bu saldırılar açık portları hedefleyecektir.

2
Justin Andrusk

Binanızın ağ mimarisinin türüne bağlıdır.

İlk örnek, büyük bir web uygulaması barındırma gibi durumlar için idealdir, katmanlarınızda güvenliği oluşturursunuz, böylece dengeleyiciler katmanı, uygulama katmanı, veri katmanı, her biri farklı güvenlik önlemleri tarafından güvenlik duvarı tarafından kapatılır, ancak orada kendi güvenilir ağlarında çalışır.

İkinci örnekte, tam olarak nasıl tanımlandığı, bir LAN kapatıldığı için. Ayrıca, bu seçenek QoS sağlamak için trafiği şekillendirmeniz gereken durumlar için idealdir.

Sorunuzu cevaplamak için hem geçerli hem de her ikisinin de kendi avantajları var, tek bir gümüş kurşun yok.

2
Vincent

Çoğu güvenlik duvarı mühendisi çoğunlukla 2. diyagram modelini uygulamaktadır, çünkü bir dizi güvenlik duvarı daha ucuzdur, yapılandırılması ve yönetilmesi daha kolaydır. Güvenlik duvarındaki her bağlantı noktasını dış, iç ve her DMZ ile fiziksel bağlantı için kullanabilir veya ortamları sanal olarak ayırmak için çoklu bağlam (VM gibi) kullanabilirsiniz. Daha küçük Veri merkezlerimizde 2. modeli kullanıyoruz ve kurumsal veri merkezlerimizde çoklu FW ile 1. modeli kullanıyoruz. Denetçiler, 2. modelde yanlış yapılandırılmış bir kuralın DMZ sunucunuzun kontrolünü ele geçiren bir saldırgana, belki de ağınızın kontrolünü ele geçirmesine neden olabileceğinden, kurumsal konumlar için 1. modeli sever. Bir saldırganın içeri girmesi için iki güvenlik duvarı setinden geçmesi gerektiğinden, bu ilk modelde çok daha zordur. Güvenlik duvarı yöneticisi belki bir güvenlik duvarında test yapmak için hata yapabilir, ancak iki güvenlik duvarında (genellikle) değil. Geçen hafta çok sayıda güvenlik duvarı dağıttık. İnternet'teki Güvenlik Duvarları çoklu DMZ ve Yük Dengeleyicilere ... ve güvenlik duvarlarının içinde aynı DMZ/Yük Dengeleyicilere bağlanırken. Ayrıca 2./iç güvenlik duvarının içinde çoklu bağlam vardır. Bu, WAN, üretim ve hiçbiri üretim ortamı arasında güvenlik duvarı sağlar ... üretim sunucularının herhangi bir şeye erişebileceği, ancak WAN, www ve https (vb.) Üzerindeki üretim sunucularına erişebilir veya yöneticilere RDP erişiminin erişmesine izin verebilir Güvenlik Duvarı içinde üretim ve DEV/QA sunucuları.

2
Matt

Patronun haklı.

İlk temsilin birçok sorunu veya zayıflığı vardır.

  1. HA (yüksek kullanılabilirlik): 4 FW (2 harici ve 2 dahili) gerekir = $$$
  2. Yönetim: 'iki farklı güvenlik duvarı markası kullanabileceğiniz için daha güvenli kabul edilir' ... çok fazla yönetim yükü (güncelleme, kurallar, günlük kaydı, lisanslama). FW'nize güvenemiyorsanız ve farklı bir üreticiden başka bir taneye ihtiyacınız varsa, bir sorununuz var!
  3. IP: Bu tasarım, natting, yönlendirme vb.İle bir kabus olabilir.
  4. Risk: Bu tasarımda, güvenliği ihlal edilmiş bir DMZ Ana bilgisayar, LAN bölgesindeki kullanıcılara karşı koklama ve ortadaki adam saldırısı için güzel bir yerdedir.

Gerçek hayatta, ikinci tasarım birincisinden daha güvenli ve daha basittir.

  1. HA (yüksek kullanılabilirlik): sadece başka bir FW'ye ihtiyacınız var.
  2. Yönetim: yönetmek için sadece bir kutu
  3. IP: yönlendirme veya nating için trafiği yönetmek için tek nokta
  4. Risk: DMZ içindeki bir Ana Bilgisayarın güvenliği ihlal edilmişse, bu tehdit DMZ'de bulunur)
2
L_g__n

İki tasarımdan hangisinin "doğru" olduğu sorusunun yanıtı, yalnızca tasarlanan çözümün gereksinimlerine dayanabilir. Bu nedenle, her iki modelin de faydaları ve dezavantajları vardır, ancak gerçekten İKİ İLK FARKLI İŞ SÜRÜCÜSÜ'ne gelir:

İşletme aşağıdaki gibi ifadelerle gereksinim duyuyorsa:

"İnternete ihtiyacımız var/DMZ ...
* düşük maliyetli, en düşük maliyet, temel, basit tasarım, yönetilmesi kolay, ucuz ve kirli, yeterli koruma ... * vb."

Daha sonra 3-LEGGED FW (örnek # 2), tasarımınız için temel olarak kullanmanız gereken model olacaktır. Ve "KAYDET $$$" "Maliyetleri Azalt" ın genellikle 1 numaralı sürücü olduğu bir dünyada, 3-LEGGED FW Tasarımının en büyük dağıtım için neden en popüler dağıtım olduğu ana faktördür.

İşletme aşağıdaki gibi ifadelerle gereksinim duyuyorsa:

"İnternete ihtiyacımız var/DMZ ...
yüksek/son derece güvenli, maliyeti ne olursa olsun en iyi internet korumasını sağlar, şirket içi sistemlerimizin korunması ZORUNLUDUR ... vb. "

Daha sonra FW-Sandwich/2-Teir FW/Layered DMZ (örnek # 1) modeli, tasarımınız için bir temel olarak kullanmanız gereken modeldir ... Katmanlı DMZ güvenlik, İnternet korsanı için girişe ek benzersiz engeller ekler.İlk FW'den geçerse, bir sonraki katmana, bir sonraki katmana ve ardından arka uç Dahili FW'den önce gelir 3-LEGGED FW modeli, kötü/yanlış yapılandırılmış FW'nin tehlikeye girmesi durumunda dahili ağa doğrudan erişime sahip olduğu 1 koruma katmanıdır.

Geçmiş tasarımlarım ön ve arka FW'den daha karmaşık. Son derece güvenli bir ISS/DMZ tasarımında FW, IPS, front VIP ağ, DMZ VIP Yük) Dengeleyiciler, Özel Çiftlik ağları, ardından arka uç İç Yüzlü FW'ler.Bu katmanların her biri, bilgisayar korsanının geçmesi için benzersiz bir ek engel ekler. Ayrıca, tasarımdaki bir katmanın yalnızca sonraki katmana geçin ve bu katmanı kısayol olarak atlamayın "

Bu tasarım kesinlikle daha maliyetlidir, ancak bankacılık, finansal, büyük müşteri bilgileri veritabanlarının vb. KORUNMASI GEREKEN büyük ölçekli işletmeler için, onu bilgisayar korsanları ve bunlar arasındaki tek engel yapan 3 Ayaklı FW kullanmak aptalca olacaktır. taç mücevherleri.

1
user27666