Bir web sunucusuna DMZ'de bir delik açmak ne kadar büyük bir sorun?

15

Şu anda web sunucumuz bir DMZ'de. Web sunucusu iç ağda hiçbir şey göremez, ancak iç ağ web sunucusunu görebilir. DMZ ile dahili ağ arasındaki güvenlik duvarında intranetteki tek bir web sunucusuna bir delik açmak ne kadar güvenli olur? Birkaç arka ofis uygulamamızla (hepsi bir sunucuda) arayüz oluşturacak bir şey üzerinde çalışıyoruz ve bu verileri tutan IBM i sunucusuyla doğrudan iletişim kurabilseydik, bu projeyi yapmak çok daha kolay olurdu ( web hizmetleri üzerinden).

Anladığım kadarıyla (ve markaları bilmiyorum), DMZ için birincil IP'imizden farklı bir harici IP'ye sahip başka bir güvenlik duvarına sahip bir güvenlik duvarımız var. Başka bir güvenlik duvarı web sunucusu ile intranet arasındadır.

Yani şöyle bir şey:

Web Server  <==== Firewall ===== Intranet
     |                              |
     |                              |
  Firewall                      Firewall
     |                              |
     |                              |
 Internet IP1                  Internet IP2
security  firewall  dmz 
Mike Wills
kaynak
Bu DMZ'yi nasıl bir güvenlik duvarı sağlıyor gibi bazı ayrıntılara ne dersiniz?
SpacemanSpiff
@SpacemanSpiff Ağ hakkında sahip olduğum asgari bilgiden denedim. Bir sonraki projeyi planlayan ve seçenekler sunan bir geliştiriciyim.
Mike Wills

Yanıtlar:

25

Amaçlanan sonucu elde etmek için gerekli olduğunda, DMZ'deki ana bilgisayarlar için korumalı ağdaki ana bilgisayarlara erişmek için erişim mekanizmaları oluşturmada yanlış bir şey yoktur. Belki de bunu yapmak tercih edilmez, ancak bazen işi yapmanın tek yolu budur.

Dikkate alınması gereken anahtar noktalar:

  • Erişimi, yapabileceğiniz en spesifik güvenlik duvarı kuralına sınırlayın. Mümkünse, kullanılacak belirli protokollerle (TCP ve / veya UDP bağlantı noktaları) kuralla ilgili belirli ana bilgisayarları adlandırın. Temel olarak, sadece ihtiyacınız olduğu kadar küçük bir delik açın.

  • DMZ ana bilgisayarından korumalı ağdaki ana bilgisayara erişimi günlüğe kaydettiğinizden ve mümkünse bu günlükleri anormallikler için otomatik olarak analiz ettiğinizden emin olun. Sıra dışı bir şeyin ne zaman olduğunu bilmek istersiniz.

  • Dahili bir ana bilgisayarı, dolaylı bir şekilde olsa bile, Internet'e maruz bıraktığınızı unutmayın. Gösterdiğiniz yazılım ve ana bilgisayarın işletim sistemi yazılımının kendisi için düzeltme ekleri ve güncellemelerden haberdar olun.

  • Uygulama mimariniz için uygunsa, DMZ ana bilgisayarı ile dahili ana bilgisayar arasında karşılıklı kimlik doğrulamayı göz önünde bulundurun. Dahili ana bilgisayara gelen isteklerin aslında DMZ ana bilgisayarından geldiğini bilmek güzel olurdu. Bunu yapıp yapamayacağınız, uygulama mimarinize büyük ölçüde bağımlı olacaktır. Ayrıca, DMZ ana bilgisayarına "sahip" birisinin, kimlik doğrulama gerçekleşse bile dahili ana makineye istekte bulunabileceğini unutmayın (çünkü etkin bir şekilde DMZ ana bilgisayarı olacaklardır).

  • DoS saldırılarıyla ilgili endişeleriniz varsa, DMZ ana bilgisayarının dahili ana bilgisayarın kaynaklarını tüketmesini önlemek için hız sınırlayıcı kullanmayı düşünün.

  • DMZ ana bilgisayarından gelen isteklerin önce istekleri "sterilize" edebilen, akıl sağlığını kontrol edebilen ve daha sonra bu sunuculara aktarabilen özel amaçlı bir dahili ana bilgisayara geçirildiği katman 7 "güvenlik duvarı" yaklaşımını kullanmayı düşünebilirsiniz. "gerçek" arka uç ana bilgisayar. IBM iSeries'inizdeki arka ofis uygulamalarınızla arayüz hakkında konuştuğunuzdan, iSeries'in kendisinden gelen isteklere karşı sağlık kontrolü yapma yeteneğinizin sınırlı olduğunu tahmin ediyorum.

Buna metodik bir şekilde yaklaşırsanız ve bununla ilgili sağduyulu davranırsanız, riski aynı anda en aza indirirken tanımladığınız şeyi yapamamanız için hiçbir neden yoktur.

Açıkçası, korunan ağa izinsiz erişimi olmayan bir DMZ'niz var, sizi gördüğüm birçok ağın ötesine atlıyor ve sınırlandırıyor. Bazı insanlar için, öyle görünüyor ki, DMZ sadece "muhtemelen farklı RFC 1918 adresleri olan güvenlik duvarında başka bir arayüz ve temelde internete ve korumalı ağa erişimin olmadığı " anlamına gelir. İş hedeflerinizi gerçekleştirirken DMZ'nizi olabildiğince kilitli tutmaya çalışın ve başarılı olun.

Evan Anderson
kaynak
Waaaay benimkinden daha kapsamlı bir cevap :) +1
Matthew
Bu bilgiyi seviyorum. Sormadan önce, bahsettiğiniz bazı şeyleri anladım. Ama birçoğunu tam olarak anlamadım. Teşekkürler!
Mike Wills
Bu, akıl sağlığı kontrolleriyle ne demek istediğinize bağlı. Böyle bir durumda, mümkün olduğunca fazla SQL'den kaçınırız (RPG veritabanlarını "okuyabilir") ve işlemeden önce gelen verileri doğrularız. Ayrıca, arka ofis yazılımına girilen verilerin çoğu, çalışanların elle başa çıkabilmesi için muhtemelen bir "gelen kutusuna" eklenecektir.
Mike Wills
6

Açıkçası bazı tehlikeler var, ama bunu yapabilirsiniz. Temelde birisinin girebileceği bir iğne deliği açıyorsunuz, bu yüzden küçük yapın. Yalnızca iki uçtaki sunucularla sınırlayın ve yalnızca seçilen bağlantı noktalarındaki verilere izin verin. Sadece tuhaf bağlantı noktalarını kullanmak için bağlantı noktası adresi çevirisini kullanmak kötü bir fikir değil. Yine de, belirsizliğe göre güvenlik hiç bir güvenlik değildir. Diğer taraftaki sunucu ne olursa olsun, bu bağlantıdan geçen bilginin gerçekten göründüğü gibi olduğunu kontrol etmenin bir yolu olduğundan emin olun ... Ayrıca, bu tür bir şey için yapılmış bazı güvenlik duvarları var ... Biliyorum microsoft ISA aynı şeyi OWA ve Exchange sunucuları için yapıyor.

Matthew
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.