it-swarm-es.com

Público DMZ arquitectura de red

Hace años, cuando era estudiante, un profesor de seguridad de red me enseñó en una clase lo que es DMZ. La arquitectura que utilizó en sus diapositivas era similar a esta:

Double firewall DMZ

Ahora que trabajé, mi jefe, un ingeniero de seguridad con más de 10 años de experiencia, tiene un punto de vista diferente. Para él, un DMZ no debe colocarse en un "emparedado" entre la LAN e Internet. En cambio, debe ser como el que se ilustra a continuación:

Single firewall DMZ

Al buscar en Google arquitecturas de red con una DMZ, encontré diferentes representaciones y me confundí aún más. Entonces, mi pregunta es, ¿cómo debe colocarse un DMZ en una arquitectura de red altamente segura? ¿Es correcta la primera representación desde un punto de vista de seguridad?

25
lisa17

Los dos son funcionalmente equivalentes: el DMZ está efectivamente en un sándwich, ya que tiene que tener conexiones del mundo exterior cortafuegos, pero también tiene cortafuegos que restringen el acceso desde él a la red interna.

Si bien el último diagrama es a menudo lo que sucede (por razones de costo: necesita menos firewalls), el primero se considera más seguro ya que puede usar dos marcas diferentes de firewall, lo que ayuda a evitar un ataque al firewall que infringe ambos. Cuando usa un cortafuegos, usa conjuntos de reglas para cada dirección y cada conexión, y funcionalmente es lo mismo que los conjuntos de reglas en el segundo ejemplo.

Esto es solo una ligera mejora en la seguridad, ya que generalmente no ataca los firewalls: usa los puertos abiertos para atravesar y atacar el servidor web, el servidor de correo, o incluso pasar directamente para atacar la base de datos, pero todas las capas de seguridad ayuda.

18
Rory Alsop

¿Cómo debe colocarse un DMZ) en una arquitectura de red altamente segura?

La clave es la defensa en profundidad entre dominios de seguridad. El alcance de la arquitectura implementada dependerá de los recursos disponibles, incluidas las limitaciones financieras y las capacidades técnicas.

Defensa en profundidad

La defensa en profundidad es un concepto de aseguramiento de la información (IA) en el que se colocan múltiples capas de controles de seguridad (defensa) en todo un sistema de tecnología de la información (TI). Es una táctica de estratificación, para mitigar la consecuencia de un solo fallo de control de seguridad. Wikipedia

Dominios de seguridad

Un dominio de seguridad es el factor determinante en la clasificación de un enclave de servidores/computadoras. Una red con un dominio de seguridad diferente se mantiene separada de otras redes. Wikipedia

Implementación

A los efectos de determinar los controles entre dominios de seguridad que podría definir; Internet como no confiable, el DMZ como semi-confiable, y las redes internas como confiables.

Por lo tanto, emplearía múltiples capas de controles de seguridad entre Internet y su DMZ, que podrían incluir: firewalls L3, IPS, AV, proxy inverso/equilibrio de carga, filtrado L7.

Desde el DMZ Host (s) de vuelta a su red interna, emplearía capas adicionales de: cortafuegos L3, filtrado L7 (por ejemplo, RPC), IPS/AV.

El acceso con privilegios mínimos entre dominios de seguridad también es clave para maximizar la efectividad de los controles de seguridad.


¿Es correcta la primera representación desde un punto de vista de seguridad?

Aconsejaría que no, debido a la falta de defensa en profundidad. Solo hay un único control de acceso entre Internet-DMZ y DMZ-LAN. Por lo general, una arquitectura altamente segura tendría separación de proveedores y capas de controles de acceso (L3 FW, WAF, IPS, AV, etc.).

11
lew

No hay absolutamente ningún absoluto en seguridad.

Desde una perspectiva de entrenamiento, diría que el primero es más claro. Muestra el concepto de que el mundo exterior atraviesa estas diversas capas y que es más fácil alcanzar el DMZ y, presumiblemente, lo que está estacionado allí es de menor riesgo.

También es mejor desde un punto de vista de defensa en capas, como se señala muy bien en otras respuestas.

Pero es menos práctico desde el punto de vista del costo. Y he visto muchas, muchas variantes en el diagrama inferior, todas segmentando redes por varias razones, tratando de hacer más con menos por varios costos u otras razones prácticas.

Sinceramente, no creo que haya un "camino correcto" o un "diagrama correcto". Los factores incluyen:

  • costo vs. riesgo de compensación - múltiples capas de firewalls con diversos proveedores es definitivamente más seguro, también es más costoso. A debe tener para una operación de alto valor/alto riesgo. Exagerar para una operación de bajo valor/bajo riesgo, ya que no solo es costoso comprar, sino también mantener, y debe sopesar el factor de los humanos que mantienen estas cosas, y el riesgo de brechas y configuraciones erróneas. ¡Un cortafuegos bien configurado será mejor que dos cortafuegos abiertos porque la persona que los configuró no sabía lo suficiente para hacer bien el trabajo!

  • claridad - ¿cómo se ve realmente la red? Si solo hay un firewall, dibuje el diagrama en consecuencia, no deje a la gente buscando un segundo firewall. A menos que esté hablando de una capa lógica y no de una capa física, en cuyo caso ambas "paredes" pueden estar en el mismo dispositivo. El objetivo de un diagrama es ayudar a los humanos a hacer cosas ... un diagrama es "correcto" o "incorrecto" solo en términos de su capacidad para satisfacer esta necesidad.

Yo diría que si su jefe afirma que su dibujo es la "forma correcta" absoluta, está loco ... hay muchos ejemplos públicos para contrarrestar eso.

Si es la forma más clara de describir lo que está trabajando, entonces tiene razón.

8
bethlakshmi

Repetiré algunas cosas que otros han dicho, pero aquí va.

En primer lugar, pensaría en cuánta seguridad se desea, el costo para lograrlo y los problemas que surgirán si algo falla y se pierde la comunicación entre la zona segura e Internet .

Su cenario se ve un poco más sofisticado, porque hay más capas del mundo oscuro hasta que se alcanzan sus datos secretos. Pero también agrega más costos, existen más puntos de falla.

El segundo cenario es tan seguro como el firewall. Obtener el DMZ comprometido) no hará que sea más fácil atacar, ya que tiene que pasar por el firewall, y el firewall es la pieza de resistencia en todo el concepto.

Y lo siento, pero si la pregunta era solo "cuál es el correcto: ¿dos cortafuegos o uno solo?", No podría encontrar ninguna referencia para decidirlo.

3
woliveirajr

No tengo claro qué quiere decir con "arquitectura de red altamente segura". Debería considerar con más detalle cuáles son sus objetivos de seguridad, los requisitos de seguridad de la información y el panorama de amenazas en el que está evolucionando para diseñar e implementar controles de seguridad adecuados.

Sin embargo, intentaré responder a su pregunta a un alto nivel.

Sí, la primera arquitectura de seguridad está bien desde un punto de vista de seguridad en general. Existen variaciones de esta arquitectura (por ejemplo, ¿adjunta el DMZ a los firewalls externos y/o internos y/o intermedios) pero no creo que sea relevante para su pregunta en este momento? escenario.

Tengo entendido que esta arquitectura solía ser más popular en un momento en que los firewalls tenían múltiples vulnerabilidades públicas conocidas en su implementación que permitirían omitir o incluso explotar los firewalls mismos y en ausencia de otros controles de mitigación.

Al usar una implementación diferente para sus firewalls externos e internos, solo está aplicando el principio de selección natural a su arquitectura y generalmente es una buena cosa: si una implementación es vulnerable a un ataque específico, el mismo ataque puede no funcionar en un implementación diferente si sus rasgos respectivos son lo suficientemente diferentes. Es de esperar que elimine un solo punto de falla (desde una perspectiva de implementación) de la "función de seguridad del firewall".

Por supuesto, dependiendo de los requisitos de disponibilidad de información, es posible que deba considerar agrupar sus firewalls externos e internos, entre otras cosas.

La segunda arquitectura también es válida desde una perspectiva de seguridad y creo que ahora es más popular que la primera (costo de ayuda). Tiene un posible punto único de falla de la función de seguridad del firewall. Sin embargo, la mayoría de las organizaciones se habrían dado cuenta (con suerte) de que no puede confiar en su firewall solo para proporcionar servicios de seguridad. Enrutadores/conmutadores/firewalls de host/etc. Todos pueden contribuir a la postura de seguridad de una organización, mitigando así algunos o todos los daños causados ​​por el compromiso de una implementación de firewall (único). También parece que los firewalls son un poco más sólidos hoy en día y que los ataques se han desplazado a capas OSI más altas pero más suaves, p. aplicaciones.

Consideraría la segunda arquitectura para la mayoría de las implementaciones. Puedo considerar la primera arquitectura en algunas circunstancias específicas, incluidos, entre otros, los objetivos y requisitos de seguridad, las motivaciones de los posibles atacantes y, lo que es más importante, los recursos.

3
obscure

El riesgo es mucho peor en el primer diagrama. Da un paso atrás y lee acerca de las DMZ militares, son básicamente lugares donde colocas cosas que no te importan proteger. Para empezar, es una mala terminología y una idea obsoleta en TI. Ahora supongamos que tiene un entorno mucho más grande con diferentes niveles de seguridad, no puede arrojar todos los datos en una zona (mucho menos permitir que su intruso de tráfico LAN infectado con malware lo haya pensado). Necesitará múltiples zonas de seguridad (múltiples DMZ si está vinculado a ese término, las llamo segmentos seguros). ¿Cómo agregaría digamos 20 zonas de seguridad diferentes a cada uno de los diagramas anteriores? ¿Continuar agregándolos en serie según su nivel de seguridad? o agregarlos en paralelo según sea necesario? La razón por la cual la mayoría de los firewalls modernos tienen múltiples interfaces (algunos grandes tienen hasta 100 interfaces) es porque agregamos subredes seguras en paralelo. En un entorno de alta seguridad, es posible que tenga zonas de seguridad separadas para los servidores web frente a los servidores DNS frente a los servidores de correo, etc. De esa forma, si sus servidores web se apropian, el atacante no ha ganado terreno adicional para comprometer su servidor de correo o cualquier otra cosa. . Del mismo modo, si su proveedor de servicios aloja una docena de clientes colocados, puede colocar cada uno detrás de una interfaz diferente para que no puedan atacarse entre sí (o propagar gusanos) de manera diferente de atacar a través de Internet. Explore algunos de los sitios web de grandes proveedores (Cisco y Juniper) y consulte la documentación sobre sus firewalls más grandes y la cantidad de interfaces que admiten. Todavía querrá firewalls internos y firewalls de aplicaciones web (WAF) como Imperva (o proxies mod_security) pero incluso estas áreas internas deberán segmentarse y compartimentarse. El viejo diagrama de sándwich (arquitectura de TI de los años 70 y 80) es un error de seguridad importante y debe desaparecer.

3
Trey Blalock

Sí, además de la respuesta anterior, podría agregar un IPS para bloquear ataques que el cortafuegos no detectaría ya que esos ataques estarían dirigidos a los puertos abiertos.

2
Justin Andrusk

Depende del tipo de arquitectura de red de su edificio.

El primer ejemplo es ideal para situaciones como el alojamiento de una aplicación web grande, construye la seguridad en sus capas, por lo que los niveles de balanceador, nivel de aplicación, nivel de datos, cada uno protegido por diferentes medidas de seguridad, pero funcionan en sus propias redes confiables.

En el segundo ejemplo, exactamente cómo se describe, con una LAN colgando. Además, esta opción es ideal para situaciones en las que necesita poder configurar el tráfico para garantizar la calidad del servicio.

Entonces, para responder a su pregunta, ambas son válidas y ambas tienen sus propias ventajas, no hay una bala de plata.

2
Vincent

La mayoría de los ingenieros de firewall han implementado principalmente el segundo modelo de diagrama, ya que un conjunto de firewall es menos costoso, más fácil de configurar y administrar. Puede utilizar cada puerto en el cortafuegos para la conexión física con el exterior, el interior y cada DMZ o utilizar el contexto múltiple (muy parecido a VM) para segregar virtualmente los entornos. Utilizamos el segundo modelo en nuestros centros de datos más pequeños y el primer modelo con múltiples FW en nuestros centros de datos empresariales. Los auditores adoran el primer modelo para ubicaciones empresariales, ya que una regla mal configurada en el segundo modelo puede causar que un atacante que haya tomado el control de su servidor [DMZ), tal vez obtenga el control dentro de su red. Esto es mucho más difícil en el primer modelo, ya que un atacante debe atravesar dos conjuntos de cortafuegos para entrar. Un administrador de firewall puede cometer un error tal vez al probar en un firewall pero no en dos (generalmente). Acabamos de implementar múltiples firewalls la semana pasada. Con los cortafuegos en Internet, conecte a múltiples DMZ y Load Balancers ... y dentro de los cortafuegos, conectándose a los mismos DMZ/Load Balancers. Además, el firewall segundo/interno tiene contexto múltiple en el interior. Que proporciona firewall entre WAN, entornos de producción y ninguno de producción ... donde los servidores de producción pueden acceder a cualquier cosa, pero WAN puede acceder a los servidores de producción en www y https (etc.) o permitir el acceso RDP a los administradores para acceder servidores de producción y DEV/QA dentro de Firewall.

2
Matt

Tu jefe tiene razón.

La primera representación tiene muchos problemas o debilidades.

  1. HA (alta disponibilidad): necesitará 4 FW (2 externos y 2 internos) = $$$
  2. Administración: "se considera más seguro ya que puede usar dos marcas diferentes de firewall" ... una gran cantidad de gastos generales de administración (actualización, reglas, registro, licencias). Si no puede confiar en su FW y necesita otro de un fabricante diferente, ¡tiene un problema!
  3. IP: este diseño puede ser una pesadilla con natting, enrutamiento, etc.
  4. Riesgo: en este diseño, un host comprometido DMZ Host está en un lugar agradable para detectar y atacar a los usuarios en la zona LAN.

En la vida real, el segundo diseño es más seguro y simple que el primero.

  1. HA (alta disponibilidad): solo necesita otro FW.
  2. Administración: solo una caja para administrar
  3. IP: punto único para gestionar el tráfico para enrutamiento o nating
  4. Riesgo: si un Host en DMZ está comprometido, esta amenaza está contenida en la DMZ
2
L_g__n

La respuesta a la pregunta sobre cuál de los dos diseños son "correctos" solo se puede basar en los requisitos impuestos a la solución que se está diseñando. Como tal, ambos modelos tienen beneficios y desventajas, pero realmente se reduce a DOS PRINCIPALES CONDUCTORES DE NEGOCIOS DIFERENTES:

Si el negocio está haciendo requisitos con declaraciones como:

"Necesitamos un Internet/DMZ diseño de seguridad que sea ...
* rentable, costo más bajo, diseño básico, simple, fácil de administrar, barato y sucio, protección adecuada ... * etc. "

Entonces, el FW de 3 PIERNAS (ejemplo # 2) será el modelo que debe usar como base para su diseño. Y en un mundo donde "AHORRO $$$" "Reducir costos" son a menudo los impulsores número 1, es el factor principal por el que el diseño FW de 3 PIERNAS es, con mucho, el despliegue más popular, incluso para organizaciones más grandes.

Si el negocio está haciendo requisitos con declaraciones como:

"Necesitamos un Internet/DMZ diseño de seguridad que sea ...
altamente/extremadamente seguro, proporciona la mejor protección de Internet sin importar el costo, la protección de nuestros sistemas corporativos internos es DEBE ... etc. "

Entonces el modelo FW-Sandwich/2-Teir FW/Layered DMZ (ejemplo # 1) es el que debería usar como base para su diseño. La razón es extremadamente simple ... La seguridad en capas DMZ) agrega barreras únicas adicionales para la entrada del pirata informático de Internet. Si supera el primer FW, aterriza en la siguiente capa, y en la siguiente, y luego en el backend Internal FW antes de que él finalmente ha llegado a las joyas de la corona de los datos corporativos El modelo FW de 3 PIERNAS es 1 capa de protección por lo que si FW está mal/mal configurado, tiene acceso directo a la red interna.

Mis diseños anteriores son más completos que un FW frontal y posterior. En un diseño ISP/DMZ extremadamente seguro, diseñé FW, IPS, frontal VIP red, DMZ VIP Load Equilibradores, redes de granjas privadas, luego los FW internos de back-end. Cada una de estas capas agrega una barrera de entrada adicional única para que el hacker pueda pasar. También establecemos reglas de diseño que establecen que "una capa en el diseño solo debe hablar a la siguiente capa y no omitir esa capa como acceso directo "

Este diseño es seguramente más costoso, pero para las empresas a gran escala en las que se DEBE PROTEGER la banca, las finanzas, las grandes bases de datos de información del cliente, etc., sería una tontería usar un FW de 3 patas que lo convierta en la única barrera entre los piratas informáticos y estos joyas de la corona.

1
user27666