У меня есть маршрутизатор с брандмауэром, который подключается к двум виртуальным Lans. Первая LAN - это административная сеть, а вторая - DMZ. Моим виртуальным машинам в демилитаризованной зоне необходимо отправлять сообщения системного журнала на виртуальную машину системного журнала в vlan администратора. Для этого я должен включить правило из DMZ в мою административную сеть для системного журнала. Это означает, что если сервер DMZ был скомпрометирован, его можно было использовать для атаки на сервер системного журнала в административной сети.
Я предполагаю, что сервер системного журнала должен находиться в vlan администратора, поскольку он содержит ценную и конфиденциальную информацию, которая мне не нужна в моей DMZ.
Есть ли способ безопасно передать эти журналы, не открывая путь к моей административной сети из DMZ?
На самом деле это обманчиво сложный вопрос. :) Один из любимых.
Вопрос можно сформулировать так: «Следует ли разрешить менее надежной сети доступ к более надежной сети, учитывая, что единственным протоколом является syslog»?
Вам необходимо взвесить стоимость / выгоду размещения вашего сервера системного журнала внутри. Я лично сторонник того, чтобы сервер системного журнала находился во внутренней сети - на самом деле это довольно ценный актив.
Тогда возникает вопрос о вероятности взлома атаки именно через демон syslog. Если вы думаете, что ваш сервер системного журнала может быть взломан, вы должны изолировать его от своей административной сети.
Я лично считаю, что вероятность взлома сервера системного журнала довольно мала, но есть много способов сделать это с различными комбинациями аппаратных и программных брандмауэров.
Например, ваш сервер системного журнала может физически находиться в DMZ. Оттуда iptables может разрешить системный журнал с любого хоста как DMZ, так и вашей административной сети, а затем ограничить SSH и веб-доступ, если требуется, только из вашего административного сегмента.
Или у вас может быть две отдельные подсети DMZ через аппаратный брандмауэр. DMZ1 -> DMZ2 <- Admin, где DMZ2 содержит ваш сервер системного журнала.
Поместите сервер системного журнала в DMZ и разрешите опрос подключений (например, rsync), инициированных из административной сети.
Регистрируйте любые запросы SYN от сервера системного журнала, так как это будет явным признаком попытки вторжения