Назад | Перейти на главную страницу

Безопасность VLAN по сравнению с DMZ

я нашел этот вопрос очень поучительно о DMZ и о том, когда разместить сервер в одной из них.

Мы реорганизуем нашу внутреннюю сеть компании (сохраняя те же внешние IP-адреса и домены), наши в основном Серверы Windows (мы активно используем WinAD) будут находиться в локальной сети с брандмауэрами и переадресацией портов для прямого внешнего трафика.

Каковы преимущества (недостатки) безопасности при установке сервера (например, электронной почты) в другую виртуальную локальную сеть, отличную от остальной внутренней сети, а не внутри DMZ?

Это немного похоже на сравнение яблок и апельсинов. DMZ - это отдельный сегмент сети для систем с повышенным риском взлома; vlan - это механизм для достижения логического разделения между разными логическими сетями в одной физической сети.

Вместо этого вы, вероятно, захотите провести следующее сравнение: Должен ли я реализовать свою DMZ через физическое разделение с использованием отдельной сетевой инфраструктуры или через логическое разделение в той же сетевой инфраструктуре?


При физическом разделении основным препятствием является стоимость; вы будете инвестировать в специализированное сетевое оборудование для небольшого количества систем DMZ. Кроме того, требуется дополнительное время для управления настройкой и обслуживанием этой инфраструктуры.

С разделением vlan вы по сути создадите ту же логическую инфраструктуру, что и с физическим разделением; выделенный vlan с собственной подсетью, устройство, выполняющее маршрутизацию между подсетями, будет применять элементы управления доступом и т. д.

Однако проблема заключается в безопасности; совместное использование одной и той же физической инфраструктуры увеличивает количество потенциальных поверхностей атаки для злоумышленника, взломавшего устройство DMZ, чтобы попытаться получить доступ к сети, не относящейся к DMZ.

При использовании только логического разделения атаки с перескоком vlan, а также прямые удаленные эксплойты против сетевых устройств, доступных для DMZ (но обслуживающих обе сети), являются потенциальными рисками, а также повышают риск неправильной конфигурации в одном устройстве, компрометирующего барьер между сетями.