Назад | Перейти на главную страницу

Если вам нужно открыть порты из DMZ в LAN, в какой момент разделение больше не стоит того?

Если у вас есть DMZ с одним или несколькими серверами / службами (возможно, FTP, HTTP и SMTP). И у вас есть локальная сеть с типичными серверными службами (например, совместное использование файлов, Active Directory, сервер баз данных).

В зависимости от интеграции служб и ресурсов межсетевой экран между DMZ и LAN может иметь много открытых портов. В какой момент вы бы не стали использовать DMZ?

Спасибо!

Не существует реалистичного измерения, в котором я бы не рассматривал возможность использования DMZ. С безопасностью каждый дополнительный бит, который вы можете получить, поможет. Идея состоит в том, чтобы ограничить количество атак возможных атак. Как администраторам, нам часто приходится бороться за безопасность, которую нам разрешено внедрять, так что берите все, что можете. Даже если вам нужно полностью открыть хост в своей локальной сети для DMZ, один хост намного лучше, чем каждый хост.

Реалистичный пример из того, что вы сказали, - это размещение внешнего сервера обмена в DMZ, а также внутреннего и активного каталога в локальной сети. Несмотря на то, что к ним все еще можно добраться из DMZ, по крайней мере, вы ограничили возможные пути доступа. Затем вы можете приложить все усилия для отслеживания любых уведомлений о безопасности, связанных с этими конкретными услугами.

Обычно цель DMZ - отделить ненадежную сеть от доверенной. В зависимости от уровня брандмауэра вы можете контролировать многие аспекты соединения, помимо простого открытия портов.

По моему опыту, компании вводят политику, которая предотвращает прямую связь любых ненадежных соединений с доверенными ресурсами, за исключением случаев, когда они тщательно проверяются. Например, обратные прокси-серверы в DMZ могут обеспечивать предварительную аутентификацию для ненадежных соединений, прежде чем они получат данные из доверенных ресурсов.

Еще один момент, который стоит учитывать, заключается в том, что даже при открытии портов можно контролировать, какие устройства могут обмениваться данными через эти порты. Например, может потребоваться открыть порт, чтобы разрешить обмен данными SQL между веб-сервером в демилитаризованной зоне и сервером SQL в доверенной сети, но вы можете ограничить трафик, проходящий через этот порт, только веб-сервером и SQL-сервером. сервер.

В конечном итоге вы должны разработать политику границ, которая обеспечит минимальный уровень доступа для удовлетворения требований вашего приложения.

Мне не нравится термин «демилитаризованная зона», потому что он подразумевает, что существует единственная зона, в которую вы бросаете вещи, которым не особо доверяете. Фактически во многих местах будет просто какой-то случайный коммутатор или концентратор, подключенный к другому интерфейсу на их брандмауэре, и назовут это их «DMZ».

Я предпочитаю разделять отдельные службы на отдельные зоны (обычно это смесь интерфейсов на межсетевом экране и vlan на коммутаторе, подключенном к межсетевому экрану). Оттуда я сделаю сочетание симметричного наттинга или прямой маршрутизации с ACL / правилами брандмауэра для каждой службы / сервера. Если вы используете FTP-сервер, вы получаете доступ, связанный с ftp; DNS сервер? Вы получаете порт 53 и т. Д. Но я никогда не помещал ftp-сервер и DNS-сервер в один и тот же широковещательный домен.

Для меня цель «DMZ» в основном состоит в том, чтобы действовать как единая точка для мониторинга и регулирования трафика, а не просто для блокировки трафика. Вы настраиваете политики на основе службы, и у вас есть единственная точка доступа для настройки ведения журнала, мониторинга и фильтрации.

Конечно, если вам по какой-то причине придется подключаться непосредственно к корпоративной сети, по крайней мере, вы все равно можете отслеживать журналы для этого конкретного правила, которое вводит трафик, и контролировать этот конкретный хост немного более внимательно, чем другие. . Однако в идеале вы можете просто переместить этот сервер в DMZ и просто разрешить больший доступ изнутри корпоративной зоны в эту зону обслуживания, чем был бы разрешен извне; это дает вам 100% -ную видимость трафика, генерируемого этим хостом, поэтому, если он скомпрометирован интернет-службой, вы быстро увидите, что это происходит из журналов трафика.

Не следует ли переместить некоторые службы в демилитаризованную зону? Постарайтесь, чтобы локальная сеть была недоступна откуда угодно. Затем управляйте безопасностью в зоне DMZ.