it-swarm-vi.com

Công khai DMZ kiến ​​trúc mạng

Cách đây nhiều năm, khi tôi còn là sinh viên, một giáo sư an ninh mạng đã dạy tôi trong một lớp học a DMZ là gì. Kiến trúc anh ấy sử dụng trong các slide của mình tương tự như thế này:

Double firewall DMZ

Bây giờ tôi đã có việc làm, ông chủ của tôi, một kỹ sư bảo mật với hơn 10 năm kinh nghiệm có quan điểm khác. Đối với anh ta, không nên đặt a DMZ trong "bánh sandwich" giữa mạng LAN và internet. Thay vào đó, nó phải giống như hình minh họa dưới đây:

Single firewall DMZ

Khi tìm kiếm với Google về kiến ​​trúc mạng bằng DMZ, tôi đã tìm thấy các cách trình bày khác nhau và tôi càng bối rối hơn. Vì vậy, câu hỏi của tôi là, làm thế nào a DMZ được đặt trong kiến ​​trúc mạng có độ an toàn cao? Đại diện đầu tiên có ổn theo quan điểm bảo mật không?

25
lisa17

Cả hai đều tương đương về chức năng - DMZ có hiệu quả trong một chiếc bánh sandwich, vì nó phải có kết nối từ thế giới bên ngoài được tường lửa, nhưng cũng có tường lửa hạn chế quyền truy cập từ nó vào mạng bên trong.

Mặc dù sơ đồ sau thường là những gì xảy ra (vì lý do chi phí - bạn cần ít tường lửa hơn), sơ đồ đầu tiên được coi là an toàn hơn vì bạn có thể sử dụng hai loại tường lửa khác nhau, giúp tránh một cuộc tấn công vào tường lửa vi phạm cả hai. Khi bạn sử dụng một tường lửa, bạn sử dụng các bộ quy tắc cho mỗi hướng và từng kết nối - và về mặt chức năng, đây cũng giống như các bộ quy tắc trong ví dụ thứ hai.

Đây chỉ là một cải tiến nhỏ về bảo mật, vì nhìn chung bạn không tấn công tường lửa - bạn sử dụng các cổng mở để đi thẳng và tấn công máy chủ web, máy chủ thư hoặc thậm chí truyền thẳng để tấn công cơ sở dữ liệu, nhưng tất cả các lớp bảo mật Cứu giúp.

18
Rory Alsop

Làm thế nào a DMZ được đặt trong kiến ​​trúc mạng có độ an toàn cao?

Điều quan trọng là phòng thủ theo chiều sâu giữa các lĩnh vực bảo mật. Phạm vi của kiến ​​trúc được triển khai sẽ phụ thuộc vào các tài nguyên có sẵn, bao gồm các hạn chế tài chính và khả năng kỹ thuật.

Phòng thủ theo chiều sâu

Phòng thủ theo chiều sâu là một khái niệm đảm bảo thông tin (IA) trong đó nhiều lớp kiểm soát bảo mật (phòng thủ) được đặt trong toàn bộ hệ thống công nghệ thông tin (CNTT). Đây là một chiến thuật phân lớp, để giảm thiểu hậu quả của một điều khiển bảo mật duy nhất không thành công. Wikipedia

Miền bảo mật

Miền bảo mật là yếu tố quyết định trong việc phân loại một nhóm máy chủ/máy tính. Một mạng với một miền bảo mật khác nhau được giữ tách biệt với các mạng khác. Wikipedia

Thực hiện

Đối với mục đích xác định kiểm soát giữa các lĩnh vực bảo mật, bạn có thể xác định; Internet không đáng tin cậy, DMZ là bán đáng tin cậy và mạng nội bộ là đáng tin cậy.

Do đó, bạn sẽ sử dụng nhiều lớp kiểm soát bảo mật giữa internet và DMZ của mình, có thể bao gồm: tường lửa L3, IPS, AV, Reverse-proxy/Cân bằng tải, lọc L7.

Từ DMZ Máy chủ lưu trữ trở lại mạng nội bộ của bạn, bạn sẽ sử dụng các lớp bổ sung: tường lửa L3, lọc L7 (ví dụ: RPC), IPS/AV.

Quyền truy cập đặc quyền tối thiểu giữa các lĩnh vực bảo mật cũng là chìa khóa để tối đa hóa hiệu quả của các kiểm soát bảo mật.


Là đại diện đầu tiên OK từ quan điểm bảo mật?

Tôi sẽ khuyên không, do thiếu phòng thủ chuyên sâu. Chỉ có một điều khiển truy cập duy nhất giữa Internet-DMZ và DMZ-LAN. Thông thường, một kiến ​​trúc có độ an toàn cao sẽ có sự phân tách nhà cung cấp và các lớp điều khiển truy cập (L3 FW, WAF, IPS, AV, v.v.).

11
lew

Hoàn toàn không có sự tuyệt đối trong bảo mật.

Từ góc độ đào tạo - Tôi muốn nói điều đầu tiên rõ ràng hơn. Nó cho thấy khái niệm rằng thế giới bên ngoài trải qua các lớp khác nhau và việc tấn công DMZ và có lẽ những gì đóng quân sẽ có rủi ro thấp hơn.

Nó cũng tốt hơn từ quan điểm phòng thủ nhiều lớp - như được chỉ ra trong các câu trả lời khác rất độc đáo.

Nhưng đó là ít pratical từ quan điểm chi phí. Và tôi đã thấy nhiều, rất nhiều biến thể trên sơ đồ thấp hơn - tất cả các mạng phân đoạn vì nhiều lý do, cố gắng làm nhiều hơn với chi phí thấp hơn hoặc các lý do thực tế khác.

Tôi không thành thật tin rằng có một "cách đúng" hoặc "sơ đồ đúng". Các yếu tố bao gồm:

  • chi phí so với rủi ro đánh đổi - nhiều lớp tường lửa với các nhà cung cấp đa dạng chắc chắn an toàn hơn, nó cũng đắt hơn. Phải có cho một hoạt động giá trị cao/rủi ro cao. Quá mức cần thiết cho một hoạt động có giá trị thấp/rủi ro thấp - vì nó không chỉ tốn kém để mua, mà còn để duy trì, và bạn phải cân nhắc yếu tố con người duy trì những điều này, và nguy cơ lỗ hổng và cấu hình sai. Một tường lửa được cấu hình tốt sẽ tốt hơn hai tường lửa được mở rộng vì người định cấu hình chúng không biết đủ để thực hiện công việc ngay!

  • sự rõ ràng - mạng thực sự trông như thế nào? Nếu chỉ có một tường lửa, vui lòng vẽ sơ đồ phù hợp, đừng để mọi người săn tìm tường lửa thứ hai. Trừ khi bạn đang nói về một lớp logic và không phải là một lớp vật lý, trong trường hợp đó cả hai "bức tường" có thể nằm trên cùng một thiết bị. Quan điểm của một sơ đồ là giúp con người thực hiện mọi việc ... một sơ đồ là "đúng" hoặc "sai" chỉ về khả năng đáp ứng nhu cầu này.

Tôi muốn nói, nếu sếp của bạn tuyên bố rằng bản vẽ của anh ta là "cách đúng đắn" tuyệt đối - anh ta sẽ mất trí ... có rất nhiều ví dụ công khai để chống lại điều đó.

Nếu đó là cách rõ ràng nhất để mô tả điều bạn đang làm việc, thì anh ấy đã đúng.

8
bethlakshmi

Tôi sẽ lặp lại một số điều người khác đã nói, nhưng ở đây nó đi.

Trước hết, tôi nghĩ về cần bao nhiêu bảo mật, chi phí để đạt được nó và các vấn đề sẽ phát sinh nếu xảy ra sự cố và mất kết nối giữa vùng an toàn và internet .

Cenario của bạn trông tinh tế hơn một chút, bởi vì có nhiều lớp hơn từ thế giới bóng tối cho đến khi đạt được dữ liệu bí mật của bạn. Nhưng nó cũng thêm nhiều chi phí, nhiều điểm thất bại tồn tại.

Cenario thứ hai là - an toàn - như tường lửa. Bắt DMZ bị xâm phạm sẽ không dễ tấn công hơn, vì nó phải vượt qua tường lửa và tường lửa là phần kháng cự trong tất cả các khái niệm.

Và xin lỗi, nhưng nếu câu hỏi chỉ nói về "cái nào đúng: hai tường lửa hay một cái duy nhất?", Tôi không thể tìm thấy bất kỳ tài liệu tham khảo nào để quyết định nó.

3
woliveirajr

Tôi không rõ ý của bạn về "kiến trúc mạng có độ an toàn cao". Bạn sẽ cần xem xét chi tiết hơn các mục tiêu bảo mật, yêu cầu bảo mật thông tin của bạn và bối cảnh các mối đe dọa mà bạn đang phát triển để thiết kế và thực hiện các kiểm soát bảo mật thích hợp.

Tuy nhiên tôi sẽ cố gắng trả lời câu hỏi của bạn ở mức cao.

Vâng, kiến ​​trúc bảo mật đầu tiên là OK theo quan điểm bảo mật nói chung. Có các biến thể của kiến ​​trúc này (ví dụ: bạn có đính kèm DMZ với tường lửa bên ngoài và/hoặc tường lửa bên trong và/hoặc ở giữa) nhưng tôi không tin rằng nó có liên quan đến câu hỏi của bạn tại đây sân khấu.

Hiểu biết của tôi là kiến ​​trúc này từng phổ biến hơn vào thời điểm tường lửa có nhiều lỗ hổng công khai được biết đến khi thực hiện sẽ cho phép vượt qua hoặc thậm chí khai thác tường lửa và không có sự kiểm soát giảm nhẹ khác.

Khi sử dụng một triển khai khác cho tường lửa bên ngoài và bên trong của bạn, bạn chỉ đang áp dụng nguyên tắc chọn lọc tự nhiên cho kiến ​​trúc của mình và nói chung là một điều tốt: nếu một triển khai dễ bị tấn công cụ thể, thì cuộc tấn công tương tự có thể không hoạt động thực hiện khác nhau nếu đặc điểm tương ứng của họ là không giống nhau đủ. Bạn hy vọng sẽ loại bỏ một điểm lỗi duy nhất (từ góc độ triển khai) của "chức năng bảo mật tường lửa".

Tất nhiên, tùy thuộc vào yêu cầu về tính khả dụng thông tin của bạn, bạn có thể cần xem xét phân cụm tường lửa bên ngoài và bên trong của mình trong số những thứ khác.

Kiến trúc thứ hai cũng hợp lệ từ góc độ bảo mật và tôi tin rằng nó hiện đang phổ biến hơn kiến ​​trúc thứ nhất (giúp đỡ chi phí). Bạn có một điểm tiềm năng duy nhất của chức năng bảo mật tường lửa. Tuy nhiên, hầu hết các tổ chức sẽ (hy vọng) nhận ra rằng bây giờ bạn không thể chỉ dựa vào tường lửa của mình để cung cấp dịch vụ bảo mật. Bộ định tuyến/thiết bị chuyển mạch/Tường lửa máy chủ/vv. Tất cả có thể đóng góp vào tư thế bảo mật của một tổ chức do đó giảm thiểu một số hoặc tất cả các thiệt hại gây ra bởi sự thỏa hiệp của việc thực hiện tường lửa (đơn). Ngày nay, dường như tường lửa chắc chắn hơn một chút và các cuộc tấn công đã chuyển sang các lớp OSI cao hơn nhưng mềm hơn, ví dụ: các ứng dụng.

Tôi sẽ xem xét kiến ​​trúc thứ hai cho hầu hết các triển khai. Tôi có thể xem xét kiến ​​trúc đầu tiên trong một số trường hợp cụ thể bao gồm nhưng không giới hạn các mục tiêu và yêu cầu bảo mật, động lực của kẻ tấn công tiềm năng và quan trọng hơn là tài nguyên.

3
obscure

Nguy cơ là tồi tệ hơn nhiều trong sơ đồ đầu tiên. Lùi lại một bước và đọc về DMZ của quân đội, về cơ bản chúng là những nơi bạn đặt những thứ bạn không quan tâm để bảo vệ. Đó là thuật ngữ tồi để bắt đầu và một ý tưởng lỗi thời trong CNTT. Bây giờ, giả sử bạn có một môi trường lớn hơn nhiều với các mức bảo mật khác nhau, bạn không thể ném tất cả dữ liệu vào một vùng (ít cho phép phần mềm độc hại lưu lượng truy cập mạng LAN bị nhiễm phần mềm độc hại của bạn nghĩ như vậy). Bạn sẽ cần nhiều vùng bảo mật (nhiều DMZ nếu bạn gắn liền với điều khoản đó, tôi gọi chúng là các phân đoạn bảo mật). Làm thế nào bạn có thể nói thêm 20 vùng bảo mật khác nhau cho mỗi sơ đồ ở trên? Tiếp tục thêm chúng trong loạt theo mức độ bảo mật của họ? hoặc thêm chúng song song khi cần thiết? Lý do hầu hết các tường lửa hiện đại có nhiều giao diện (một số giao diện lớn có tới 100 giao diện) là vì chúng tôi thêm các mạng con an toàn song song. Trong môi trường bảo mật cao, bạn có thể có các vùng bảo mật riêng biệt cho máy chủ web so với máy chủ dns so với máy chủ thư, v.v. Bằng cách đó, nếu máy chủ web của bạn được sở hữu, kẻ tấn công đã không có thêm cơ sở nào để xâm phạm máy chủ thư của bạn hoặc bất cứ điều gì khác . Tương tự như vậy, nếu nhà cung cấp dịch vụ của bạn lưu trữ hàng tá khách hàng được sắp xếp, bạn có thể đặt mỗi người phía sau một giao diện khác nhau để họ không thể tấn công lẫn nhau (hoặc lây lan sâu) khác với tấn công qua Internet. Duyệt qua một số trang web của các nhà cung cấp lớn (Cisco & Juniper) và xem tài liệu xung quanh tường lửa lớn hơn của họ và có bao nhiêu giao diện mà họ hỗ trợ. Bạn vẫn sẽ muốn tường lửa nội bộ và Tường lửa ứng dụng web (WAF) như Imperva (hoặc mod_security proxy) nhưng ngay cả những khu vực nội bộ này cũng sẽ cần phải được phân đoạn và ngăn cách. Sơ đồ bánh sandwich cũ (kiến trúc CNTT của thập niên 70 - 80) là một kiến ​​thức bảo mật chính của FAIL và cần phải biến mất.

3
Trey Blalock

Có, ngoài câu trả lời trước, tôi có thể thêm IPS để chặn các cuộc tấn công mà tường lửa sẽ không bắt được vì các cuộc tấn công đó sẽ nhắm vào các cổng mở.

2
Justin Andrusk

Nó phụ thuộc vào loại kiến ​​trúc mạng tòa nhà của bạn.

Ví dụ đầu tiên là lý tưởng cho các tình huống như lưu trữ một ứng dụng web lớn, bạn xây dựng bảo mật trong các lớp của mình, do đó, các lớp cân bằng, tầng ứng dụng, tầng dữ liệu, mỗi loại được tường lửa bằng các biện pháp bảo mật khác nhau, nhưng hoạt động trên các mạng đáng tin cậy.

Trong ví dụ thứ hai chính xác cách nó được mô tả, với một mạng LAN treo nó. Ngoài ra, tùy chọn này lý tưởng cho các tình huống mà bạn cần có khả năng định hình lưu lượng để đảm bảo QoS.

Vì vậy, để trả lời câu hỏi của bạn cả hai đều hợp lệ và cả hai đều có lợi thế riêng, không có một viên đạn bạc nào.

2
Vincent

Hầu hết các kỹ sư Tường lửa hầu hết đã triển khai mô hình sơ đồ thứ 2 do một bộ tường lửa ít tốn kém hơn, dễ cấu hình và quản lý hơn. Bạn có thể sử dụng mỗi cổng trên tường lửa để kết nối vật lý ra bên ngoài, bên trong và mỗi DMZ hoặc sử dụng nhiều ngữ cảnh (giống như VM) để tách biệt các môi trường. Chúng tôi sử dụng mô hình thứ 2 trong các trung tâm dữ liệu nhỏ hơn và sử dụng mô hình thứ nhất có nhiều FW tại các trung tâm dữ liệu doanh nghiệp của chúng tôi. Kiểm toán viên thích mô hình thứ nhất cho các vị trí doanh nghiệp vì một quy tắc được định cấu hình sai trên mô hình thứ 2 có thể khiến kẻ tấn công chiếm quyền kiểm soát máy chủ DMZ của bạn, có thể giành quyền kiểm soát bên trong mạng của bạn. Điều này khó hơn nhiều đối với mô hình thứ nhất, vì một kẻ tấn công phải đi qua hai bộ tường lửa để vào bên trong. Quản trị viên tường lửa có thể mắc lỗi khi thử nghiệm trên một tường lửa nhưng không phải trên hai (thường là). Chúng tôi vừa triển khai nhiều tường lửa vào tuần trước. Với Tường lửa trên Internet kết nối với nhiều DMZ và Tải cân bằng ... và bên trong tường lửa, kết nối với cùng DMZ/Tải cân bằng. Ngoài ra tường lửa thứ 2/bên trong có nhiều bối cảnh bên trong. Cung cấp tường lửa giữa mạng WAN, sản xuất và không có môi trường sản xuất nào ... nơi máy chủ sản xuất có thể truy cập mọi thứ, nhưng WAN có thể truy cập máy chủ sản xuất trên www và https (v.v.) hoặc cho phép RDP truy cập vào quản trị viên để truy cập sản xuất và máy chủ DEV/QA trên Tường lửa.

2
Matt

Sếp của bạn nói đúng.

Đại diện đầu tiên có nhiều vấn đề hoặc điểm yếu.

  1. HA (tính sẵn sàng cao): bạn sẽ cần 4 FW (2 bên ngoài và 2 bên trong) = $$$
  2. Quản lý: 'được coi là an toàn hơn khi bạn có thể sử dụng hai loại tường lửa khác nhau' ... rất nhiều chi phí quản lý (cập nhật, quy tắc, ghi nhật ký, cấp phép). Nếu bạn không thể tin tưởng vào FW của mình và bạn cần một người khác từ nhà sản xuất khác, bạn có vấn đề !!!
  3. IP: thiết kế này có thể là một cơn ác mộng với việc định tuyến, định tuyến, v.v.
  4. Rủi ro: Trong thiết kế này, một máy chủ bị xâm phạm DMZ Máy chủ lưu trữ ở một vị trí đẹp để đánh hơi và tấn công trung gian chống lại người dùng trong vùng LAN.

Trong cuộc sống thực, thiết kế thứ hai an toàn và đơn giản hơn thiết kế thứ nhất.

  1. HA (tính sẵn sàng cao): bạn chỉ cần một FW khác.
  2. Quản lý: chỉ một hộp để quản lý
  3. IP: điểm duy nhất để quản lý các phần thưởng cho định tuyến hoặc định vị
  4. Rủi ro: nếu một Máy chủ trong DMZ bị xâm phạm, mối đe dọa này được chứa trong DMZ
2
L_g__n

Câu trả lời cho câu hỏi trong đó hai thiết kế là "đúng" chỉ có thể dựa trên các yêu cầu đặt ra cho giải pháp được thiết kế. Như vậy, cả hai mô hình đều có những lợi ích và bất lợi nhưng nó thực sự thuộc về HAI TRƯỜNG HỢP KINH DOANH KHÁC BIỆT:

Nếu doanh nghiệp đưa ra yêu cầu với các tuyên bố như:

"Chúng tôi cần một thiết kế bảo mật Internet/DMZ ...
[.__.] * hiệu quả về chi phí, chi phí thấp nhất, cơ bản, thiết kế đơn giản, dễ quản lý, rẻ & bẩn, bảo vệ đầy đủ ... * Vân vân."

Sau đó, FW 3-LEGGED (ví dụ # 2) sẽ là mô hình bạn nên sử dụng làm cơ sở cho thiết kế của mình. Và trong một thế giới nơi "TIẾT KIỆM $$$" "Giảm chi phí" thường là các trình điều khiển số 1, đó là yếu tố chính tại sao Thiết kế 3-LEGGED FW cho đến nay là triển khai phổ biến nhất - ngay cả đối với các tổ chức lớn hơn.

Nếu doanh nghiệp đưa ra yêu cầu với các tuyên bố như:

"Chúng tôi cần một thiết kế bảo mật Internet/DMZ ...
[.__.] bảo mật cao/cực kỳ bảo mật, cung cấp bảo vệ internet tốt nhất bất kể chi phí, bảo vệ hệ thống công ty nội bộ của chúng tôi là PHẢI ..., v.v. "

Sau đó, mô hình FW-Sandwich/2-Teir FW/Layered DMZ (ví dụ # 1) là mô hình bạn nên sử dụng làm cơ sở cho thiết kế của mình. Lý do cực kỳ đơn giản ... Layered DMZ bảo mật bổ sung thêm các rào cản duy nhất để xâm nhập vào tin tặc Internet. Nếu anh ta vượt qua FW đầu tiên, anh ta hạ cánh ở lớp tiếp theo, và tiếp theo, và sau đó là FW nội bộ phụ trợ trước anh ta Cuối cùng đã đạt được các trang sức của dữ liệu công ty. Mô hình 3-LEGGED FW là 1 lớp bảo vệ, theo đó nếu FW bị cấu hình kém/bị cấu hình sai - anh ta có quyền truy cập trực tiếp vào mạng nội bộ. BAD!

Các thiết kế trước đây của tôi phức tạp hơn FW trước và sau. Trong một thiết kế ISP/DMZ cực kỳ bảo mật, tôi đã kiến ​​trúc FW, IPS, front VIP, DMZ VIP Tải Các bộ cân bằng, mạng Farm Farm, sau đó là FW đối mặt nội bộ phía sau. Mỗi lớp này thêm một rào cản bổ sung duy nhất để tin tặc vượt qua. Chúng tôi cũng đặt ra các quy tắc thiết kế mạnh mẽ nói rằng "một lớp trong thiết kế chỉ phải nói chuyện đến lớp tiếp theo và không bỏ qua lớp đó như một lối tắt "

Thiết kế này chắc chắn tốn kém hơn, nhưng đối với các doanh nghiệp quy mô lớn, theo đó ngân hàng, tài chính, cơ sở dữ liệu lớn về thông tin khách hàng, v.v ... PHẢI ĐƯỢC BẢO VỆ, sẽ thật ngu ngốc khi sử dụng FW 3 chân khiến nó trở thành rào cản duy nhất giữa tin tặc và những kẻ này đồ trang sức vương miện.

1
user27666