Quanto grande di un problema è puntare un buco nel DMZ ad un server web?

Al momento abbiamo il nostro web server in un DMZ. Il server web non può vedere nulla all'interno della networking interna, ma la networking interna può vedere il server web. Quanto sarebbe sicuro per forzare un foro nel firewall tra DMZ e la networking interna a un solo server web dell'intranet? Stiamo lavorando a qualcosa che si interface con diverse applicazioni back-office (che sono tutte su un server) e sarebbe molto più facile fare questo progetto se potessimo comunicare direttamente con il server IBM i che detiene questi dati ( via servizi web).

Dalla mia comprensione (e non conosco i marchi), abbiamo un firewall per il DMZ con un IP esterno diverso dal nostro IP primario con un altro firewall. Un altro firewall è tra il server web e l'intranet.

  • Come posso dimostrare l'importnza del firewall di livello OS?
  • Che cos'è un server / router / dispositivo edge?
  • Perché un block universitario blocerebbe il traffico UDP in entrata con la port di destinazione 53?
  • Blocca le richieste di Google a 16k utilizzando il firewall pf
  • Limitare computer o utenti da Internet ma consentire l'accesso a intranet e Windows Update / ePO?
  • Linux NFLOG - documentazione, configuration da C
  • Quindi qualcosa di simile:

    Web Server <==== Firewall ===== Intranet | | | | Firewall Firewall | | | | Internet IP1 Internet IP2 

  • Devo duplicare i nostri webserver (DMZ / networking interna) o semplicemente fare 1-a-1 NAT?
  • Ottenere l'accesso ai servizi esterni al VPN durante la tunneling di OpenVPN Access Server
  • DMZ Setup con due firewall - traffico da DMZ a LAN e LAN a DMZ
  • Permetterai NetBIOS nel tuo DMZ?
  • Subnet DMZ: a NAT o non a NAT?
  • Sicurezza per i sisthemes di laboratorio di ricerca universitaria
  • 2 Solutions collect form web for “Quanto grande di un problema è puntare un buco nel DMZ ad un server web?”

    Non c'è niente di sbagliato nel creare meccanismi di accesso per gli host nel DMZ per accedere agli host nella networking protetta quando ciò è necessario per realizzare il risultato desiderato. Forse non è preferibile farlo, ma a volte è l'unico modo per get il lavoro.

    Le principali cose da considerare sono:

    • Limitare l'accesso alla regola firewall più specifica ansible. Se ansible, specificare gli host specifici coinvolti nella regola insieme ai protocolli specifici (porte TCP e / o UDP) che verranno utilizzate. Fondamentalmente, aprire solo un piccolo foro di cui hai bisogno.

    • Assicurarsi che tu acceda l'accesso dall'host DMZ all'host sulla networking protetta e, se ansible, analizza questi registri in modo automatico per le anomalie. Volete sapere quando succede qualcosa di più del normale.

    • Riconoscere che stai esponendo un host interno, anche se è in modo indiretto, a Internet. Rimani in cima alle patch e agli aggiornamenti per il software che stai esponendo e il software del sistema operativo dell'host stesso.

    • Considera l'authentication reciproca tra l'host DMZ e l'host interno, se è ansible con l'architettura delle applicazioni. Sarebbe bello sapere che le richieste che arrivano all'host interno sono in realtà provenienti dall'host DMZ. Sia che tu sia in grado di farlo o less, dipenderà fortemente dalla tua architettura applicativa. Inoltre, tenere a mente che qualcuno che "possiede" l'host DMZ sarà in grado di fare richieste all'host interno anche se l'authentication sta avvenendo (poiché saranno effettivamente l'host DMZ).

    • Se esiste preoccupazione per gli attacchi DoS, consideri che utilizzi la limitazione del tasso per impedire all'host DMZ di esaurire le risorse dell'host interno.

    • Si consiglia di utilizzare l'approccio "firewall" del livello 7, in cui le richieste dell'host DMZ vengono passate prima ad un host interno speciale che può " l'host "reale" di back-end. Dato che stai parlando di interfacersi con le applicazioni back-office presenti sul tuo IBM iSeries, indovino che tu abbia la capacità limitata di eseguire controlli di sanità contro le richieste in entrata sull'iSeries stesso.

    Se si avvicina a questo metodo e mantenga un senso comune su di esso non c'è motivo per cui non si può fare quello che stai descrivendo mantenendo al minimo il rischio ridotto.

    Francamente, che tu abbia un DMZ che non abbia accesso libero alla networking protetta ti mette salti e limiti oltre le molte reti che ho visto. Per alcune persone, sembra che DMZ significhi semplicemente "un'altra interface sul firewall, possibilmente con alcuni indirizzi RFC 1918 e un accesso praticamente privo di accesso a Internet e alla networking protetta". Prova a mantenere il tuo DMZ come bloccato come puoi, pur realizzando obiettivi aziendali e farai bene.

    Ci sono ovviamente alcuni pericoli, ma è ansible farlo. Fondamentalmente stai aprendo un pinhole che qualcuno potrebbe entrare attraverso, quindi lo rendono minuscolo. Limitare a solo i server su entrambi i lati e consentire solo i dati sulle porte selezionate. Non è una ctriggers idea di utilizzare la traduzione dell'indirizzo di port per utilizzare solo porte bizzarre. Tuttavia, la sicurezza per l'oscurità non è affatto una sicurezza. Assicurarsi che qualunque server dall'altro lato abbia una sorta di modo per controllare che le informazioni che attraversano quella connessione sono veramente ciò che sembra essere … o alless avere una sorta di context conosciuto firewall in atto. Inoltre, ci sono alcuni firewall fatti per questo genere di cose … So che Microsoft ISA fa questa stessa cosa per i server OWA e Exchange.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.