Vấn đề lớn đến mức nào khi đục một lỗ trên DMZ cho một máy chủ web?


15

Chúng tôi hiện có máy chủ web của chúng tôi trong DMZ. Máy chủ web không thể thấy bất cứ điều gì trong mạng nội bộ, nhưng mạng nội bộ có thể thấy máy chủ web. Làm thế nào an toàn sẽ là một lỗ hổng trong tường lửa giữa DMZ và mạng nội bộ chỉ một máy chủ web trong mạng nội bộ? Chúng tôi đang nghiên cứu một cái gì đó sẽ can thiệp vào một số ứng dụng văn phòng của chúng tôi (tất cả đều nằm trên một máy chủ) và sẽ dễ dàng hơn nhiều khi thực hiện dự án này nếu chúng tôi có thể giao tiếp trực tiếp với máy chủ IBM i đang giữ dữ liệu này ( thông qua các dịch vụ web).

Theo hiểu biết của tôi (và tôi không biết thương hiệu), chúng tôi có một tường lửa cho DMZ với một IP bên ngoài khác với IP chính của chúng tôi với một tường lửa khác. Một tường lửa khác là giữa máy chủ web và mạng nội bộ.

Vì vậy, một cái gì đó như:

Web Server  <==== Firewall ===== Intranet
     |                              |
     |                              |
  Firewall                      Firewall
     |                              |
     |                              |
 Internet IP1                  Internet IP2

Làm thế nào về một số chi tiết như loại tường lửa đang cung cấp DMZ này?
SpacemanSpiff

@SpacemanSpiff Tôi đã thử từ kiến ​​thức tối thiểu mà tôi có về mạng. Tôi là một nhà phát triển lập kế hoạch dự án tiếp theo này và đưa ra các tùy chọn.
Mike sẽ làm việc vào

Câu trả lời:


25

Không có gì sai khi tạo cơ chế truy cập cho các máy chủ trong DMZ để truy cập các máy chủ trong mạng được bảo vệ khi điều này là cần thiết để thực hiện kết quả dự định của bạn. Có lẽ, không nên làm như vậy, nhưng đôi khi đó là cách duy nhất để hoàn thành công việc.

Những điều quan trọng cần xem xét là:

  • Giới hạn quyền truy cập vào quy tắc tường lửa cụ thể nhất bạn có thể. Nếu có thể, hãy đặt tên cho các máy chủ cụ thể liên quan đến quy tắc cùng với các giao thức cụ thể (cổng TCP và / hoặc UDP) sẽ được sử dụng. Về cơ bản, chỉ mở một lỗ nhỏ như bạn cần.

  • Hãy chắc chắn rằng bạn đang đăng nhập quyền truy cập từ máy chủ DMZ vào máy chủ trên mạng được bảo vệ và, nếu có thể, hãy phân tích các nhật ký đó theo cách tự động để tìm sự bất thường. Bạn muốn biết khi một cái gì đó khác thường xảy ra.

  • Nhận ra rằng bạn đang phơi bày một máy chủ nội bộ, ngay cả khi nó theo cách gián tiếp, với Internet. Luôn cập nhật các bản vá và cập nhật cho phần mềm bạn đang phơi bày và chính phần mềm hệ điều hành của máy chủ lưu trữ.

  • Xem xét xác thực lẫn nhau giữa máy chủ DMZ và máy chủ nội bộ, nếu điều đó khả thi với kiến ​​trúc ứng dụng của bạn. Sẽ thật tuyệt khi biết rằng các yêu cầu đến máy chủ nội bộ thực sự đến từ máy chủ DMZ. Cho dù bạn có thể làm điều này hay không sẽ phụ thuộc nhiều vào kiến ​​trúc ứng dụng của bạn. Ngoài ra, hãy nhớ rằng ai đó "sở hữu" máy chủ DMZ sẽ có thể yêu cầu máy chủ nội bộ ngay cả khi xác thực xảy ra (vì thực tế, họ sẽ là máy chủ DMZ).

  • Nếu có lo ngại về các cuộc tấn công DoS, hãy cân nhắc việc sử dụng giới hạn tỷ lệ để ngăn máy chủ DMZ làm cạn kiệt tài nguyên của máy chủ nội bộ.

  • Bạn có thể muốn xem xét sử dụng phương pháp "tường lửa" lớp 7, trong đó các yêu cầu từ máy chủ DMZ được chuyển đến máy chủ nội bộ có mục đích đặc biệt có thể "vệ sinh" các yêu cầu, kiểm tra vệ sinh chúng, sau đó chuyển chúng đến máy chủ back-end "thực sự". Vì bạn đang nói về việc can thiệp vào các ứng dụng văn phòng của bạn trên IBM iSeries của tôi, tôi đoán rằng bạn có khả năng hạn chế để thực hiện kiểm tra vệ sinh đối với các yêu cầu đến trên chính iSeries.

Nếu bạn tiếp cận vấn đề này một cách có phương pháp và giữ một số ý nghĩa chung về nó, không có lý do gì bạn không thể làm những gì bạn mô tả trong khi giảm thiểu rủi ro cùng một lúc.

Thành thật mà nói, bạn đã có một DMZ không có quyền truy cập vào mạng được bảo vệ khiến bạn có những bước nhảy vọt vượt ra ngoài nhiều mạng mà tôi đã thấy. Đối với một số người, có vẻ như, DMZ chỉ có nghĩa là "một giao diện khác trên tường lửa, có thể với một số địa chỉ RFC 1918 khác nhau và về cơ bản truy cập Internet mạng được bảo vệ". Hãy thử và giữ DMZ của bạn ở trạng thái khóa nhất có thể trong khi vẫn hoàn thành các mục tiêu kinh doanh và bạn sẽ làm tốt.


Chờ đợi câu trả lời thấu đáo hơn của tôi :) +1
Matthew

Tôi thích thông tin này. Trước khi tôi hỏi, tôi đã hiểu một số điều bạn nói. Nhưng rất nhiều trong số đó tôi đã không hoàn toàn nắm bắt. Cảm ơn!
Mike Wills

Điều đó phụ thuộc vào những gì bạn có nghĩa là kiểm tra sự tỉnh táo. Trong trường hợp như thế này, chúng tôi sẽ tránh càng nhiều SQL càng tốt (vì RPG có thể "đọc" cơ sở dữ liệu) và xác thực dữ liệu đến trước khi xử lý nó. Ngoài ra, hầu hết dữ liệu được nhập vào phần mềm hỗ trợ có thể sẽ được thêm vào "hộp thư đến" để nhân viên xử lý thủ công.
Mike Wills

6

Rõ ràng có một số nguy hiểm, nhưng bạn có thể làm điều đó. Về cơ bản, bạn đang mở một lỗ kim mà ai đó có thể đi qua, vì vậy hãy làm cho nó nhỏ đi. Giới hạn nó chỉ ở các máy chủ ở hai đầu và chỉ cho phép dữ liệu trên các cổng được chọn. Ý tưởng không tồi của nó là sử dụng dịch địa chỉ cổng để chỉ sử dụng các cổng kỳ quái. Tuy nhiên, bảo mật bằng cách tối nghĩa là không có bảo mật nào cả. Hãy chắc chắn rằng bất cứ thứ gì mà máy chủ ở phía bên kia có một số cách để kiểm tra xem thông tin đi qua kết nối đó có thực sự là ... hay ít nhất là có một loại tường lửa nhận biết ngữ cảnh nào đó. Ngoài ra, có một số tường lửa được tạo cho loại điều này ... Tôi biết microsoft ISA thực hiện điều tương tự cho các máy chủ OWA và Exchange.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.