it-swarm-id.com

Publik DMZ arsitektur jaringan

Bertahun-tahun yang lalu, ketika saya masih mahasiswa, seorang profesor keamanan jaringan mengajari saya di kelas apa arti DMZ. Arsitektur yang digunakannya dalam slide mirip dengan yang ini:

Double firewall DMZ

Sekarang setelah saya bekerja, bos saya, seorang insinyur keamanan dengan pengalaman 10+ tahun memiliki sudut pandang yang berbeda. Baginya, a DMZ tidak boleh ditempatkan di "sandwich" antara LAN dan internet. Sebaliknya, itu harus seperti yang diilustrasikan di bawah ini:

Single firewall DMZ

Ketika mencari dengan Google untuk arsitektur jaringan dengan DMZ, saya menemukan representasi yang berbeda dan saya semakin bingung. Jadi pertanyaan saya adalah, bagaimana seharusnya DMZ ditempatkan dalam arsitektur jaringan yang sangat aman? Apakah representasi pertama OK dari sudut pandang keamanan?

25
lisa17

Keduanya secara fungsional setara - DMZ secara efektif di sandwich, karena harus memiliki koneksi dari dunia luar firewall, tetapi juga memiliki firewall yang membatasi akses dari itu ke jaringan internal.

Meskipun diagram yang terakhir sering kali terjadi (karena alasan biaya - Anda membutuhkan lebih sedikit firewall) yang pertama dianggap lebih aman karena Anda dapat menggunakan dua merek firewall yang berbeda, yang membantu menghindari serangan terhadap firewall yang membobol keduanya. Di mana Anda menggunakan satu firewall, Anda menggunakan set aturan untuk setiap arah dan setiap koneksi - dan secara fungsional ini sama dengan set aturan dalam contoh kedua.

Ini hanya sedikit peningkatan dalam keamanan, karena umumnya Anda tidak menyerang firewall - Anda menggunakan port terbuka untuk langsung menembus dan menyerang server web, server surat, atau bahkan melewati langsung untuk menyerang basis data, tetapi lapisan keamanan semua Tolong.

18
Rory Alsop

Bagaimana seharusnya DMZ ditempatkan dalam arsitektur jaringan yang sangat aman?

Kuncinya adalah pertahanan secara mendalam antara domain keamanan. Luasnya arsitektur yang digunakan akan tergantung pada sumber daya yang tersedia, termasuk keterbatasan keuangan dan kemampuan teknis.

Pertahanan mendalam

Pertahanan mendalam adalah konsep jaminan informasi (IA) di mana beberapa lapisan kontrol keamanan (pertahanan) ditempatkan di seluruh sistem teknologi informasi (TI). Ini adalah taktik layering, untuk mengurangi konsekuensi dari kegagalan kontrol keamanan tunggal. Wikipedia

Domain keamanan

Domain keamanan adalah faktor penentu dalam klasifikasi enklosur server/komputer. Jaringan dengan domain keamanan yang berbeda disimpan terpisah dari jaringan lain. Wikipedia

Implementasi

Untuk keperluan menentukan kontrol antara domain keamanan Anda bisa mendefinisikan; internet tidak dipercaya, DMZ semi dipercaya, dan jaringan internal terpercaya.

Oleh karena itu, Anda akan menggunakan beberapa lapis kontrol keamanan antara internet dan DMZ Anda, yang dapat meliputi: firewall L3, IPS, AV, Reverse-proxy/Load-balancing, penyaringan L7.

Dari Host DMZ) kembali ke jaringan internal Anda, Anda akan menggunakan lapisan tambahan: firewall L3, pemfilteran L7 (mis. RPC), IPS/AV.

Akses hak istimewa yang paling rendah di antara domain keamanan juga merupakan kunci untuk memaksimalkan efektivitas kontrol keamanan.


Apakah representasi pertama tidak masalah dari sudut pandang keamanan?

Saya menyarankan tidak, karena kurangnya pertahanan secara mendalam. Hanya ada kontrol akses tunggal antara Internet-DMZ, dan DMZ-LAN. Biasanya arsitektur yang sangat aman akan memiliki pemisahan vendor, dan lapisan kontrol akses (L3 FW, WAF, IPS, AV, dll).

11
lew

Sama sekali tidak ada yang absolut dalam keamanan.

Dari perspektif pelatihan - saya katakan yang pertama lebih jelas. Ini menunjukkan konsep bahwa dunia luar melewati berbagai lapisan ini dan bahwa lebih mudah untuk mencapai DMZ dan mungkin yang ditempatkan di sana adalah risiko yang lebih rendah.

Ini juga lebih baik dari sudut pandang pertahanan berlapis - sebagaimana ditunjukkan dalam jawaban lain dengan sangat baik.

Tetapi dari sudut pandang biaya tidak terlalu praktis. Dan saya telah melihat banyak sekali varian pada diagram yang lebih rendah - semua jaringan segmentasi karena berbagai alasan, mencoba melakukan lebih banyak dengan lebih sedikit untuk berbagai biaya atau alasan praktis lainnya.

Jujur saya tidak percaya ada "jalan yang benar" atau "diagram yang benar". Faktor-faktor termasuk:

  • pengorbanan biaya vs. risiko - firewall berlapis-lapis dengan beragam vendor jelas lebih aman, juga lebih mahal. Harus memiliki untuk operasi nilai tinggi/risiko tinggi. Berlebihan untuk operasi bernilai rendah/berisiko rendah - karena tidak hanya mahal untuk dibeli, tetapi juga untuk mempertahankan, dan Anda harus mempertimbangkan faktor manusia dalam mempertahankan hal-hal ini, dan risiko kesenjangan dan kesalahan konfigurasi. Satu firewall yang dikonfigurasi dengan baik akan lebih baik daripada dua firewall yang terbuka lebar karena orang yang mengonfigurasinya tidak cukup tahu untuk melakukan pekerjaan dengan benar!

  • clarity - seperti apa jaringannya? Jika hanya ada satu firewall, harap gambarkan diagram yang sesuai, jangan biarkan orang mencari firewall kedua. Kecuali jika Anda berbicara tentang lapisan logis dan bukan lapisan fisik, dalam hal ini kedua "dinding" mungkin berada di perangkat yang sama. Maksud diagram adalah untuk membantu manusia melakukan sesuatu ... diagram adalah "benar" atau "salah" hanya dalam hal kemampuannya untuk memenuhi kebutuhan ini.

Saya katakan, jika bos Anda mengklaim bahwa gambarnya adalah "jalan yang benar" mutlak - dia tidak waras ... ada banyak contoh publik untuk mengatasinya.

Jika itu cara paling jelas untuk menggambarkan hal yang sedang Anda kerjakan, maka dia benar.

8
bethlakshmi

Saya akan mengulangi beberapa hal yang orang lain katakan, tapi ini dia.

Pertama-tama, saya akan memikirkan berapa banyak keamanan yang diinginkan, biaya untuk mencapainya, dan masalah yang akan muncul jika sesuatu gagal dan komunikasi hilang antara zona aman dan internet .

Skenario Anda terlihat sedikit lebih canggih, karena ada lebih banyak lapisan dari dunia gelap hingga data rahasia Anda tercapai. Tetapi itu juga menambah lebih banyak biaya, lebih banyak titik-kegagalan.

Skenario kedua sama amannya dengan firewall. Mendapatkan DMZ dikompromikan tidak akan membuatnya lebih mudah untuk diserang, karena harus melalui firewall, dan firewall adalah bagian dari perlawanan dalam semua konsep.

Dan maaf, tetapi jika pertanyaannya hanya tentang "mana yang benar: dua firewall atau satu?", Saya tidak dapat menemukan referensi untuk memutuskannya.

3
woliveirajr

Saya tidak jelas tentang apa yang Anda maksud dengan "arsitektur jaringan yang sangat aman". Anda perlu mempertimbangkan secara lebih rinci apa tujuan keamanan Anda, persyaratan keamanan informasi dan lanskap ancaman tempat Anda berevolusi untuk merancang dan mengimplementasikan kontrol keamanan yang sesuai.

Namun saya akan mencoba menjawab pertanyaan Anda di tingkat tinggi.

Ya, arsitektur keamanan pertama adalah OK dari sudut pandang keamanan secara umum. Ada variasi arsitektur ini (misalnya apakah Anda melampirkan DMZ untuk firewall eksternal dan/atau internal dan/atau di antara) tetapi saya tidak percaya itu relevan dengan pertanyaan Anda di ini tahap.

Pemahaman saya adalah bahwa arsitektur ini dulunya lebih populer pada saat firewall memiliki banyak kerentanan publik yang diketahui dalam implementasinya yang akan memungkinkan untuk mem-bypass atau bahkan eksploitasi firewall itu sendiri dan tanpa adanya kontrol mitigasi lainnya.

Dalam menggunakan implementasi yang berbeda untuk firewall eksternal dan internal Anda, Anda hanya menerapkan prinsip seleksi alam untuk arsitektur Anda dan itu umumnya merupakan hal yang baik: jika satu implementasi rentan terhadap serangan tertentu, serangan yang sama mungkin tidak bekerja pada implementasi yang berbeda jika sifatnya masing-masing cukup berbeda. Anda semoga menghapus satu titik kegagalan (dari perspektif implementasi) dari "fungsi keamanan firewall".

Tentu saja, tergantung pada persyaratan ketersediaan informasi Anda, Anda mungkin perlu mempertimbangkan untuk mengelompokkan firewall eksternal dan internal Anda.

Arsitektur kedua juga valid dari sudut pandang keamanan dan saya percaya sekarang lebih populer daripada yang pertama (bantuan biaya). Anda memiliki satu titik kegagalan fungsi keamanan firewall. Namun, sebagian besar organisasi akan (semoga) menyadari sekarang bahwa Anda tidak dapat mengandalkan firewall Anda hanya untuk menyediakan layanan keamanan. Router/sakelar/Host firewall/dll. semua dapat berkontribusi pada postur keamanan organisasi sehingga mengurangi beberapa atau semua kerusakan yang disebabkan oleh kompromi dari implementasi firewall (tunggal). Tampaknya juga firewall sekarang sedikit lebih solid dan serangan telah bergeser ke lapisan OSI yang lebih tinggi tetapi lebih lunak mis. aplikasi.

Saya akan mempertimbangkan arsitektur kedua untuk sebagian besar penyebaran. Saya dapat mempertimbangkan arsitektur pertama dalam beberapa keadaan tertentu termasuk tetapi tidak terbatas pada tujuan dan persyaratan keamanan, motivasi penyerang potensial dan yang lebih penting, sumber daya.

3
obscure

Risikonya jauh lebih buruk dalam diagram pertama. Ambil langkah mundur dan baca tentang DMZ militer, mereka pada dasarnya adalah tempat Anda meletakkan hal-hal yang tidak Anda pedulikan. Ini adalah terminologi yang buruk untuk memulai dan sebuah ide usang dalam IT. Sekarang katakanlah Anda memiliki lingkungan yang jauh lebih besar dengan tingkat keamanan yang berbeda, Anda tidak dapat membuang semua data dalam satu zona (apalagi biarkan peretas lalu lintas LAN yang terinfeksi malware memikirkannya). Anda akan memerlukan beberapa zona keamanan (beberapa DMZ jika Anda terlampir pada istilah itu, saya menyebutnya segmen aman). Bagaimana Anda menambahkan katakan 20 zona keamanan yang berbeda untuk masing-masing diagram di atas? Lanjutkan menambahkannya secara seri sesuai dengan tingkat keamanannya? atau menambahkannya secara paralel sesuai kebutuhan? Alasan kebanyakan firewall modern memiliki beberapa antarmuka (beberapa yang besar memiliki hingga 100 antarmuka) adalah karena kami menambahkan subnet aman secara paralel. Dalam lingkungan keamanan yang tinggi, Anda mungkin memiliki zona keamanan terpisah untuk server web vs. server dns vs. server mail, dll. Dengan demikian, jika server web Anda dimiliki, penyerang tidak memperoleh landasan tambahan untuk mengkompromikan server email Anda atau hal lain . Demikian juga, jika penyedia layanan Anda menampung selusin klien yang ditempatkan, Anda dapat menempatkan masing-masing di belakang antarmuka yang berbeda sehingga mereka tidak dapat saling menyerang (atau menyebarkan worm) secara berbeda dari menyerang melalui Internet. Jelajahi sekitar beberapa situs web vendor besar (Cisco & Juniper) dan lihat dokumentasi di sekitar firewall mereka yang lebih besar dan berapa banyak antarmuka yang mereka dukung. Anda masih menginginkan firewall internal dan Aplikasi Web Firewall (WAF) seperti Imperva (atau mod_security proxy) tetapi bahkan area internal ini perlu disegmentasi dan dikelompokkan. Diagram sandwich yang lama (70-an - 80-an arsitektur IT) adalah masalah keamanan-FAIL utama dan perlu pergi.

3
Trey Blalock

Ya, selain jawaban sebelumnya saya mungkin menambahkan IPS untuk memblokir serangan yang tidak akan ditangkap firewall karena serangan itu akan menargetkan port terbuka.

2
Justin Andrusk

Itu tergantung pada jenis arsitektur jaringan bangunan Anda.

Contoh pertama sangat ideal untuk situasi seperti hosting aplikasi web besar, Anda membangun keamanan dengan di lapisan Anda, sehingga tingkat penyeimbang, tingkat aplikasi, tingkat data, masing-masing dihadang oleh langkah-langkah keamanan yang berbeda, tetapi bekerja di sana memiliki jaringan tepercaya.

Dalam contoh kedua persis bagaimana dijelaskan, dengan LAN menggantungnya. Selain itu, opsi ini sangat ideal untuk situasi di mana Anda harus dapat membentuk traffic untuk memastikan QoS.

Jadi untuk menjawab pertanyaan Anda keduanya valid dan keduanya memiliki kelebihan, tidak ada satu peluru perak.

2
Vincent

Sebagian besar insinyur Firewall sebagian besar telah menggunakan model diagram ke-2 karena satu set firewall lebih murah, lebih mudah untuk dikonfigurasi & dikelola. Anda dapat menggunakan setiap port pada firewall untuk koneksi fisik ke luar, di dalam dan setiap DMZ atau menggunakan multi konteks (seperti VM) untuk memisahkan lingkungan secara virtual. Kami menggunakan model ke-2 di pusat data kami yang lebih kecil dan menggunakan model ke-1 dengan multi FW di pusat data perusahaan kami. Auditor menyukai model 1 untuk lokasi perusahaan karena satu aturan yang tidak terkonfigurasi pada model ke-2 dapat menyebabkan penyerang yang telah mengendalikan server DMZ Anda, mungkin mendapatkan kontrol di bagian dalam jaringan Anda. Ini jauh lebih sulit pada model 1, karena penyerang harus melalui dua set firewall untuk masuk ke dalam. Admin firewall mungkin membuat kesalahan mungkin untuk menguji pada satu firewall tetapi tidak pada dua (biasanya). Kami baru saja menyebarkan multi firewall minggu lalu. Dengan Firewall di ujung Internet yang terhubung ke multi DMZ dan Load Balancers ... dan di dalam firewall, menghubungkan ke DMZ/Load Balancers yang sama. Juga firewall ke-2/dalam memiliki banyak konteks di dalamnya. Yang menyediakan firewall antara WAN, produksi, dan tidak ada lingkungan produksi ... di mana server produksi dapat mengakses apa pun, tetapi WAN dapat mengakses server produksi di www dan https (dll.) Atau mengizinkan akses RDP ke admin untuk sampai ke server produksi dan DEV/QA di dalam Firewall.

2
Matt

Bosmu benar.

Representasi pertama memiliki banyak masalah atau kelemahan.

  1. HA (ketersediaan tinggi): Anda akan membutuhkan 4 FW (2 eksternal dan 2 internal) = $$$
  2. Manajemen: 'dianggap lebih aman karena Anda dapat menggunakan dua merek firewall yang berbeda' ... banyak overhead manajemen (pembaruan, aturan, pencatatan, perizinan). Jika Anda tidak dapat mempercayai FW Anda dan Anda membutuhkan yang lain dari produsen yang berbeda, Anda memiliki masalah !!!
  3. IP: desain ini bisa menjadi mimpi buruk dengan tidur siang, perutean, dll.
  4. Risiko: Dalam desain ini, DMZ Host yang dikompromikan ada di tempat yang bagus untuk mengendus dan melakukan man-in-the-middle-attack terhadap pengguna di zona LAN.

Dalam kehidupan nyata, desain kedua lebih aman dan sederhana dari yang pertama.

  1. HA (ketersediaan tinggi): Anda hanya perlu FW lain.
  2. Manajemen: hanya satu kotak untuk dikelola
  3. IP: satu titik untuk mengatur lalu lintas untuk routing atau nating
  4. Risiko: jika Host di DMZ dikompromikan, ancaman ini terkandung dalam DMZ
2
L_g__n

Jawaban atas pertanyaan yang mana dari kedua desain yang "benar" hanya dapat didasarkan pada persyaratan yang ditempatkan pada solusi yang dirancang. Dengan demikian, kedua model memiliki keuntungan dan kerugian tetapi benar-benar turun ke DUA DRIVER BISNIS PERBEDAAN PRIMER:

Jika bisnis membuat persyaratan dengan pernyataan seperti:

"Kami membutuhkan Internet/DMZ desain keamanan yang ...
* hemat biaya, biaya terendah, dasar, desain sederhana, mudah dikelola, murah & kotor, perlindungan memadai ... * dll. "

Maka 3-LEGGED FW (contoh # 2) akan menjadi model yang harus Anda gunakan sebagai dasar untuk desain Anda. Dan di dunia di mana "SIMPAN $$$" "Mengurangi Biaya" sering menjadi driver # 1, itu adalah faktor utama mengapa Desain FW 3-LEGGED sejauh ini merupakan penyebaran yang paling populer - bahkan untuk organisasi yang lebih besar.

Jika bisnis membuat persyaratan dengan pernyataan seperti:

"Kami membutuhkan Internet/DMZ desain keamanan yang ...
sangat/sangat aman, memberikan perlindungan internet terbaik terlepas dari biaya, perlindungan sistem internal perusahaan kami HARUS ... dll. "

Maka model FW-Sandwich/2-Teir FW/Layered DMZ (contoh # 1) adalah model yang harus Anda gunakan sebagai dasar untuk desain Anda. Alasannya sangat sederhana ... Layered DMZ keamanan menambahkan hambatan unik tambahan untuk masuk ke peretas Internet. Jika dia melewati FW pertama, dia mendarat di lapisan berikutnya, dan berikutnya, dan kemudian backend FW Internal sebelum dia akhirnya sampai ke mahkota-permata dari data perusahaan. Model 3-LEGGED FW adalah 1 lapisan perlindungan dimana jika FW buruk/salah konfigurasi dikompromikan - ia memiliki akses langsung ke jaringan internal. BAD!

Desain masa lalu saya lebih kompleks daripada FW depan dan belakang. Dalam desain ISP/DMZ yang sangat aman, saya merancang FW, IPS, depan VIP jaringan, DMZ VIP Load Balancers, jaringan Farm Pribadi, kemudian back-end Internal Facing FWs. Masing-masing lapisan menambahkan penghalang tambahan yang unik untuk masuk bagi peretas untuk dilalui. Kami juga menetapkan aturan desain yang kuat yang menyatakan "satu lapisan dalam desain hanya boleh berbicara ke lapisan berikutnya dan tidak memotong lapisan itu sebagai jalan pintas "

Desain ini tentu lebih mahal, tetapi untuk perusahaan skala besar di mana perbankan, keuangan, database besar informasi klien, dll. HARUS DILINDUNGI, akan bodoh untuk menggunakan FW 3-Legged yang menjadikannya satu-satunya penghalang antara peretas dan ini permata mahkota.

1
user27666