Atualmente, temos nosso servidor web em uma DMZ. O servidor da web não pode ver nada na rede interna, mas a rede interna pode ver o servidor da web. Quão seguro seria fazer um furo no firewall entre a DMZ e a rede interna para apenas um servidor Web na intranet? Estamos trabalhando em algo que fará interface com vários de nossos aplicativos de back-office (que estão todos em um servidor) e seria muito mais fácil fazer esse projeto se pudéssemos nos comunicar diretamente com o servidor IBM i que contém esses dados ( via serviços da Web).
Pelo que entendi (e não conheço marcas), temos um firewall para a DMZ com um IP externo diferente do nosso IP primário com outro firewall. Outro firewall está entre o servidor da web e a intranet.
Então, algo como:
Web Server <==== Firewall ===== Intranet
| |
| |
Firewall Firewall
| |
| |
Internet IP1 Internet IP2
Respostas:
Não há nada de errado em criar mecanismos de acesso para hosts na DMZ para acessar hosts na rede protegida quando isso for necessário para atingir o resultado pretendido. Talvez não seja preferível fazê-lo, mas às vezes é a única maneira de fazer o trabalho.
As principais coisas a considerar são:
Limite o acesso à regra de firewall mais específica possível. Se possível, nomeie os hosts específicos envolvidos na regra, juntamente com os protocolos específicos (portas TCP e / ou UDP) que serão usados. Basicamente, abra apenas um orifício pequeno, conforme necessário.
Certifique-se de registrar o acesso do host DMZ ao host na rede protegida e, se possível, analise esses logs de maneira automatizada em busca de anomalias. Você quer saber quando algo fora do comum acontece.
Reconheça que você está expondo um host interno, mesmo que indiretamente, à Internet. Fique por dentro das correções e atualizações do software que você está expondo e do próprio software do sistema operacional do host.
Considere a autenticação mútua entre o host DMZ e o host interno, se for possível com a arquitetura do aplicativo. Seria bom saber que os pedidos que chegam ao host interno são realmente provenientes do host DMZ. Se você pode fazer isso ou não, isso depende muito da arquitetura do aplicativo. Além disso, lembre-se de que alguém que "possui" o host DMZ poderá fazer solicitações ao host interno mesmo se a autenticação estiver ocorrendo (já que eles serão efetivamente o host DMZ).
Se houver preocupação com os ataques de negação de serviço, considere o uso de limite de taxa para impedir que o host DMZ esgote os recursos do host interno.
Você pode considerar o uso de uma abordagem de "firewall" da camada 7, em que as solicitações do host DMZ são passadas primeiro para um host interno de finalidade especial que pode "higienizar" as solicitações, verificá-las com integridade e depois passá-las para o host de back-end "real". Como você está falando sobre a interface com seus aplicativos de back-office no IBM iSeries, suponho que você tenha capacidade limitada para executar verificações de sanidade contra solicitações recebidas no próprio iSeries.
Se você abordar isso de maneira metódica e manter algum senso comum sobre o assunto, não há motivo para não fazer o que está descrevendo, mantendo o risco minimizado ao mesmo tempo.
Sinceramente, o fato de você ter uma DMZ que não tem acesso irrestrito à rede protegida coloca você aos trancos e barrancos além de muitas redes que já vi. Para algumas pessoas, ao que parece, DMZ significa apenas "outra interface no firewall, possivelmente com endereços RFC 1918 diferentes, e basicamente acesso irrestrito à Internet e à rede protegida". Tente manter sua DMZ o mais fechada possível, enquanto cumpre as metas de negócios e você se sai bem.
fonte
Obviamente, existem alguns perigos, mas você pode fazê-lo. Basicamente, você está abrindo um buraco onde alguém poderia entrar, então diminua. Limite-o apenas aos servidores de ambos os lados e permita apenas dados nas portas escolhidas. Não é uma má idéia usar a conversão de endereço de porta para usar apenas portas bizarras. Ainda assim, segurança pela obscuridade não é segurança alguma. Certifique-se de que o servidor do outro lado tenha algum tipo de maneira de verificar se as informações que passam por essa conexão realmente são as que parecem ser ... ou pelo menos ter algum tipo de firewall com reconhecimento de contexto. Além disso, existem certos firewalls feitos para esse tipo de coisa ... Eu sei que o Microsoft ISA faz a mesma coisa para servidores OWA e Exchange.
fonte