Ich habe ein Unternehmensnetzwerk mit 4 Zonen: innen, außen, DMZ1 und DMZ2. DMZ1 enthält nach außen gerichtete Server – DNS-, Web- und Mail-Server. DMZ2 hostet interne Server – Radius-, DHCP-, Datenbank-, Datei- und Anwendungsserver. Alle Zonen sind mit dem Edge-Router des Unternehmens verbunden. Das Problem ist, dass ich nicht verstehe, welche Art von Datenverkehr zwischen den Zonen zulässig sein sollte. So sehe ich das:
Innen - DMZ1: Der Datenverkehr sollte überprüft werden und es sollte möglich sein, Web-, DNS- und E-Mail-Datenverkehr über die Ports 25, 43, 80 und 53 zu empfangen. Der gesamte andere Datenverkehr wird blockiert.
Innen – DMZ2: Innen sollten Pakete von Radius-, DHCP-, Datenbank-, Datei- und Anwendungsservern empfangen werden.
Außen – Innen: Datenverkehr blockiert, nur VPN zulässig. (Das Unternehmen hat zwei getrennte Standorte und für die Kommunikation wird VPN verwendet.)
DMZ1 – Außerhalb: Alle Server sollten vom Internet aus sichtbar sein. (Nicht sicher)
DMZ2 – Außen: Der gesamte Datenverkehr wird blockiert.
Ich bin ein Neuling in Sachen Netzwerke und Sicherheit und mache möglicherweise viele Fehler. Ich wäre wirklich dankbar für Hilfe, um herauszufinden, welcher Datenverkehr zwischen diesen Zonen weitergeleitet werden sollte, damit die Organisation lauffähig bleibt.
Antwort1
Die gesamte Sicherheit muss über die Ein- und Ausgabe erfolgen. Denken Sie nur an das erste Paket (alle anderen werden von der Verbindungsverfolgung übernommen, es sei denn, Ihre Firewall unterstützt dies nicht).
Erstellen Sie also eine Matrix mit allen Zonen (innen, außen, DMZ1 und DMZ2) im Eingang und der gleichen im Ausgang. In jedem Fall müssen Sie die zulässigen Protokolle mit den zugehörigen Ports definieren. Wenn ein Feld leer ist, wird der Datenverkehr blockiert. Wenn keine Regel definiert ist, lautet die Standardregel: Verwerfen Sie das Paket.
Dann können Sie die Regeln erstellen.
Beispiel: In Ihrem Fall müssen Sie einen Block haben
- „außerhalb von DMZ1“, wo die Server vom Internet aus gesehen werden. Jede Server-IP muss mit dem zugehörigen TCP/UDP-Port verknüpft sein.
- „DMZ1-outside“ darf vom DNS-Server nur die Ports 80 und 443 (für Updates) und 53 (für DNS) zulassen (Sie möchten vielleicht, dass ein Proxy 80/443 nur von einem Host aus zulässt)
- "outside-inside" muss leer sein: keine Verbindung von außen erlaubt
- „inside-outside“: definiert die zulässigen Regeln wie 80/TCP, 443/TCP, 53/UDP, 53/TCP …
Versuchen Sie in jedem Fall, möglichst restriktiv zu sein (Begrenzung von IP-Quelle, Ziel, Protokoll, Port).
Zumindest schlage ich vor, es nicht DMZ2 zu nennen, da die externen Benutzer diese Server nie verwenden. Sie können es „ServersZone“ nennen …