Tengo la red de una organización que contiene 4 zonas: interior, exterior, DMZ1 y DMZ2. DMZ1 contiene servidores externos: servidores DNS, WEB y de correo. DMZ2 aloja servidores internos: servidores Radius, DHCP, bases de datos, archivos y aplicaciones. Todas las zonas están conectadas al enrutador perimetral empresarial. El problema es que no entiendo qué tipo de tráfico se debería permitir entre zonas. Como lo veo:
Interior - DMZ1: Se debe inspeccionar el tráfico y se debe permitir que el interior reciba tráfico web, DNS y de correo en los puertos 25,43,80,53. Todo el resto del tráfico será bloqueado.
Interior - DMZ2: El interior debe recibir paquetes de servidores Radius, DHCP, bases de datos, archivos y aplicaciones.
Afuera - adentro: tráfico bloqueado, solo se permite VPN. (La empresa tiene dos ubicaciones separadas y se utilizará VPN para la comunicación)
DMZ1 - Exterior: Todos los servidores deben verse desde internet. (No estoy seguro)
DMZ2 - Exterior: Todo el tráfico está bloqueado.
Soy muy nuevo en redes y seguridad y es posible que cometa muchos errores. Realmente agradecería la ayuda para determinar qué tráfico se debe pasar entre estas zonas para que la organización sea ejecutable.
Respuesta1
Toda la seguridad debe verse por entrada-salida. Sólo piense en el primer paquete (todos los demás son tomados por el seguimiento de la conexión, excepto si su firewall no lo admite).
Entonces haga una matriz con todas las zonas (interior, exterior, DMZ1 y DMZ2) en entrada y lo mismo en salida. En cada caso, deberás definir los protocolos permitidos con puertos asociados. Si un caso está vacío, el tráfico se bloquea. Si no hay una regla definida, la regla predeterminada es: DEJAR el paquete.
Entonces podrás crear las reglas.
Ejemplo: en tu caso, debes tener un bloque
- "fuera-DMZ1" donde se ven los servidores desde Internet. Cada IP del servidor debe estar vinculada al puerto tcp/udp asociado.
- "DMZ1-outside" solo debe permitir 80 y 443 (para actualizaciones) y 53 puertos (para DNS) desde el servidor DNS (es posible que desee que un proxy permita 80/443 solo desde un host)
- "fuera-interior" debe estar vacío: no se permite conexión desde el exterior
- "inside-outside": definió las reglas permitidas como 80/tcp, 443/tcp, 53/udp, 53/tcp...
En cada caso, intenta ser el más restrictivo (límite de IP de origen, destino, protocolo, puerto).
Al menos, sugiero no nombrar DMZ2 ya que los usuarios externos nunca usan estos servidores. Puedes llamarlo "Zona de Servidores"...