Filtragem de tráfego entre zonas de segurança

tag-icon tag-icon networking security cisco zones traffic-filtering
Filtragem de tráfego entre zonas de segurança

Tenho uma rede de organização contendo 4 zonas: interna, externa, DMZ1 e DMZ2. DMZ1 contém servidores externos - servidores DNS, WEB e de correio. DMZ2 hospeda servidores internos - servidores Radius, DHCP, banco de dados, arquivos e aplicativos. Todas as zonas estão conectadas ao roteador de borda empresarial. O problema é que não entendo que tipo de tráfego deve ser permitido entre zonas. Como eu vejo isso:

Dentro - DMZ1: O tráfego deve ser inspecionado e dentro deve ser permitido obter tráfego de web, DNS e correio nas portas 25,43,80,53. Todo o outro tráfego será bloqueado.

Inside - DMZ2: Inside deve receber pacotes de servidores radius, dhcp, banco de dados, arquivos e aplicativos.

Exterior - interior: tráfego bloqueado, apenas VPN permitida. (A empresa possui dois locais separados e a VPN será usada para comunicação)

DMZ1 - Exterior: Todos os servidores deverão ser vistos da internet. (Não tenho certeza)

DMZ2 - Exterior: Todo o tráfego está bloqueado.

Sou muito novo em redes e segurança e posso cometer muitos erros. Eu realmente apreciaria a ajuda para descobrir qual tráfego deveria passar entre essas zonas para tornar a organização executável.

Responder1

Toda a segurança deve ser vista por entrada-saída. Pense apenas no primeiro pacote (todos os outros são levados pelo rastreamento de conexão, exceto se o seu firewall não suportar).

Então faça uma matriz com todas as zonas (interna, externa, DMZ1 e DMZ2) na entrada e as mesmas na saída. Em cada caso, você deve definir os protocolos permitidos com portas associadas. Se um caso estiver vazio, o tráfego será bloqueado. Se uma regra não estiver definida, a regra padrão é: DROP the packet.

Então você poderá criar as regras.

Exemplo: no seu caso, você deve ter um bloco

  • "outside-DMZ1" onde os servidores são vistos da Internet. Cada IP do servidor deve estar vinculado à porta tcp/udp associada.
  • "DMZ1-outside" deve permitir apenas 80 e 443 (para atualizações) e 53 portas (para DNS) do servidor DNS (você pode querer que um proxy permita 80/443 apenas de um host)
  • "fora-dentro" deve estar vazio: nenhuma conexão externa é permitida
  • "dentro-fora": definiu as regras permitidas como 80/tcp, 443/tcp, 53/udp, 53/tcp...

Em cada caso, tente ser o mais restritivo (limite de IP de origem, destino, protocolo, porta).

Pelo menos, sugiro não nomear DMZ2, pois usuários externos nunca usam esses servidores. Você pode chamá-lo de "ServersZone" ...

informação relacionada