하나의 웹 서버에 DMZ의 구멍을 뚫는 것이 얼마나 큰 문제입니까?


15

현재 웹 서버가 DMZ에 있습니다. 웹 서버는 내부 네트워크 내에서 아무것도 볼 수 없지만 내부 네트워크는 웹 서버를 볼 수 있습니다. 인트라넷의 한 웹 서버에만 DMZ와 내부 네트워크 사이의 방화벽에 구멍을 뚫는 것이 얼마나 안전합니까? 우리는 여러 백 오피스 응용 프로그램 (모두 하나의 서버에 있음)과 인터페이스 할 작업을 수행하고 있으며이 데이터를 보유한 IBM i 서버와 직접 통신 할 수 있으면이 프로젝트를 수행하는 것이 훨씬 더 쉽습니다 ( 웹 서비스를 통해).

내 이해 (그리고 나는 브랜드를 모른다)에서, 우리는 다른 IP와 다른 외부 IP를 가진 DMZ를위한 하나의 방화벽을 가지고 있습니다. 다른 방화벽은 웹 서버와 인트라넷 사이에 있습니다.

그래서 같은 :

Web Server  <==== Firewall ===== Intranet
     |                              |
     |                              |
  Firewall                      Firewall
     |                              |
     |                              |
 Internet IP1                  Internet IP2

이 DMZ를 제공하는 방화벽 종류와 같은 세부 정보는 어떻습니까?
SpacemanSpiff

@SpacemanSpiff 나는 네트워크에 대한 최소한의 지식으로 시도했다. 다음 프로젝트를 계획하고 옵션을 제안하는 개발자입니다.
Mike Wills

답변:


25

DMZ의 호스트가 보호 된 네트워크의 호스트에 액세스하여 의도 한 결과를 달성하는 데 필요한 액세스 메커니즘을 생성하는 데 아무런 문제가 없습니다. 아마도 바람직하지는 않지만 때로는 작업을 수행하는 유일한 방법 일 수도 있습니다.

고려해야 할 주요 사항은 다음과 같습니다.

  • 가장 구체적인 방화벽 규칙에 대한 액세스를 제한하십시오. 가능하면 규칙에 관련된 특정 호스트의 이름과 사용될 특정 프로토콜 (TCP 및 / 또는 UDP 포트)을 지정하십시오. 기본적으로 필요한만큼 작은 구멍 만 엽니 다.

  • DMZ 호스트에서 보호 된 네트워크의 호스트로의 액세스를 로깅하고 가능한 경우 예외에 대한 자동화 된 방식으로 해당 로그를 분석하십시오. 평범하지 않은 일이 언제 발생하는지 알고 싶습니다.

  • 내부 호스트가 간접적 인 방식으로 인터넷에 노출되어 있음을 인식하십시오. 노출중인 소프트웨어 및 호스트 운영 체제 소프트웨어 자체에 대한 패치 및 업데이트를 유지하십시오.

  • 응용 프로그램 아키텍처에서 가능하면 DMZ 호스트와 내부 호스트 사이의 상호 인증을 고려하십시오. 내부 호스트로 들어오는 요청이 실제로 DMZ 호스트에서 온다는 것을 아는 것이 좋습니다. 이 작업을 수행 할 수 있는지 여부는 응용 프로그램 아키텍처에 따라 크게 달라집니다. 또한 DMZ 호스트를 "소유"하는 사람은 인증이 발생하더라도 (실제로 DMZ 호스트이므로) 내부 호스트에 요청을 할 수 있습니다.

  • DoS 공격에 대한 우려가있는 경우 속도 제한을 사용하여 DMZ 호스트가 내부 호스트의 자원을 고갈시키지 않도록하십시오.

  • DMZ 호스트의 요청이 먼저 요청을 "위생 (sanitize)"할 수있는 특수 목적의 내부 호스트로 전달한 다음 온전한 상태로 전달하는 계층 7 "방화벽"접근 방식을 사용하는 것이 좋습니다. "실제"백엔드 호스트 IBM iSeries에서 백 오피스 응용 프로그램과의 인터페이스에 대해 이야기하고 있기 때문에 iSeries 자체에서 들어오는 요청에 대해 온 전성 검사를 수행 할 수있는 기능이 제한되어 있습니다.

체계적인 방법으로 접근하고 그것에 대해 상식을 유지한다면, 동시에 위험을 최소화하면서 설명하고있는 것을 할 수있는 이유는 없습니다.

솔직히, DMZ에 보호 된 네트워크에 대한 무제한 액세스가없는 것은 내가 본 많은 네트워크를 뛰어 넘는 한계를 뛰어 넘습니다. 일부 사람들에게는 DMZ가 "방화벽의 다른 인터페이스, 아마도 다른 RFC 1918 주소와 기본적으로 인터넷 보호 된 네트워크에 대한 완벽한 액세스"를 의미하는 것 같습니다 . 비즈니스 목표를 달성하면서도 DMZ를 최대한 폐쇄 된 상태로 유지하십시오.


Waaaay보다 철저한 답변 :) +1
Matthew

나는이 정보를 좋아한다. 내가 물어보기 전에, 나는 당신이 말한 것들을 이해했습니다. 그러나 나는 그것을 완전히 이해하지 못했습니다. 감사!
Mike Wills

그것은 위생 ​​검사의 의미에 달려 있습니다. 이런 경우에는 RPG가 데이터베이스를 "읽을 수 있으므로"가능한 많은 SQL을 피하고 처리하기 전에 들어오는 데이터의 유효성을 검사합니다. 또한 백 오피스 소프트웨어에 입력되는 대부분의 데이터는 직원이 수동으로 처리 할 수 ​​있도록 "받은 편지함"에 추가 될 수 있습니다.
Mike Wills

6

분명히 몇 가지 위험이 있지만 그렇게 할 수 있습니다. 기본적으로 누군가가 들어갈 수있는 작은 구멍을 열고 있으므로 작게 만드십시오. 한쪽 끝의 서버로만 제한하고 선택한 포트의 데이터 만 허용하십시오. 포트 주소 변환을 사용하여 기괴한 포트만 사용하는 것은 좋지 않습니다. 그럼에도 불구하고 모호한 보안은 전혀 보안이 아닙니다. 다른 쪽의 서버가 무엇이든간에 해당 연결을 통해 전달되는 정보가 실제로 나타나는지 확인하거나 일종의 상황 인식 방화벽이 있는지 확인하십시오. 또한 이런 종류의 방화벽이 있습니다. Microsoft ISA가 OWA 및 Exchange 서버에 대해서도 이와 동일한 기능을 수행한다는 것을 알고 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.