[GTER] Política Rede Servidores Firewall

Paulo Henrique - BSD Brasil paulo.rddck at bsd.com.br
Wed Mar 16 18:16:05 -03 2016 


On 16/03/16 15:23, Douglas Fischer wrote:
> Para mim a questão de comunicação entre servidores de Front-End e
> Servidores de aplicação sempre foi complexa e polêmica.
> E com a facilidade que a virtualização trouxe, essa questão tem ficado cada
> vez mais polêmica e mais complicada.
>
>
> Existem diversos fabricantes de software(Microsoft, Oracle, SAP) que
> sugerem que servidores de Front-End existam tanto na Sub-rede DMZ Pública
> quanto na Sub-Rede DMZ privada.
>
>
> Apenas para contextualizar, falamos de um ambiente corporativo.
> *DMZ Pública ficam os servidores como:
>     - DNS Autoritativos
>     - MX
>     - Proxy Reverso(Um exemplo de Front-End)
> *DMZ Privada
>     - Bancos de dados
>     - APP-Servers
>     - Recursivos internos
>
> Nesse caso, a idéia é que a comunicação entre Front-End e Aplicação
> aconteça sempre em L2, sem passar por firewall(teoricamente).
>
>
> Entendo que esse modelo visa maximizar performance e eliminar eventuais
> pontos de falha.
> MAAAAAS, confesso que tenho VÁRIOS problemas de aceitação para com essa
> metodologia:
> - Caso o Servidor Público seja comprometido, o malfeitor terá acesso direto
> aos servidores que realmente guardam/manipulam os dados essenciais.
> - A implementação de recursos de segurança que validem a camada 7 das
> comunicações entre os Front-End e Back-End torna-se uma manobra hercúlea
> com redirecionamento de Bridges e Vlans.
> - Complexidade extra nas regras de firewall considerando que os FrontEnd
> existe em dois lugares diferentes.
>
>
>
> Eu pessoalmente sou um cara Old-School e não gosto da idéia de um Servidor
> existindo em mais de uma Vlan.
>
>
> Eu sei que eu já pelejei BASTANTE nessa questão.
>   - Se fizer "do jeito deles" e houver uma falha de segurança a culpa é
> minha.
>   - Se fizer "do meu jeito" e qualquer titiquinha que enroscar a culpa é
> inteiramente minha e eles largam tudo e para de trabalhar.
>
> Comprei muitas brigas e alguma eu "domei" e outras eu engoli...
>
>
>
> E aí? Quais são os nortes para essa questão?
> O que os colegas pensam sobre o assunto?
>
>
Saudações Douglas,

Sempre fui adepto da mesma metodologia que utiliza, contudo utilizei em 
vários ambientes a maxima dedocrática.

front-end executa na estação do usuário -> Firewall permite comunicação 
apenas do  front-end ativo das estações ao banco de dados, controle de 
acesso efetuado através do firewall do servidor/cluster do banco de 
dados, se utilizar um IDS pode até usar uma regra de inteligência no 
qual se a conexão que está chegando no DB realmente foi iniciada por um 
socket criado pela aplicação no cliente.

Front-end executa como uma aplicação web voltada a tarefas especificas 
internas da empresa -> firewall permite apenas as estações que acessam o 
front-end no web server, servidor Web roda junto com o mod_security -> 
Banco de dados acessivel apenas através do servidor web, pode usar dupla 
autenticação, uma interna na aplicação web e uma no servidor web, os 
usuários xingam muito mais azar deles, argumentos é o que não faltam.

Front-end executa como uma aplicação web voltada a colaboradores e 
parceiros externo -> o acesso só é possivel através de VPN ( OpenVPN ou 
IPSec ) junto com a mesma politica da opção acima.

Aplicação é destinada a qualquer um na internet ( não é site e sim uma 
aplicação com interação ) acesso somente através de Login -> servidor 
web + mod_security atraz de um proxy reverso -> banco de dados acessivel 
somente através da politica acima.

O firewall de saida é sempre politica padrão aberta para protocolos 
comuns da internet, contudo a politica de entrada é restritiva fechada.
Consultas em servidores externos como ntp e extensões/scripts que tem 
origem em outras redes que não administro deixo sempre restrito, mesmo 
que cause um pouco de dor de cabeça no final melhor previnir do que 
reconfigurar.

Trafego fragmentado ou com erros em flags é barrado independente de 
origem seja interna ou externamente a rede.

Na ultima empresa que trabalhei o segmento Wireless tinha algumas 
restrições como não acessar nenhum servidor diretamente a menos que o 
endereço MAC da interface wireless do cliente não estivesse cadastrada 
no firewall, tentei colocar uma VPN interna mas não fui bem recebido.

Att.

-- 
##################################################
:UNI><BSD:
Paulo Henrique
UnixBSD Tecnologia
Segurança em Tecnologia da Informação
Fone: (21) 96713-5042
Site: https://www.unixbsd.com.br
##################################################

More information about the gter mailing list