공용 DMZ 네트워크 아키텍처
On 1월 2, 2021 by admin몇 년 전 제가 학생이었을 때 네트워크 보안 교수가 수업에서 DMZ가 무엇인지 가르쳐주었습니다. 그가 슬라이드에 사용한 아키텍처는 다음과 유사했습니다.
이제 제가 취업 했으니 상사 , 10 년 이상의 경력을 가진 보안 엔지니어는 다른 관점을 가지고 있습니다. 그를 위해 DMZ는 LAN과 인터넷 사이의 “샌드위치”에 배치되어서는 안됩니다. 대신 아래 그림과 같아야합니다.
DMZ가있는 네트워크 아키텍처를 Google에서 검색 할 때 , 나는 다른 표현을 발견했고 더욱 혼란스러워졌습니다. 제 질문은 DMZ를 보안이 뛰어난 네트워크 아키텍처에 어떻게 배치해야합니까? 보안 관점에서 첫 번째 표현이 괜찮습니까?
댓글
- 혼란스러운 이유 중 하나는 지난 15 년 동안 방화벽 아키텍처가 변경 되었기 때문입니다. 다이어그램을 보면 ‘ 내부 방화벽에 대한 연결이 DMZ 시스템을 통과하는지 여부가 명확하지 않습니다. 최신 방화벽은 상위 다이어그램처럼 내부 및 외부 방화벽을 논리적으로 구현할 수 있으므로 ‘ 물리적 대 논리적 문제가 있습니다. 또한 일반적으로 DMZ 시스템은 LAN으로 연결을 시작할 수 없어야하므로 상단 다이어그램에는 외부 방화벽에서 1 개, DMZ에서 1 개, 내부에서 1 개 라인이 표시되어야합니다.
- csrc.nist.gov/publications/nistpubs/800-44-ver2/SP800-44v2.pdf [섹션 8]은 웹 서버.
Answer
두 기능은 동일합니다. DMZ는 사실상 샌드위치에 있습니다. 방화벽이있는 외부 세계의 연결이 있어야하지만 내부 네트워크에 대한 액세스를 제한하는 방화벽도 있어야합니다.
후자의 다이어그램은 종종 발생하지만 (비용상의 이유로-방화벽이 덜 필요함) 첫 번째는 두 가지 다른 종류의 방화벽을 사용할 수 있기 때문에 하나는 더 안전한 것으로 간주되어 두 방화벽을 모두 위반하는 방화벽에 대한 공격을 방지 할 수 있습니다. 하나의 방화벽을 사용하는 경우 각 방향 및 각 연결에 대한 규칙 집합을 사용합니다. 기능적으로 이것은 두 번째 예의 규칙 집합과 동일합니다.
이것은 보안이 약간 개선 된 것입니다. 일반적으로 방화벽을 공격하지 않습니다. 개방 된 포트를 사용하여 웹 서버, 메일 서버를 공격하거나 데이터베이스를 공격하기 위해 곧바로 통과하지만 보안 계층이 모두 도움이됩니다.
설명
- Spot on. 또한 많은 방화벽 구성 ” 마법사 ” 일반적으로이 두 가지를 모두 설정 템플릿으로 제공합니다. 또한 영역 간의 라우팅이 문제가 될 수 있으며 다른 방법보다 구현 및 시행하기가 까다로울 수 있다는 점을 고려하십시오.
- 예, 하지만 레드 팀으로서 핵심 보안 시스템을 공격하는 것은 항상 재미 있습니다.;)
- 나는이 둘이 기능적으로 동등하다는 것에 동의하지 않습니다. 아래 다이어그램에서, 모두 내부 LAN에 대한 전체 액세스 권한을 얻으려면 방화벽을 손상시켜야합니다. 다른 사람들이 지적했듯이 방화벽 구성의 실수로 인해 많은 경우에 그렇게 어렵지 않습니다. 상단 다이어그램에서 내부 시스템에 접근하려면 2 개의 방화벽을 통과해야합니다. 두 번째 방화벽은 일반적으로 훨씬 더 닫힌 구성을 가질 수 있으므로 잘못 구성하거나 손상시키기가 더 어렵습니다.
답변
DMZ는 매우 안전한 네트워크 아키텍처에 어떻게 배치해야합니까?
핵심은 보안 도메인 간의 심층 방어입니다. 배포 된 아키텍처의 범위는 재정적 제한 및 기술 기능을 포함하여 사용 가능한 리소스에 따라 달라집니다.
심층 방어
심층 방어는 정보 기술 (IT) 시스템 전체에 여러 계층의 보안 제어 (방어)가 배치되는 정보 보증 (IA) 개념입니다. 단일 보안 제어 실패의 결과를 완화하는 것은 계층화 전략입니다. Wikipedia
보안 도메인
보안 도메인은 서버 / 컴퓨터 영역의 분류를 결정하는 요소입니다. 보안 도메인이 다른 네트워크는 다른 네트워크와 별도로 유지됩니다. Wikipedia
구현
보안 도메인 간의 제어를 결정하기 위해 정의 할 수 있습니다. 인터넷은 신뢰할 수 없음으로, DMZ는 반 신뢰로, 내부 네트워크는 신뢰할 수 있습니다.
따라서 인터넷과 DMZ 사이에 여러 계층의 보안 제어를 사용합니다. 여기에는 L3 방화벽, IPS가 포함될 수 있습니다. , AV, 리버스 프록시 /로드 밸런싱, L7 필터링.
DMZ 호스트에서 내부 네트워크로 돌아가는 추가 레이어를 사용합니다. L3 방화벽, L7 필터링 (예 : RPC) , IPS / AV.
보안 제어의 효율성을 극대화하기 위해서는 보안 도메인 간의 최소 권한 액세스도 중요합니다.
보안 지점에서 첫 번째 표현이 괜찮습니까? 보기?
심층 방어가 부족하기 때문에 아니오라고 조언합니다. 인터넷 -DMZ와 DMZ-LAN 간에는 단일 액세스 제어 만 있습니다. 일반적으로 매우 안전한 아키텍처에는 공급 업체 분리 및 액세스 제어 계층 (L3 FW, WAF, IPS, AV 등)이 있습니다.
Answer
보안에는 절대적인 것이 없습니다.
교육 관점에서 보면 첫 번째가 더 분명하다고 말할 수 있습니다. 외부 세계가 이러한 다양한 계층을 통과한다는 개념을 보여줍니다. DMZ를 공격하는 것이 더 쉬우 며 아마도 거기에 주둔하는 것이 위험이 낮다는 것입니다.
또한 다른 답변에서 매우 훌륭하게 지적했듯이 계층화 된 방어 관점에서도 낫습니다.
하지만 비용 관점에서 보면 덜 실용적입니다. 아래쪽 다이어그램에서 많은 변형을 보았습니다. 다양한 이유로 모든 네트워크를 분할하고 다양한 비용으로 더 많은 작업을 수행하거나 다른 실제적인 이유.
정직하게 “올바른 방법”이나 “올바른 다이어그램”이 있다고 믿지 않습니다. 요소는 다음과 같습니다.
-
비용 대 위험 절충 -다중 다양한 공급 업체가있는 방화벽 계층은 확실히 더 안전하며 비용도 더 많이 듭니다. 높은 가치 / 높은 위험 운영을 위해 있어야합니다. 낮은 가치 / 낮은 위험 운영을위한 과잉 처리-구매 비용뿐만 아니라 유지 관리 비용도 많이 들며 이러한 것들을 유지하는 사람의 요인과 갭 및 구성 오류의 위험을 고려해야합니다. 잘 구성된 방화벽 하나 방화벽을 구성하는 사람이 “작업을 제대로 수행 할 수있을만큼 충분히 알지 못했기 때문입니다!
-
명확성 -네트워크는 실제로 어떤 모습입니까? 방화벽이 하나만 있다면 그에 따라 다이어그램을 그리십시오. 사람들이 두 번째 방화벽을 찾아 다니게하지 마십시오. 물리 계층이 아닌 논리 계층에 대해 이야기하지 않는 한, 두 “벽”이 동일한 장치에있을 수 있습니다. 다이어그램의 요점은 인간이 작업을 수행하도록 돕는 것입니다. 다이어그램은 이러한 요구를 충족하는 능력 측면에서만 “옳거나” “틀 렸습니다”.
당신의 상사가 그의 그림이 절대적인 “올바른 방법”이라고 주장한다면, 그는 마음이 멀어졌습니다 … 그것에 대응할 수있는 많은 공개 사례가 있습니다.
만약 작업중인 것을 가장 명확하게 설명하는 방법입니다.
답변
I ” 다른 사람들이 말한 내용을 반복하겠습니다.하지만 여기에 있습니다.
먼저, 보안 수준이 얼마나 필요한지 ,이를 달성하는 데 필요한 비용과 뭔가 실패하고 보안 영역과 인터넷 사이의 통신이 끊어지면 발생하는 문제입니다.
암흑 계에서 비밀 데이터까지 더 많은 계층이 있기 때문에 시나리오가 좀 더 복잡해 보입니다. 하지만 더 많은 비용이 추가되고 더 많은 장애 지점이 존재합니다.
두 번째 시나리오는 방화벽만큼 안전합니다. 손상된 DMZ는 “방화벽을 통과해야하기 때문에 공격을 더 쉽게 만들지 않습니다. 방화벽은 모든 개념에서 저항의 일부입니다.
미안하지만 문제가 “어떤 것이 맞습니까? 방화벽이 두 개입니까 아니면 하나입니까?”에 대해 “어떤 참조도 찾을 수 없습니다.
답변
“고급 보안 네트워크 아키텍처”가 무엇을 의미하는지 잘 모르겠습니다. 보안 목표, 정보 보안 요구 사항 및 적절한 보안 제어를 설계하고 구현하기 위해 진화하고있는 위협 환경에 대해 더 자세히 고려해야합니다.
하지만 다음 사이트에서 귀하의 질문에 답해 드리겠습니다. 높은 수준입니다.
예, 첫 번째 보안 아키텍처는 일반적으로 보안 관점에서 괜찮습니다. 이 아키텍처에는 변형이 있지만 (예 : DMZ를 외부 및 / 또는 내부 방화벽 및 / 또는 중간에 연결합니까?)이 단계에서 질문과 관련이 없다고 생각합니다.
이 아키텍처는 방화벽 자체를 우회하거나 심지어 악용 할 수있는 여러 가지 알려진 공개 취약점이 있고 다른 완화 방법이 없을 때 방화벽이 여러 가지 알려진 공개 취약점을 가지고있을 때 더 인기가있었습니다. 제어.
외부 및 내부 방화벽에 대해 다른 구현을 사용하는 경우 아키텍처에 자연 선택 원칙을 적용하는 것 뿐이며 일반적으로 좋은 일입니다. 하나의 구현이 특정 공격에 취약한 경우 , 각각의 특성이 충분히 다른 경우 동일한 공격이 다른 구현에서 작동하지 않을 수 있습니다. “방화벽 보안 기능”의 단일 실패 지점 (구현 관점에서)을 제거하기를 바랍니다.
물론 정보 가용성 요구 사항에 따라 외부 및 내부 클러스터링을 고려해야 할 수도 있습니다. 방화벽이 있습니다.
두 번째 아키텍처는 보안 관점에서도 유효하며 이제 첫 번째 아키텍처보다 더 인기가 있다고 생각합니다 (비용 지원). 방화벽 보안 기능의 잠재적 인 단일 실패 지점이 있습니다. 그러나 대부분의 조직은 보안 서비스를 제공하기 위해서만 방화벽에 의존 할 수 없다는 사실을 지금 쯤 깨달았을 것입니다. 라우터 / 스위치 / 호스트 방화벽 / 기타. 모두 조직의 보안 태세에 기여할 수 있으므로 (단일) 방화벽 구현의 손상으로 인한 일부 또는 전체 손상을 완화 할 수 있습니다. 또한 오늘날 방화벽은 좀 더 견고하며 공격은 더 높지만 더 부드러운 OSI 계층으로 이동했습니다.
대부분의 배포에서 두 번째 아키텍처를 고려할 것입니다. 보안 목표 및 요구 사항, 잠재적 공격자의 동기 및 더 중요한 리소스를 포함하되 이에 국한되지 않는 특정 상황에서 첫 번째 아키텍처를 고려할 수 있습니다.
답변
첫 번째 다이어그램에서 위험은 훨씬 더 나쁩니다. 한 걸음 물러서서 군용 DMZ에 대해 읽어보십시오. 기본적으로 보호에 관심이없는 항목을 두는 곳입니다. 잘못된 용어입니다. IT의 구식 아이디어입니다. 이제 보안 수준이 다른 훨씬 더 큰 환경이 있다고 가정 해 보겠습니다. 한 영역에 모든 데이터를 넣을 수는 없습니다 (멀웨어에 감염된 LAN 트래픽 훔쳐가 생각하는 것보다 훨씬 적습니다). “여러 보안 영역이 필요합니다 (해당 용어에 연결되어있는 경우 여러 DMZ”를 보안 세그먼트라고 함). 위의 각 다이어그램에 20 개의 서로 다른 보안 영역을 어떻게 추가 하시겠습니까? 계속해서 직렬로 추가 보안 수준에 따라? 또는 필요에 따라 병렬로 추가? 대부분의 최신 방화벽에 여러 인터페이스 (일부 대형에는 최대 100 개의 인터페이스가 있음)가있는 이유는 보안 서브넷을 병렬로 추가하기 때문입니다. 높은 보안 환경에서는 별도의 웹 서버 대 DNS 서버 대 메일 서버 등을위한 보안 영역. 이렇게하면 웹 서버가 소유 된 경우 공격자가 메일 서버 또는 다른 어떤 것을 손상시킬 추가 근거를 얻지 못합니다. 마찬가지로 서비스 제공 업체가 호스팅하는 경우 수십 개의 배치 된 클라이언트를 서로 다른 인터페이스 뒤에 배치하여 인터넷을 통한 공격과는 다르게 서로를 공격 (또는 웜 확산) 할 수 없습니다. 일부 대규모 공급 업체 웹 사이트 (Cisco & Juniper)를 둘러보고 대규모 방화벽과 지원하는 인터페이스 수에 대한 설명서를 살펴보십시오. Imperva (또는 mod_security 프록시)와 같은 내부 방화벽 및 WAF (웹 응용 프로그램 방화벽)는 여전히 필요하지만 이러한 내부 영역도 세분화되고 구획화되어야합니다. 이전 샌드위치 다이어그램 (70 “s-80″s IT 아키텍처) 보안 측면에서 중요한 FAIL이므로 제거해야합니다.
댓글
- 두 방화벽이있는 첫 번째 다이어그램은 두 번째 방화벽보다 훨씬 더 나쁩니다. 하나만있는 다이어그램입니다. ” 내부 방화벽이 여전히 필요하다고 스스로도 말했습니다. ” 모범 사례는 최신 방화벽을 안전하게 사용하는 것입니다. 서브넷을 병렬로 연결하고 LAN 외부에서 액세스 할 수없는 시스템과 방화벽 사이에 또 다른 방화벽을 배치합니다.
답변
예, 이전 답변 외에도 방화벽이 포착하지 못하는 공격을 차단하기위한 IPS를 추가 할 수 있습니다. 이러한 공격은 열린 포트를 대상으로하기 때문입니다.
Answ er
당신의 상사가 옳습니다.
첫 번째 표현에는 많은 문제점이나 약점이 있습니다.
- HA (높음 가용성) : 4 개의 FW (외부 2 개 및 내부 2 개) = $$$
- 관리 : “두 가지 다른 방화벽을 사용할 수 있으므로 더 안전한 것으로 간주”… 많은 관리 오버 헤드 ( 업데이트, 규칙, 로깅, 라이선스).FW를 신뢰할 수없고 다른 제조업체의 다른 FW가 필요한 경우 문제가 있습니다 !!!
- IP :이 디자인은 natting, 라우팅 등으로 인해 악몽이 될 수 있습니다.
- 위험 :이 설계에서 손상된 DMZ 호스트는 LAN 영역의 사용자에 대한 스니핑 및 중간자 공격에 적합한 위치에 있습니다.
실제 두 번째 디자인은 첫 번째 디자인보다 안전하고 간단합니다.
- HA (고 가용성) : 다른 FW가 필요합니다.
- 관리 : 관리 할 상자 하나만 있으면됩니다.
- IP : 라우팅 또는 네이 팅을위한 트래픽 관리를위한 단일 지점
- 위험 : DMZ의 호스트가 손상되면이 위협은 DMZ에 포함됩니다.
댓글
- 불행히도 실제로는 고감도 환경 (뱅킹 등)에서 첫 번째 디자인이 훨씬 간단합니다. 요점은 없습니다. ‘ 반드시 정확하지는 않습니다. 1-방화벽 2 개를 추가로 구입합니다. 2-관리 시스템 2 개는 문제가되지 않습니다. 3-일반적으로 여러로드 밸런서, HA 장애 조치, SSL 엔드 포인트 등이 있으므로 관련이 없습니다. 4-시나리오 1의 위험이 낮습니다. 위험을 억제하기가 더 쉽습니다.
- 이 DMZ 네트워크 아키텍처를 살펴보십시오 : 시스코 웹 사이트에서 보안을위한 설계 영역, 엔터프라이즈 인터넷 에지 설계 가이드. DMZ에 대한 3 가지 인터페이스 모델 (Cisco 백서의 그림 3)이 표시됩니다. 이 모델은 DMZ 설계에서 기대할 수있는 주요 속성을 가지고 있습니다. • 서비스 가용성 및 탄력성; • 규정 준수; • 보안 : 침입, 데이터 유출 및 사기를 방지하고 사용자 기밀성, 데이터 무결성을 보장합니다.
- 두 공급 업체의 방화벽을 사용하는 것도 구식 설계입니다. 이 Gartner의 논문‘Q & A : 서로 다른 두 공급 업체의 방화벽을 사용하는 것이 더 안전한가요? (게시 : 2010 년 11 월 4 일)는이 점에 대해 매우 유익합니다. 이 백서에서 발췌 : 방화벽 침해의 95 % 이상이 방화벽 결함이 아닌 잘못된 방화벽 구성으로 인해 발생합니다.… 두 개의 방화벽 플랫폼이 하나보다 낫지 않습니다. 단일 공급 업체보다 여러 공급 업체의 방화벽 구성 및 관리와 관련된 위험이 더 높다고 생각합니다. 감사합니다.
- @tactika +1 참조
- 그 Cisco 백서 로컬 관리 스위치, 라우터 및 방화벽을 구분하기 때문에이 질문에 대해서는 매우 철저 할 수 있습니다. OP의 단순화 된 다이어그램에서 방화벽은 3 개의 장치 모두의 기능을 결합합니다.
Answer
It 건물의 네트워크 아키텍처 유형에 따라 다릅니다.
첫 번째 예는 대규모 웹 앱 호스팅과 같은 상황에 이상적이며 계층에 보안을 구축하므로 밸런서 계층, 앱 계층, 데이터 계층 , 각기 다른 보안 조치에 의해 방화벽이 차단되지만 자체적으로 신뢰할 수있는 네트워크에서 작동합니다.
두 번째 예에서는 LAN이 중단 된 상태로 정확히 설명됩니다. 또한이 옵션은 QoS를 보장하기 위해 트래픽을 구성 할 수 있어야하는 상황에 이상적입니다.
그러므로 질문에 답하기 위해 둘 다 유효하고 둘 다 고유 한 장점이 있습니다. .
답변
대부분의 방화벽 엔지니어는 방화벽 세트가 더 저렴하고 구성하기 쉽기 때문에 대부분 두 번째 다이어그램 모델을 배포했습니다. & 관리합니다. 방화벽의 각 포트를 외부, 내부 및 각 DMZ에 물리적으로 연결하거나 가상으로 환경을 분리하기 위해 다중 컨텍스트 (VM과 매우 유사)를 사용할 수 있습니다. 우리는 소규모 데이터 센터에서 두 번째 모델을 사용하고 엔터프라이즈 데이터 센터에서 다중 FW로 첫 번째 모델을 사용합니다. 감사자는 두 번째 모델에서 잘못 구성된 하나의 규칙으로 인해 DMZ 서버를 제어 한 공격자가 네트워크 내부를 제어 할 수 있으므로 엔터프라이즈 위치에 대한 첫 번째 모델을 좋아합니다. 공격자가 내부로 들어가려면 두 세트의 방화벽을 통과해야하므로 첫 번째 모델에서는 훨씬 더 어렵습니다. 방화벽 관리자는 하나의 방화벽에서 테스트 할 때 실수를 할 수 있지만 일반적으로 두 개에서는 테스트하지 않습니다. 지난주에 다중 방화벽을 배포했습니다. 인터넷 끝에서 방화벽이 다중 DMZ 및로드 밸런서에 연결되고 방화벽 내부에서 동일한 DMZ /로드 밸런서에 연결됩니다. 또한 2 차 / 내부 방화벽에는 내부에 다중 컨텍스트가 있습니다. WAN, 프로덕션 및 비 프로덕션 환경간에 방화벽을 제공합니다. 프로덕션 서버는 무엇이든 액세스 할 수 있지만 WAN은 www 및 https (등)의 프로덕션 서버에 액세스하거나 관리자가 프로덕션 및 DEV / QA 서버에 액세스 할 수 있도록 RDP 액세스를 허용 할 수 있습니다. 방화벽 내부에 있습니다.
답변
두 디자인 중 어느 것이 “올바른지”질문에 대한 답은 설계중인 솔루션에 대한 요구 사항따라서 두 모델 모두 장점과 단점이 있지만 실제로는 두 가지 주요 비즈니스 동인으로 귀결됩니다.
비즈니스가 다음과 같은 요구 사항을 충족하는 경우
“인터넷이 필요합니다. / DMZ 보안 설계는 …
* 비용 효율적, 최저 비용, 기본, 단순한 설계, 관리가 간단하고 저렴한 & 더럽고 적절한 보호 기능입니다. .. * etc. “
그러면 3-LEGGED FW (예제 # 2)가 설계의 기초로 사용해야하는 모델이됩니다. 그리고 “$$$ 절약” “비용 절감”이 종종 # 1 동인이되는 세상에서 3-LEGGED FW 설계가 대규모 조직에서도 가장 인기있는 배포 인 이유가됩니다.
기업이 다음과 같은 진술을 요구하는 경우 :
“인터넷 / DMZ 보안 설계가 필요합니다 …
고도로 / 극도로 보안이 유지되며 비용에 관계없이 최상의 인터넷 보호를 제공합니다. 내부 기업 시스템의 보호는 필수입니다 … 등. “
그런 다음 FW-Sandwich / 2-Teir FW / Layered DMZ (예제 # 1) 모델은 설계의 기반으로 사용해야하는 모델입니다. 그 이유는 매우 간단합니다. 계층화 된 DMZ 보안은 인터넷 해커의 진입에 고유 한 장벽을 추가합니다. 그가 첫 번째 FW를 통과하면 그는 다음 레이어에 도착하고 다음 레이어에 도착한 다음 백엔드 내부 FW에 도착한 후 마침내 기업 데이터의 핵심에 도달합니다. 3-LEGGED FW 모델은 잘못 구성되거나 잘못 구성된 FW가 손상 될 경우 내부 네트워크에 직접 액세스 할 수있는 1 계층 보호입니다. BAD!
내 과거 디자인은 앞뒤 FW보다 더 복잡합니다. 매우 안전한 ISP / DMZ 설계에서 FW, IPS, 프런트 VIP 네트워크, DMZ VIP로드 밸런서, 프라이빗 팜 네트워크, 백엔드 내부 FW를 설계했습니다. 이러한 각 계층은 해커가 통과 할 수있는 고유 한 추가 장벽을 추가합니다. 또한 “디자인의 한 레이어는 바로 가기로 해당 레이어를 우회하지 않고 다음 레이어와 만 대화해야합니다.”라는 강력한 디자인 규칙을 설정했습니다.
이 디자인은 확실히 비용이 더 많이 들지만 대규모 기업에 적합합니다. 은행, 금융, 고객 정보의 대규모 데이터베이스 등을 보호해야합니다. 3-Legged FW를 사용하여 해커와이 왕관 보석 사이의 단일 장벽을 만드는 것은 어리석은 일입니다.
답변
방화벽을 라우터로 바꾸고 방화벽은 라우터가 아니어야하므로 첫 번째 옵션이 잘못되었습니다. 두 번째 옵션은 좋지만 두 번째 방화벽을 인터넷에 추가 할 수 있지만 DMZ는 내부 방화벽에 유지합니다.
DC
답글 남기기