web-dev-qa-db-ja.com

多くのサービスを含むネットワークトポロジ

これはネットワークの設定方法に関するもう1つの質問ですが、まだそのような質問に飽きていないことを願っています。

このサイトはオフィスでもあるため、Windows DC、Windows Ad、Exchange、SQL、ファイル共有、開発アプリサーバー、その他のPCが含まれています。

オフィス(内部)のものに加えて、Webサーバー-アプリサーバー-SQLスタックで構成されるテスト環境と製品環境の両方があります。一般に公開されているftpサービスもあります。

私が検討します:

dmz1-Webサーバー-ExchangeEdge-ftp

dmz2-アプリサーバー-アプリサーバーのSQL

internal-dcおよびad-Exchangeハブおよびトランスポート-内部ファイル共有-内部使用のためのsql-内部使用のためのアプリサーバー-pcs

public-> dmz1、web、ftp、smtpのみpublic-> dmz2不可public-> internal不可

dmz1-> dmz2は、httpまたはajpを使用してWebサーバーからアプリサーバーに移動できます。dmz1-> internalは交換のみが可能で、それ以外の場合は不可能です。

dmz2->内部不可能

これは大丈夫ですか?他の推奨事項はありますか? MS ISAまたはJupiterSSGのいずれかを使用して構成されます。ありがとうございます。

networkingisa-serverdmztopologyssg5
2
mete

これが私の2セントです。あなたはネットワークセグメンテーションで正しい方向に進んでいるようです。ここにいくつかの考えがあります。

IDSはどこに配置されますか? 2つのDMZと内部ゾーンがある場合、それらの各ゾーンの前にIDSセンサーが必要であるように思われます。ただし、DMZのIDSセンサーから内部ゾーンへのトラフィックを許可する必要があります。

そして、私がそれに取り組んでいる間、DMZ内のデバイスにDNSサービスをどのように提供していますか。

最後の1つの考えは、非常に疑わしく、パブリックFTPサーバーを厳重にロックダウンすることです。これらは簡単に悪用される可能性があります。

1
JamesBarnett

ジェネラリストの観点からは、ネットワーク設計全体に対してデューデリジェンスを行ったように見えます。覚えておくことをお勧めするいくつかの事柄があります:

  • ファイアウォールのルールを慎重に磨きます。すでに述べたように、DMZ2はパブリックネットワークまたはプライベートからアクセスできません。それは素晴らしいことです!また、特定のサーバーのみが特定の他のサーバーにアクセスできると述べました。それはさらに良いです!アプリサーバーのみがSQLサーバーにアクセスできることを確認し、それでも必要なポートでのみアクセスできるようにします。 すべてのノードのアクセスニーズを最もアトミックなレベルまで磨きます!
  • すべてのデバイスからアクセスログを収集し、イベントを監視します。おそらくSplunkを使用しますか? Syslogだけでも。アクセスとトラフィックのデータが長期間保持されていることを確認してください。誰がいつ、なぜデバイスにアクセスしているかを確認します。
  • 可能であれば、デバイスでネットワーク分析を有効にします。 Netflow/sFlow。データを収集し、意味のある方法で表示できるソフトウェアを使用します。ネットワークに流入、ネットワーク内外に流入するデータの種類を分析します。あなたが見るトラフィックについて何も驚かないなら、あなたは十分に一生懸命探していません。
  • また、これらのマシンごとに個別のソフトウェアファイアウォールを絞り込んで、ハードウェアファイアウォールが危険にさらされたり、誤ったルールが適用されたりした場合に、ソフトウェアファイアウォールが不要なトラフィックもブロックするようにする必要があります。
  • 指先が出血し、目が裂けて、Wikiとドキュメント制御リポジトリを発明した人に身体的危害を加えたいと思うまで文書化します。次に、もう少し文書化します。あなたはすべて同じように曲がりくねった通路の迷路に入っています。あなたはあなたがあなたに空中投下されたトフラニルのパレットを必要とするであろうあなたの文書でとてもOCDである必要があるでしょう(OCD患者はトフラニルが何であるかを知っているでしょう。;))。チームの誰かがそのような複雑なネットワーク環境で適切に文書化していない場合は、それらをいじくりまわしてください。
  • 可能な場合は、データストリームの暗号化を検討することもできます。 Web層に関する限り、IPSECを使用してストリームを暗号化することを検討してください。それは少しやり過ぎかもしれません、私は認めます。

最終的な目標は、攻撃対象領域を絞り込むだけでなく、利用できない表面と利用可能な表面の両方に接触しようとするトラフィックを監視することです。これは、銀行に最高のロック、金庫、マントラップがすべて揃っていることを確認するのと少し似ていますが、誰かが強盗を試みているかどうかを確認するために機器を監視することは決してありません。十分な監視されていない時間が与えられれば、誰でも何でもできると仮定します。

あなたのウェブとデータベースサーバーはニトログリセリンの黄金のバイアルのようなものです。誰もが自分の利益のためにそれらを望んでおり、その過程で彼らとあなたの顔を爆発させたいと仮定します。本当に、どんな公共向けのデバイスもそうです。

あなたは正しい方向に進んでいます!ネットワークをセグメント化するのに最適です。あなたはあなたの仲間の頭上にいます。今度は頭を立ててみてくださいand標準より上の肩。

4
Wesley

はい、それはそれらの質問のもう1つです。あなたは自分のニーズ/目標を説明するのにあまり具体的ではありませんでした。答えは、次のような質問への回答にあります(ただしこれらに限定されません)。

ユーザーは何人ですか?

それらのユーザーにどのようなサービスを提供する必要がありますか?

外の世界にどのようなサービスを提供する必要がありますか?

ITインフラストラクチャを実装するためのビジネス目標/要件は何ですか?

DRP\BCPには何が必要ですか?

等.

現在の形式でのあなたの質問は、次のような質問です。

私はパイを焼いています。リンゴをいくつか持っていて、小麦粉と砂糖を使うことを考えています。どう思いますか?

0
joeqwerty