Tier 3 security en Multicast verkeer

Wij hebben een Backoffice systeem draaien met een Tier 3 layer qua security dus:

Tier 1 DMZ
Tier 2 Business Logic
Tier 3 Databases met gevoelige info

Elke tier heeft dus een apart netwerk en wordt gerouteerd door een firewall.

Voor een nieuwe Proof of Concept hebben wij een externe leverancier welke een Unix host in de DMZ wil zetten voor secure verbinding op te zetten met devices via Internet. Deze Unix box heeft echter een tweede box nodig met daarin hardwarematige PKI keys. Deze boxen praten onderling met Multicast verkeer.

Weet iemand hier of dit UDP multicast verkeer:

a) van tier 1 naar tier 2 kan door de firewall en router (ASA)
b) unix box is virtueel en pkibox is fysiek, uitdaging voor vmware ? fysieke switch ?
c) maakt het uit welke kant de multicast opgaat ? dus van T1 naar T2 of T2 naar T1 en levert dit risico's qua security op ?

Ben benieuwd wie hier iets zinnigs over durft te zeggen ?

onze (externe) netwerkman schrijft: " Maar het moet kunnen op de ASA en Cisco 2800. Er schijnen meerdere typen multicast verkeer te zijn, en daar hangt het een beetje vanaf of het gaat werken"

Ik kan op Internet echter niets vinden over verschillende types multicast verkeer ? Weet jij meer ?

internet naar tier 1 is inderdaad de ASA met DPI
tier 1 naar tier 2 is cisco 2800
tier 2 naar tier 3 is zelfde cisco 2800

als ik zeg dat de PKISAMbank met gevoelige hardware matige sleutels op XP draait...

de verbinding is volgende de leverancier van de unix host en pkisambank als volgt: (wist ik ten tijde van de oorspronkelijke post nog niet)

1. Een PKISAMbank verzendt een MultiCast bericht met daarin een poortnummer X (configureerbaar).
Dit bericht moet door de UNIXbak ontvangen kunnen worden.
2. Een UNIXbak verzendt een MultiCast bericht (zelfde adres en poortnummer als PKISAM Bank broadcast).
Dit moet door alle PKISAM Banken ontvangen kunnen worden.
3. Een UNIXbak maakt een TCP/IP verbinding met een of meerdere PKISAM banken op het poortnummer X
(als geMultiCast door de desbetreffende SAM Bank) en op het IP adres waarvan het door de SAM Bank
verzonden MultiCast bericht vandaan kwam).

Ik vermoed dat er dus door de multicast berichten geen gevoelige info wordt verspreidt maar dat dit waarschijnlijk pas in stap 3 gaat gebeuren maar dan is het (denk ik) geen multicast maar unicast TCP/IP geworden. Denken jullie dit ook als je dit zo leest ?

Zou het indien dit inderdaad zo is niet meer perse nodig zijn om de twee dozen in aparte tiers onder te brengen omdat de multicast (waarschijnlijk) geen "geheime" info verstuurd.

......Maar omdat de machine een XP machine is en mocht de UNIXbak gehacked zijn ze (denk ik) gemakkelijk op de XP machine kunnen komen. Dan zou het mogelijk zijn om productiesleutels te genereren op de XPbak. Dit dan weer wel een reden zou zijn om toch ze in verschillende tiers te zetten en mukticast te routeren. ?

Vind het nogal lastig om te bepalen of dat multicast nou een security risk in houd ? of dat dit prima veilig kan en of je perse hiervoor een tier onderverdeling nodig hebt. Stel dat de machine geen XP was maar Server 2008 ? ben geen hacker maar je moet soms wel zo denken....

ok...dat dacht ik ook al...maar als de devices op internet verbinding maken met de unix bak in Tier 1, is er dan een goede reden om de XP pkisambank perse op tier 2 te zetten qua hacken etc ?

En zo ja, is dit dan door de gevoeligheid van XP of doordat het sowieso een extra barriere is als de unixbak gehacked zou zijn ?

maar kan het niet zo zijn dat als de unixhost gehacked is en er daar hackertools in de dmz kunnen worden gedraaid om die xpbak over te nemen dit veel gemakkelijker is dan dat de xpbak met pkisams op tier 2 zou staan met een extra firewall? Mijn chef is bang dat er productiesleutels meegegeneerd kunnen worden en denkt dat door hem in tier2 te plaatsen deze risico's toch kleiner zijn.

Volgens mij doet alleen de ASA routeren en Intrusion Detection Prevention (Internet-> tier 1) en de cisco 2800 tussen tier 1 en 2 alleen firewall en router.

dank voor je info tot zover. Maar wat ik mij afvroeg: voegt het uberhaupt iets toe aan beveiling: tier 2 in deze situatie? De leverancier van de unixbak en pkisam xphost vertelde: ach als je toch al op die unixbak zit ga ik gewoon kijken welke poorten hij connect naar de pkisambank.

En vanaf die unixbak mag je natuurlijk gewoon naar de tier2 toe. Dus ja voegt het dan iets toe ? Werpt het dan toch een extra barriere op dat je gerouteerd wordt en door een firewall moet ,als je op die unixbak de poortnummers etc al kunt zien ? OF is het een vals gevoel van security?

maar ja dan kun je (denk ik) het hele principe van een DMZ wel ter discussie stellen: als een server niet direct aan internet hangt maar via een andere communiceert (welke wel in DMZ staat met portforward) zou je hem dus gewoon wel in de DMZ kunnen hangen ? en heeft een Tier 2 uberhaupt geen zin?

In welke situaties help een DMZ met tier 1 en tier 2 dan wel vraag ik mij hardop af? en wat ondervangt het niet

zit ook tussen elke tier een firewall. maar omdat je eerst schreef:

"zolang jij niet toestaat dat die pkisambak bereikbaar is vanaf het internet zie ik weinig risicos om hem daar te hangen"

vroeg ik mij af waarom je zei dat als ik bang was dat als hij gehacked zou kunnen worden hij dan wel beter in tier 2 zou kunnen ? Is dat niet uberhaupt de reden waarom je zoveel mogelijk uit de dmz wil hebben ? Of zijn er situaties waarin het geen enkele toegevoegde waarde is om hem toch in tier 2 te zetten (een server zonder directe internetverbinding dus)? Sorry dat ik beetje doorzeur probeer je te begrijpen ..... ;-)