dmz - security - setup - firewall

Hallo,

Ik heb een vraagje betreffende een dmz setup.

In ons netwerk (geografisch sterk verspreid) is er een dmz zone op de firewall aangemaakt waar een aantal servers in zitten.

Een aantal van deze 'DMZ-servers' zitten geografisch gezien niet bij de firewall maar in een serverroom op een andere locatie (samen met nog een aantal servers in het gewone LAN netwerk).

Blijkt nu dat deze DMZ servers 2 lan connecties hebben, eentje naar de DMZ zone en eentje naar de LAN zone. Deze connectie naar de LAN zone, is om te vermijden dat alle traffiek over de WAN moet lopen en dus de snelheid te verbeteren.

Ik stel me hier echter een aantal vragen bij gezien er geen firewall (ISA bijvoorbeeld) draait op deze DMZ servers.

=> Mijn vraag is : Kan dit effectief kwaad en hoe kun je dit risico inschatten?

Mij lijkt dit not done en ik zie het nut niet in dat deze servers in DMZ zone staan (routering is moeilijker en als men de server kan hacken zit men vrij op het LAN => dan kun je even goed de server in LAN plaatsen)
Als oplossing zie ik 2 mogelijkheden, ofwel alle verkeer die voor LAN bestemd is, sturen over de WAN, via de firewall. Ofwel een 2e firewall bij plaatsen, met als voordeel dat alle verkeer dan op LAN snelheid blijft en niet over de WAN gestuurd moet worden.

Klopt mijn redenering of zoek ik het te ver (in therorie klopt dit niet, maar in praktijk wordt dit misschien vaak zo geconfigureerd?)? Als dit klopt zoek ik nog een aantal redenen waarmee ik het management kan overtuigen dat de huidige setup niet veilig is. Hoe zouden jullie dit verwoorden?

Alvast bedankt voor de feedback!

bazkar schreef op dinsdag 23 augustus 2011 @ 16:55:
Het nut van een DMZ is zo inderdaad wel ongeveer teniet gedaan. Dan kun je de machines zoals je zelf al zegt net zo goed op je LAN zetten en de firewall ernaartoe goed dicht zetten.

Wel de redenering gelt dat je eerst moet kunnen inbreken op de webinterface vooraleer je verder geraakt.

Op zich klopt dit natuurlijk wel, zolang men niet binnengeraakt op de webserver kan men niet verder geraken.
Bij een pure DMZ zone, begint het dan pas, en moet je over andere poorten connectie maken over de firewall naar de LAN, in dit geval ben je vertrokken en heb je vrij spel...

Het is natuurlijk moeilijk argumenten aan te brengen hoe makkelijk je op een webserver kan inbreken, gezien er de laatste jaren nooit problemen zijn geweest (waar we op de hoogte van zijn toch)

Dit vind ik wel een doordenker. Bedoel je hiermee dat DMZ achterhaald is en op vandaag geen zin meer heeft? Dat je met andere woorden mag vertrouwen op de services (vb web service) op de server dat deze in combinatie met de firewall alles kan tegenhouden?

Anno 2011 is alles connected, deze stelling kan ik volgen zolang je fysiek connected bedoelt. Virtueel wordt met ondermeer vlans, toch meer en meer een opsplitsing gemaakt en gezorgd dat het ene netwerksegment niet zomaar het andere segment ziet (of enkel via de poorten die nodig zijn).

Wordt een DMZ zone dan niet meer toegepast in de nieuwe concepten ?

ok, jullie volgen dus grotendeels mijn redenering en mijn mening.

Ik heb nu nog een specifieke vraag.

Stel dat je een server (al dan niet in DMZ, doet er niet toe) aan het internet hangt via een firewall en dat je vanaf internet naar deze server bijvoorbeeld poort 80 open zet (kan evengoed poort 443 of 25 of ... zijn).

Iedereen kan dan eigenlijk vanaf internet rechtstreeks op poort 80 op deze server werken. Stel dat je wil hacken, is het dan zo eenvoudig om deze service op de server te hacken zodat je controle van de server kan overnemen en netwerkconnecties maken naar andere toestellen in hetzelfde subnet?

Dan moet je ergens bugs of dergelijke weten zijn. Kun je dan op een apache server bijvoorbeeld zo makkelijk binnen geraken?

Ik speel hiermee advocaat van de duivel, maar dit zijn de vragen die ik krijg en ik kan hier niet echt op antwoorden.

bedankt alvast!