Arquitectura física: ubicación servidor web

Temas relacionados con supuesto práctico y defensa
Responder
Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Arquitectura física: ubicación servidor web

Mensaje por Montijeño »

Buenas,

Tras ver soluciones de todo tipo y razonar yo mismo con mi mecanismo, no me termina de quedar claro cuál es el lugar correcto donde se debe ubicar el frontal web en caso de ser necesario.

Veo soluciones que lo ubican en la DMZ y veo soluciones que lo ubican en la VLAN de aplicaciones, junto con los servidores de aplicaciones.

Por un lado, el angelito de la seguridad me dice que lo suyo es ponerlo en VLAN de aplicaciones. Pero, por otro, el demonio de la separación de funcionalidades y las capas me dice que, puesto que su funcionalidad no es crítica (como la del servidor de aplicaciones, por ejemplo) y puesto que ya se encuentra tras una primera frontera de FW y junto con una sonda SAT, lo ponga en la DMZ.

¿Ángel o Demonio?

Avatar de Usuario
dazu
PreparaTIC25
Mensajes: 80
Registrado: 30 Dic 2015, 14:28
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: ubicación servidor web

Mensaje por dazu »

Montijeño escribió:
16 Jul 2018, 16:56
Buenas,

Tras ver soluciones de todo tipo y razonar yo mismo con mi mecanismo, no me termina de quedar claro cuál es el lugar correcto donde se debe ubicar el frontal web en caso de ser necesario.

Veo soluciones que lo ubican en la DMZ y veo soluciones que lo ubican en la VLAN de aplicaciones, junto con los servidores de aplicaciones.

Por un lado, el angelito de la seguridad me dice que lo suyo es ponerlo en VLAN de aplicaciones. Pero, por otro, el demonio de la separación de funcionalidades y las capas me dice que, puesto que su funcionalidad no es crítica (como la del servidor de aplicaciones, por ejemplo) y puesto que ya se encuentra tras una primera frontera de FW y junto con una sonda SAT, lo ponga en la DMZ.

¿Ángel o Demonio?
Buenas Montijeño,
Se suelen incluir frontales web externos en la DMZ Y frontales web internos en la vlan de aplicaciones, aunque depende del caso práctico concreto.

Los frontales web externos darían servicio a los ciudadanos que se conecten a través de internet, si los hay.
Los frontales web internos atenderían las peticiones de los funcionarios o usuarios internos (que llegan de la vlan de usuario o a través de red SARA o de la WAN ministerial) y también de los funcionarios en movilidad que se conecten por vpn.

¡Saludos y ánimo con el estudio!

Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: ubicación servidor web

Mensaje por Montijeño »

Muchas gracias dazu.

Pero entonces, en el caso en el que existen ambos tipos de usuario (ciudadanos que acceden desde internet y funcionarios que acceden desde VLAN/WAN ministerial/VPN), ¿se ubicarían dos servidores web (por redundancia/alta disponibilidad) más el correspondiente balanceador de cada par en cada uno de los segmentos de red (DMZ y VLAN apps)?

Esto es lo que me tortura, que me parece una redundancia excesiva, ¿no? ¿Qué motivaría el NO ubicar, en esta situación, el servidor web en la VLAN de aplicaciones, cuando se encuentra tras 2 FW + 1 IPS y es un elemento que tan sólo atiende peticiones http (que las entiendo filtradas y controladas por los anteriores)?

logos
Usuario registrado
Mensajes: 20
Registrado: 21 May 2018, 15:02
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: ubicación servidor web

Mensaje por logos »

Hola Montijeño,
por si te sirve de ayuda, yo suelo diferenciar el tráfico web en dos categorías .. y media:

1.) Peticiones que llegan por internet: son servidas por servidores web en la DMZ
2.) Peticiones que llegan a través de Red Sara (se entiende que son funcionarios): son servidas por servidores web en la VLAN de aplicaciones, aunque "in extremis" creo que sería argumentable hacerles pasar por el mismo firewall que las anteriores
2.5.) Peticiones que acceden por VPN que, a mi entender, podrían encajarse en cualquiera de las categorías dependiendo de la configuración del firewall entre la DMZ y la VLAN de aplicaciones

Un saludo

logos
Usuario registrado
Mensajes: 20
Registrado: 21 May 2018, 15:02
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: ubicación servidor web

Mensaje por logos »

Montijeño escribió:
16 Jul 2018, 17:32
Muchas gracias dazu.

Pero entonces, en el caso en el que existen ambos tipos de usuario (ciudadanos que acceden desde internet y funcionarios que acceden desde VLAN/WAN ministerial/VPN), ¿se ubicarían dos servidores web (por redundancia/alta disponibilidad) más el correspondiente balanceador de cada par en cada uno de los segmentos de red (DMZ y VLAN apps)?

Esto es lo que me tortura, que me parece una redundancia excesiva, ¿no? ¿Qué motivaría el NO ubicar, en esta situación, el servidor web en la VLAN de aplicaciones, cuando se encuentra tras 2 FW + 1 IPS y es un elemento que tan sólo atiende peticiones http (que las entiendo filtradas y controladas por los anteriores)?
La respuesta a lo que planteas es de perímetro de seguridad. Si dejas que el tráfico de internet llegue hasta tu VLAN de aplicaciones estarías comprometiendo gran parte de tus sistemas ya que no habría barrera entre un intruso en el servidor web y el resto de servidores de la VLAN e, incluso, Red Sara. Aún a costa de redundancia, manteniendo al servidor web en la DMZ, te aseguras que los servidores de la VLAN solo pueden ser accedidos por determinados tipos de tráfico procedentes de la DMZ, es decir, que están a salvo de una eventual intrusión en el servidor web.

Un saludo

Avatar de Usuario
palindromo
Usuario registrado
Mensajes: 555
Registrado: 21 Abr 2018, 15:05
Ubicación: Madrid
Agradecido: 7 veces
Agradecimiento recibido: 9 veces

Re: Arquitectura física: ubicación servidor web

Mensaje por palindromo »

Hola:

Qué de cosas en un ratito... a ver si me hago bien la composición de lugar.

La pregunta que hay que responder es:
Montijeño escribió:
16 Jul 2018, 16:56
¿Ángel o Demonio?
Y tenemos que
logos escribió:
16 Jul 2018, 17:33
1.) Peticiones que llegan por internet: son servidas por servidores web en la DMZ
2.) Peticiones que llegan a través de Red Sara (se entiende que son funcionarios): son servidas por servidores web en la VLAN de aplicaciones
Por tanto, parece que ángel con los usuarios internos y demonio con lo que viene de fuera (queda ese papel para los ciudadanos, lo cual resulta un poco elitista, pero lo obviamos).
Entonces, efectivamente, hemos de responder sí a
Montijeño escribió:
16 Jul 2018, 17:32
Pero entonces, en el caso en el que existen ambos tipos de usuario (ciudadanos que acceden desde internet y funcionarios que acceden desde VLAN/WAN ministerial/VPN), ¿se ubicarían dos servidores web (por redundancia/alta disponibilidad) más el correspondiente balanceador de cada par en cada uno de los segmentos de red (DMZ y VLAN apps)?
Y, ahora, para aliviar el hecho de que
Montijeño escribió:
16 Jul 2018, 17:32
Esto es lo que me tortura, que me parece una redundancia excesiva, ¿no?
me viene a la cabeza otro hilo, en el que comentábamos sobre cortafuegos en el sentido de que el mismo hardware puede hacer estas funciones en las dos VLAN. Con balanceadores, parecido. Es decir, no necesitamos un equipo completo (y su par redundante) para servir a cada VLAN, sino un interfaz ETH (o de la capacidad necesaria) en un mismo equipo.

Vamos, que al final no es tanto equipo. Cada servicio del dibujo no es necesariamente una máquina en el CPD.

Por último, sobre el caso
logos escribió:
16 Jul 2018, 17:33
2.5.) Peticiones que acceden por VPN que, a mi entender, podrían encajarse en cualquiera de las categorías dependiendo de la configuración del firewall entre la DMZ y la VLAN de aplicaciones
me acuerdo del supuesto de Turespaña y las oficinas en el extranjero. Ahí, la solución (página 7) ubica el terminador de túneles que da servicio a las oficinas en la VLAN de usuarios. No le veo ningún pero, así que ángel para ellos también, en mi opinión.
Desde la barrera.

Avatar de Usuario
dazu
PreparaTIC25
Mensajes: 80
Registrado: 30 Dic 2015, 14:28
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: ubicación servidor web

Mensaje por dazu »

palindromo escribió:
16 Jul 2018, 17:55
Hola:

Qué de cosas en un ratito... a ver si me hago bien la composición de lugar.

La pregunta que hay que responder es:
Montijeño escribió:
16 Jul 2018, 16:56
¿Ángel o Demonio?
Y tenemos que
logos escribió:
16 Jul 2018, 17:33
1.) Peticiones que llegan por internet: son servidas por servidores web en la DMZ
2.) Peticiones que llegan a través de Red Sara (se entiende que son funcionarios): son servidas por servidores web en la VLAN de aplicaciones
Por tanto, parece que ángel con los usuarios internos y demonio con lo que viene de fuera (queda ese papel para los ciudadanos, lo cual resulta un poco elitista, pero lo obviamos).
Entonces, efectivamente, hemos de responder sí a
Montijeño escribió:
16 Jul 2018, 17:32
Pero entonces, en el caso en el que existen ambos tipos de usuario (ciudadanos que acceden desde internet y funcionarios que acceden desde VLAN/WAN ministerial/VPN), ¿se ubicarían dos servidores web (por redundancia/alta disponibilidad) más el correspondiente balanceador de cada par en cada uno de los segmentos de red (DMZ y VLAN apps)?
Y, ahora, para aliviar el hecho de que
Montijeño escribió:
16 Jul 2018, 17:32
Esto es lo que me tortura, que me parece una redundancia excesiva, ¿no?
me viene a la cabeza otro hilo, en el que comentábamos sobre cortafuegos en el sentido de que el mismo hardware puede hacer estas funciones en las dos VLAN. Con balanceadores, parecido. Es decir, no necesitamos un equipo completo (y su par redundante) para servir a cada VLAN, sino un interfaz ETH (o de la capacidad necesaria) en un mismo equipo.

Vamos, que al final no es tanto equipo. Cada servicio del dibujo no es necesariamente una máquina en el CPD.

Por último, sobre el caso
logos escribió:
16 Jul 2018, 17:33
2.5.) Peticiones que acceden por VPN que, a mi entender, podrían encajarse en cualquiera de las categorías dependiendo de la configuración del firewall entre la DMZ y la VLAN de aplicaciones
me acuerdo del supuesto de Turespaña y las oficinas en el extranjero. Ahí, la solución (página 7) ubica el terminador de túneles que da servicio a las oficinas en la VLAN de usuarios. No le veo ningún pero, así que ángel para ellos también, en mi opinión.
Buenas , ya os lo habéis contestado vosotros casi todo :) , bien, bien,
Como mencionáis, es buena práctica de seguridad no permitir las conexiones directas desde usuarios externos (en internet) a nuestra red interna, aunque haya firewalls e IDS de por medio. La conexión debería ser: externo/internet --> DMZ y luego DMZ --> interno, no directo. De ahí lo de tener frontales web externos en DMZ para ellas.
Es cierto que tendrás "duplicados" los frontales web y sus balanceadores pero esto no supone un problema de recursos físicos excesivos ahora que en la mayoría de los casos serán máquinas virtuales. Además, estos frontales web no tendrían por qué estar limitados sólo a nuestra aplicación.
Por último mencionar que el separar los frontales web entre externos e internos no sólo ayuda a nivel de seguridad sino que también en cuanto al dimensionamiento. Lo habitual es que haya muchos más usuarios ciudadanos (y por tanto más frontales web externos) que usuarios funcionarios/internos (y por tanto menos frontales web internos). Aunque este tema de dimensionamiento ya es quizá ir a demasiado detalle salvo que os lo pidan.

En cuanto a lo que comenta logos, sí, 1. y 2. coincide con lo mencionado. El tráfico de vpn lo considero como interno (una vez superado el terminador de vpn) y por eso comentaba que iría al frontal web interno. Pero es posible considerar que deba ir a la DMZ, dependiendo de la arquitectura. Por simplicidad y no meterse en demasiadas particularidades, lo consideraría interno.
¡Ánimo y que os cunda la semana!

Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: ubicación servidor web

Mensaje por Montijeño »

No se hable más. Gana Dan Brown. Ángeles (los unos, los funcionarios) y Demonios (los otros, los ciudadanos).

¡Gracias a todos!

PD: Y lo que os vais a reír el sábado cuando pintéis la arquitectura física y os acordéis de esta bonita historia, ¿qué?

Avatar de Usuario
palindromo
Usuario registrado
Mensajes: 555
Registrado: 21 Abr 2018, 15:05
Ubicación: Madrid
Agradecido: 7 veces
Agradecimiento recibido: 9 veces

Re: Arquitectura física: ubicación servidor web

Mensaje por palindromo »

Y es que es de las pocas cosas que, año tras año, caen seguro. Y mira que son parecidas todas, en realidad. Igual se trata de ver si somos capaces de NO poner algo que realmente esté de más.
Desde la barrera.

Responder

Volver a “TERCER EXAMEN 2017”