我有一个防火墙路由器,它连接到两个虚拟局域网。第一个局域网是管理网络,第二个是 DMZ。DMZ 中的虚拟机需要将系统日志消息发送到管理 vlan 中的系统日志虚拟机。为了做到这一点,我必须启用从 DMZ 到我的管理网络的系统日志规则。这意味着如果 DMZ 服务器受到威胁,它可能会被用来攻击管理局域网上的系统日志服务器。
我认为系统日志服务器一定在管理 vlan 上,因为它包含我不想在我的 DMZ 上看到的宝贵而敏感的信息。
有没有办法安全地传输这些日志,而不会暴露从 DMZ 到我的管理网络的路径?
答案1
这实际上是一个看似复杂的问题。:)我最喜欢的问题之一。
问题可以重新表述为“假设唯一的协议是 syslog,那么是否应该允许不太可信的网络访问更可信的网络”?
您需要权衡将 syslog 服务器放在内部的成本/收益。我个人支持将 syslog 服务器放在内部网络中 - 它实际上是一项相当有价值的资产。
那么问题就变成了通过 syslog 守护进程进行攻击的可能性。如果您认为您的 syslog 服务器可能被攻破,您需要将其与您的管理网络隔离。
我个人认为,系统日志服务器遭到破坏的可能性很小,但有很多方法可以通过硬件和软件防火墙的不同组合来实现这一点。
例如,您可以将 syslog 服务器物理地驻留在 DMZ 中。这样,iptables 就可以允许来自 DMZ 和您的管理网络中的任何主机的 syslog,然后根据需要仅限制来自您的管理段的 SSH 和 Web 访问。
或者您可以通过硬件防火墙拥有两个独立的 DMZ 子网。DMZ1 -> DMZ2 <- Admin,其中 DMZ2 包含您的 syslog 服务器。
答案2
将系统日志服务器放入 DMZ 并允许从管理网络发起的轮询连接(例如 rsync)。
记录来自系统日志服务器的任何 SYN 请求,因为这清楚地表明存在入侵企图