use*_*355 5 networking security rsyslog
我有一个连接到两个虚拟局域网的防火墙路由器。第一个局域网是管理网络,第二个是 DMZ。我在 DMZ 中的虚拟机需要将系统日志消息发送到管理 VLAN 中的系统日志虚拟机。为了做到这一点,我必须启用从 DMZ 到我的 syslog 管理网络的规则。这意味着如果 DMZ 服务器受到威胁,它可以用来攻击管理局域网上的系统日志服务器。
我假设系统日志服务器必须在管理 vlan 上,因为它包含我不想在我的 DMZ 上的可访问和敏感信息。
有没有什么方法可以安全地传输这些日志,而不会从 DMZ 中暴露到我的管理网络的路径?
这实际上是一个看似复杂的问题。:) 我最喜欢的之一。
这个问题可以重述为“考虑到唯一的协议是 syslog,是否应该允许不太受信任的网络访问更受信任的网络”?
您需要权衡将系统日志服务器放置在内部的成本/收益。我个人支持将系统日志服务器驻留在内部网络中 - 它实际上是一项相当高价值的资产。
那么问题就变成了专门通过系统日志守护进程进行攻击的可能性。如果您认为您的系统日志服务器可能被破坏,您希望将其与管理网络隔离。
我个人认为,系统日志服务器被破坏的可能性非常低,但是有很多方法可以通过不同的硬件和软件防火墙组合来实现这一点。
例如,您可以将系统日志服务器物理驻留在 DMZ 中。从那里 iptables 可以允许来自 DMZ 和您的管理网络的任何主机的系统日志,然后如果仅您的管理网段需要,则限制 SSH 和 Web 访问。
或者您可以通过硬件防火墙拥有两个独立的 DMZ 子网。DMZ1 -> DMZ2 <- 管理,其中 DMZ2 包含您的系统日志服务器。
| 归档时间: |
|
| 查看次数: |
2473 次 |
| 最近记录: |