Användarvisningsbild
westminister
Respekterad Medlem
Inlägg: 131
Blev medlem: 16 apr 2016, 13:47

Dela information: Internt till DMZ?

17 dec 2016, 16:44

Diskuterade med en person häromdagen gällande nätverksdesign och hur det är enklast/mest säkert att dela information mellan ett internt nätverk och ett DMZ hos ett företag. Ponera att man planerar att sätta en webbserver i DMZ, mot internet, men är osäker på var man ska placera databasservern.

Han menar på att man endast bör öppna i brandväggen inifrån och ut, för att sedan pusha informationen ut till en databasserver på DMZ istället för att öppna så att möjlighet finns för webbservern på DMZ att skriva in i en databas internt. Det låter väl enligt min mening vettigt och rimligt, men hur fungerar det i praktiken att göra på detta sätt och hur fungerar det i andra större miljöer? Finns det andra sätt? Normalt sett har man ju ett DMZ för att man inte vill dela resurser från båda ställen, men hur gör man rent informationsmässigt? Är pusha informationen ett bra alternativ eller bör man se över andra metoder? Vilka?

Hur fungerar det där man har t.ex. webbserver i DMZ och där man önskar ta del av inmatad information internt? T.ex. kunder lägger beställningar eller annan information som man önskar bearbeta i det interna nätverket?
keybase.io/westminister | westminister[at]swehack.org

yadayada
Inlägg: 1
Blev medlem: 08 jun 2015, 10:19

Re: Dela information: Internt till DMZ?

18 aug 2017, 09:14

Om informationsflödet endast är utgående, dvs internt -> dmz -> internet så bör man pusha informationen från interna nätet till web-servern på dmz.

Om det däremot kommer information *från* internet *till* dmz (t ex om besökare fyller i formulär, laddar upp filer osv) så fungerar såklart inte den approachen. Informationen kan fortfarande hämtas genom att en insides-host initierar en *pull* av informationen. Detta är säkrare än att en server på dmz trycker informationen inåt.

Om informationen hamnar på en databas är det (om möjligt) bättre att databas-servern också står på ett dmz, ett annat dmz än webservern. På så sätt får man ett abstraktionslager till: internet -> web-dmz -> databaslager -> interna nätet.

Vägvalet beror helt på hur informationen ska flöda, hur ofta den måste uppdateras och säkerhetskraven. Men grundprincipen är att ju fler lager (dmz) desto säkrare. Och det är alltid säkrare om en session etableras från en säkrare zon mot en osäkrare, än tvärtom.

Användarvisningsbild
westminister
Respekterad Medlem
Inlägg: 131
Blev medlem: 16 apr 2016, 13:47

Re: Dela information: Internt till DMZ?

25 aug 2017, 21:57

Det låter vettigt precis som du säger att man hämtar informationen från en säkrare zon, men hur "tvättar" man informationen så att den är ofarlig att sedan hanteras internt? Jag tänker mig filer som bilder, dokument, media som laddats upp av utomstående användare. Har lite delad inställning till att skanna filer i sandbox då en känd teknik för att undvika dessa är att inte exekvera malware direkt, utan att låta det ligga inaktiva i t.ex. 10 minuter innan det exekveras, och på så sätt undvika detektering. Vet att det finns möjlighet att extrahera innehåll ur en fil, ta bort allt aktivt innehåll, och sedan kopiera in det i ett nytt dokument, men kan tänka mig att detta inte fungerar inom alla typer av filer - vilket leder till frågan, hur gör man då?
keybase.io/westminister | westminister[at]swehack.org

Användarvisningsbild
sebastian
Inlägg: 139
Blev medlem: 29 apr 2016, 10:05
Områden: proxy,antivirus
Kontakt: Twitter

Re: Dela information: Internt till DMZ?

12 okt 2017, 23:47

men hur "tvättar" man informationen så att den är ofarlig
Enklaste är att konvertera till ett rått format som inte har något som helst stöd för metadata (BMP, WAV, TXT). Och sedan konvertera till önskat format. En PDF kan exempelvis konverteras till BMP. Ja, filen blir skitstor. Sedan kan du konvertera BMP:arna till PNG, och sedan stoppa PNG-filerna i en ny PDF.
Vips har du tvättat PDFen från allt som kan tänkas vara skadligt.

Användarvisningsbild
deletedX
Respekterad Medlem
Inlägg: 131
Blev medlem: 17 okt 2014, 11:55

Re: Dela information: Internt till DMZ?

13 okt 2017, 15:44

Enklaste är att konvertera till ett rått format som inte har något som helst stöd för metadata (BMP, WAV, TXT). Och sedan konvertera till önskat format. En PDF kan exempelvis konverteras till BMP. Ja, filen blir skitstor. Sedan kan du konvertera BMP:arna till PNG, och sedan stoppa PNG-filerna i en ny PDF.
Vips har du tvättat PDFen från allt som kan tänkas vara skadligt.
Ibland förstår jag mig inte på dig.

Användarvisningsbild
sebastian
Inlägg: 139
Blev medlem: 29 apr 2016, 10:05
Områden: proxy,antivirus
Kontakt: Twitter

Re: Dela information: Internt till DMZ?

16 okt 2017, 14:42

Ibland förstår jag mig inte på dig.
Vad är det du inte förstår?
Om du tänker dig att du har en JPG-bild. Denna kan ju innehålla metadata och annat jox som kan utgöra en säkerhetsbrist. Tänk injicerad HTML, men också buffer overflows, vulns och sådant.
Om du nu konverterar denna bild till ett rådataformat, detta gör du på en dator i den osäkra zonen (ifall bilden innehåller skadligheter som exekveras på datorn), t.ex. BMP, så kommer ju all sådan information skalas bort. Även säkerhetsbrister typ som buffer overflows i komprimering & dataformat försvinner.
Lämpligen skickar du sedan denna BMP till insidan den säkra zonen. (givetvis sker det genom hämtning så som beskrivet)
Sedan konverterar du tillbaka råbilden till ditt önskade format, t.ex. JPG eller PNG.
Brandväggen mellan säker och osäker zon måste altså vara ställd på att enbart släppa igenom säkra format, förslagsvis genom en proxy, så även om den datorn som har hand om konverteringen till BMP blir ägd, så skall inte det säkra nätet hamna i risk.

Användarvisningsbild
deletedX
Respekterad Medlem
Inlägg: 131
Blev medlem: 17 okt 2014, 11:55

Re: Dela information: Internt till DMZ?

16 okt 2017, 18:16

Vad är det du inte förstår?
Om du tänker dig att du har en JPG-bild. Denna kan ju innehålla metadata och annat jox som kan utgöra en säkerhetsbrist. Tänk injicerad HTML, men också buffer overflows, vulns och sådant.
Om du nu konverterar denna bild till ett rådataformat, detta gör du på en dator i den osäkra zonen (ifall bilden innehåller skadligheter som exekveras på datorn), t.ex. BMP, så kommer ju all sådan information skalas bort. Även säkerhetsbrister typ som buffer overflows i komprimering & dataformat försvinner.
Lämpligen skickar du sedan denna BMP till insidan den säkra zonen. (givetvis sker det genom hämtning så som beskrivet)
Sedan konverterar du tillbaka råbilden till ditt önskade format, t.ex. JPG eller PNG.
Brandväggen mellan säker och osäker zon måste altså vara ställd på att enbart släppa igenom säkra format, förslagsvis genom en proxy, så även om den datorn som har hand om konverteringen till BMP blir ägd, så skall inte det säkra nätet hamna i risk.
Jag förstod vad du menade. Jag förstår mig inte på dig.

Ibland, nån gång då och då, skriver du något som talar för att du vet vad du pratar om. Oftast skriver du en massa trams som är helt orealistiskt, däremot, varför jag blir kluven till dig.

Men jag ska lämna tråden snarare än att låta den handla om mina åsikter om dig.

Användarvisningsbild
westminister
Respekterad Medlem
Inlägg: 131
Blev medlem: 16 apr 2016, 13:47

Re: Dela information: Internt till DMZ?

18 okt 2017, 20:47

Om informationsflödet endast är utgående, dvs internt -> dmz -> internet så bör man pusha informationen från interna nätet till web-servern på dmz.

Om det däremot kommer information *från* internet *till* dmz (t ex om besökare fyller i formulär, laddar upp filer osv) så fungerar såklart inte den approachen. Informationen kan fortfarande hämtas genom att en insides-host initierar en *pull* av informationen. Detta är säkrare än att en server på dmz trycker informationen inåt.
Hur ser du på situationen där en användare laddar upp rörliga bilder eller ljud? Hur ska denna information hanteras för att kunna användas internt?
Enklaste är att konvertera till ett rått format som inte har något som helst stöd för metadata (BMP, WAV, TXT). Och sedan konvertera till önskat format. En PDF kan exempelvis konverteras till BMP. Ja, filen blir skitstor. Sedan kan du konvertera BMP:arna till PNG, och sedan stoppa PNG-filerna i en ny PDF.
Vips har du tvättat PDFen från allt som kan tänkas vara skadligt.
Ser du denna metod som den enda eller finns det andra sätt? Jag ser detta som en utmaning att göra om filerna är av lite större storlek eller t.ex. på ljud/videoklipp osv, eller har jag fel? Om ja, varför? Mig veterligen är heller inte "threat extraction", dvs. extrahera materialet ur filen och skapa en ny fil med detta innehåll, möjligt att genomföra på andra filtyper än dokument av olika slag.
keybase.io/westminister | westminister[at]swehack.org

Användarvisningsbild
sebastian
Inlägg: 139
Blev medlem: 29 apr 2016, 10:05
Områden: proxy,antivirus
Kontakt: Twitter

Re: Dela information: Internt till DMZ?

22 okt 2017, 03:27

av lite större storlek
Filer av större storlek är ju oftast medieinnehåll, och de kan hanteras i block. Säg en film från en övervakningskamera på 2 timmar på sisådär ~20 GB.
Det är ju inget större problem att läsa in de första 10 minuterna (ca 150 mb), processa, skicka över till säkert nät, konvertera tillbaka.

Alternativt strömmar man över materialet över t.ex. en VGA-över-IP-lösning, och omkonstruerar materialet i andra änden. Då tar det ingen lagringsplats i anspråk, samtidigt som att genom att använda VGA-hårdvara för att överföra materialet gör att alla möjligheter att utnyttja sig av exploits/vulns på den säkra sidan försvinner helt.
möjligt att genomföra på andra filtyper än dokument av olika slag.
Ja, det är enda sättet om man vill skydda sig mot vulns i t.ex. PDF-läsare och sådant.

Man kan också göra så att den säkra sidan fjärrstyr den osäkra datorn över en KVM-över-IP lösning t.ex. och därmed kan man på ett skyddat sätt läsa dokument och sådant - innehåller dokumenten något fult så blir bara den osäkra datorn smittad.

Men vill man ha över dokumenten på den säkra sidan så är tyvärr detta det enda man kan göra.

Går att göra på i stort sett alla filformat förutom program i form av objektkod, samt förutom proprietära filformat.
Program i form av objektkod är ju aldrig säkra att skicka över på något sätt.
Och proprietära filformat får man skippa.

Körbar kod i källkodsformat kan till exempel omvandlas till .txt
Bilder, oavsett format, kan omvandlas till .bmp
Dokument innehållandet bilder, kan omvandlas till .bmp också
Dokument med enbart text kan omvandlas till .txt
Ljud kan omvandlas till .wav
Mejl (.eml) & hemsidor är ju dokument, med bilder. De kan konverteras ner till .bmp också.
Film kan också omvandlas till något rådataformat - känner inte till något just nu på rak arm som saknar möjlighet till sårbarheter.

Sedan finns det format som är säkra att "släppa igenom" utan att peta på det.