我有一个防火墙的路由器连接到两个虚拟的Lans。 第一个LAN是一个pipe理networking,第二个是DMZ。 DMZ中的我的虚拟机需要将syslog消息发送到pipe理员vlan中的syslog vm。 为了做到这一点,我必须启用从DMZ到我的pipe理员networkingsyslog的规则。 这意味着如果DMZ服务器受到攻击,可以用来攻击pipe理局域网上的系统日志服务器。
我假设系统日志服务器必须在pipe理员虚拟机上,因为它包含我不想在我的DMZ上的可变和敏感信息。
有没有办法安全地传输这些日志,而不暴露我的pipe理networking从DMZ的path?
这实际上是一个看似复杂的问题。 :) 我最喜欢的之一。
这个问题可以重申为“如果一个不太可信的networking被允许访问一个更可信的networking,因为唯一的协议是系统日志”?
您需要权衡放置系统日志服务器的成本/收益。 我个人是系统日志服务器驻留在内部networking的支持者 – 它实际上是一个相当高价值的资产。
这个问题就成为特别通过syslog守护进程攻击的可能性。 如果您认为您的系统日志服务器可能被破坏,您希望将其与pipe理networking隔离。
我个人认为,违反系统日志服务器的可能性相当低,但有很多方法可以通过硬件和软件防火墙的不同组合来实现。
例如,你可以让你的系统日志服务器物理地驻留在DMZ中。 从那里iptables可以允许来自任何主机DMZ和您的pipe理networking的系统日志,然后限制SSH和Web访问,如果需要从您的pipe理段。
或者你可以通过你的硬件防火墙有两个独立的DMZ子网。 DMZ1 – > DMZ2 < – pipe理员其中DMZ2包含您的系统日志服务器。
将系统日志服务器放在DMZ中,并允许从pipe理networking启动轮询连接(例如rsync)。
logging来自系统日志服务器的任何SYN请求,因为这将清楚地表明入侵企图