网络 – 将网络日志服务器放入DMZ主机的网络中最佳位置?

我有一个连接到两个虚拟Lans的防火墙路由器.第一个局域网是管理网络,第二个局域网是DMZ.我在DMZ中的虚拟机需要将syslog消息发送到admin vlan中的syslog vm.为了做到这一点,我必须启用从DMZ到我的管理网络的规则来进行syslog.这意味着如果DMZ服务器遭到破坏,它可能会用于攻击管理域LAN上的syslog服务器.
我假设syslog服务器必须在admin vlan上,因为它包含我在DMZ上不需要的可读和敏感信息.
有没有办法安全地传输theese日志而不暴露我的管理网络从DMZ的路径?
最佳答案
这实际上是一个看似复杂的问题. :) 我最喜欢的之一.

这个问题可以重申为“如果唯一的协议是系统日志,应该允许不太可信的网络访问更可信的网络”?

您需要权衡将syslog服务器置于内部的成本/收益.我个人支持让syslog服务器驻留在内部网络中 – 它实际上是一个相当高价值的资产.

然后问题就变成了特别是通过syslog守护进程攻击的可能性.如果您认为您的系统日志服务器可能被破坏,您希望将其与管理网络隔离.

我个人认为违反系统日志服务器的可能性非常低,但有很多方法可以通过硬件和软件防火墙的不同组合来实现.

例如,您可以让您的系统日志服务器实际驻留在DMZ中.从那里iptables可以允许来自DMZ和管理网络的任何主机的syslog,然后根据需要仅限制管理段限制SSH和Web访问.

或者您可以通过硬件防火墙拥有两个独立的DMZ子网. DMZ1 – > DMZ2< - Admin其中DMZ2包含您的syslog服务器.

转载注明原文:网络 – 将网络日志服务器放入DMZ主机的网络中最佳位置? - 代码日志