リモートサイトが本部へバックアップ接続を持つVPNの場合、インターネットから直接入るトンネルはエッジファイアウォールとIDSを通過した後、コンセントレータとして機能するルータ/セキュリティ装置に終端すべきであると思われます。
私の質問は、そのコンセントレータからの復号化されたセグメントがネットワークのコアに直接触れるべきか、それとも再びファイアウォールを通過させるべきかということです。
一つには、すべてが 一定のものでないことは理解していますが、一般的な「ベストプラクティス」感を求めています。
また、リモートサイトにプロバイダー管理のL3VPNが主要なリンクとしてある場合、それもコアに到達する前にファイアウォールを通すべきですか?そのためのトンネルも張るべきですか?
例として、L3VPNとIPSEC VPNはともに「会合」してトンネルを越えたルーティングを共有しますか?
あなたは私よりも詳しいに違いありません、だから無知を許してください、しかし一つだけポイントを述べたいです。暗号化されたトラフィックをきちんとスキャンできないのに、なぜIDS/IPSでトラフィックを遅くさせる必要があるのでしょうか? 解読されてネットワーク上の意図された宛先に向かって裸のままスキャンすればいいです。
これはエッジファイアウォールとIDSを通過させるべきだ、ルータ/セキュリティ装置に終端する前に。
なぜですか? SSLVPNとMITMのインターセプトを除き、これらのデバイスはトラフィックに何をすることができますか?
そのコンセントレータからの復号化されたセグメントはネットワークのコアに直接触れるべきか、それとも再びファイアウォールを通すべきか?
私はVPN接続が終端された後にファイアウォールを通るのを見たことはほとんどありません。 多くのコンセントレータ(ASAsやFortigatesのような)はすでに基本的なIPS機能(スキャン反対など)を持っています。リモートサイトのセキュリティはホストのセキュリティに依存していて、そのソフトウェアはネットワークよりも多くのデータにアクセスできるからです。
tl;dr 復号化されたセグメントをコアへルーティングするだけです
また、リモートサイトにプロバイダー管理のL3VPNが主要リンクとしてある場合、それもコアに到達する前にファイアウォールを通すべきですか? そのためのトンネルも張るべきですか?
一般的に、MPLSのL3VPNにはその上に暗号化を施すことを推奨します。多くのプロバイダーはCE間の暗号化を保証しないためです。これは通常、ファイアウォールのような装置で終了させることを意味しますが、専用のセキュリティ装置でない場合は基本的なIDSとIPSを得るために多くの非標準機能を有効にする必要があるかもしれません。