Un server web nella DMZ dovrebbe poter accedere a MSSQL nella LAN?


12

Questa dovrebbe essere una domanda di base e ho cercato di ricercarla e non sono riuscito a trovare una risposta solida.

Supponi di avere un server Web nella DMZ e un server MSSQL nella LAN. L'IMO, e quello che ho sempre ritenuto corretto, è che il server Web nella DMZ dovrebbe essere in grado di accedere al server MSSQL nella LAN (forse dovresti aprire una porta nel firewall, sarebbe ok IMO).

I nostri ragazzi di rete ora ci stanno dicendo che non possiamo avere alcun accesso al server MSSQL nella LAN dalla DMZ. Dicono che qualsiasi cosa nella DMZ dovrebbe essere accessibile DALLA LAN (e dal web) e che la DMZ non dovrebbe avere accesso alla LAN, così come il web non ha accesso alla LAN.

Quindi la mia domanda è: chi ha ragione? La DMZ dovrebbe avere accesso alla / dalla LAN? Oppure, dovrebbe essere severamente vietato l'accesso alla LAN dalla DMZ. Tutto ciò presuppone una tipica configurazione DMZ.

Risposte:


14

Una corretta sicurezza della rete afferma che i server DMZ non dovrebbero avere accesso alla rete "Trusted". La rete attendibile può accedere alla DMZ, ma non viceversa. Per i server Web con backup DB come il tuo questo può essere un problema, motivo per cui i server di database finiscono in DMZ. Solo perché si trova in una DMZ non significa che DEVE avere accesso pubblico, il tuo firewall esterno può comunque impedire qualsiasi accesso ad esso. Tuttavia, il server DB stesso non ha accesso all'interno della rete.

Per i server MSSQL, probabilmente hai bisogno di una seconda DMZ a causa della necessità di parlare con AD DC come parte del suo normale funzionamento (a meno che tu non stia usando account SQL anziché integrati nel dominio, a quel punto questo è discutibile). Quella seconda DMZ ospiterebbe i server Windows che necessitano di un accesso pubblico di qualche tipo, anche se prima viene inviato un proxy tramite un web server. Gli addetti alla sicurezza della rete si sentono ottusi quando considerano le macchine di dominio che hanno accesso pubblico ad accedere ai controller di dominio, il che può essere una vendita difficile. Tuttavia, Microsoft non lascia molta scelta in questa materia.


@Allen - non sappiamo cosa dicono i tuoi ragazzi della rete. @ Sysadmin1138 ti sta dicendo un buon design.
mfinni,

Yah capisco quello che sta dicendo. Penso che mi sia stato detto in passato che il nostro mssql era sulla LAN quando era davvero in un'altra DMZ come lui descrive
Allen

Come si adatta alla conformità PCI, che impone che il server database NON risieda nella DMZ? Questo è il problema che sto affrontando, consentendo ai server web sull'accesso DMZ al server SQL che deve trovarsi sulla LAN o su un altro DMZ ...
Supporto IT

@IT Supporto che a volte viene risolto aggiungendo un altro livello DMZ. Layer1 è il tuo webfarm, layer2 è la tua DB farm. Entrambi i livelli sono protetti da firewall da qualsiasi altro livello.
sysadmin1138

4

Sono con i tuoi ragazzi in rete, in teoria. Qualsiasi altra disposizione significa che quando qualcuno compromette il server Web hanno una porta nella tua LAN.

Naturalmente, la realtà deve svolgere un ruolo: se hai bisogno di dati live accessibili sia dalla DMZ che dalla LAN, allora hai davvero poche opzioni. Probabilmente suggerirei che un buon compromesso sarebbe una sottorete interna "sporca" che i server come il server MSSQL potrebbero vivere. Quella sottorete sarebbe accessibile sia dalla DMZ che dalla LAN, ma non poteva essere in grado di avviare connessioni alla LAN e alla DMZ.


2
Questo è quello che facciamo. I server web pubblici sono in una DMZ. I server DB a cui eseguono le query si trovano in un'altra DMZ. Nessuno di questi può stabilire connessioni alla rete aziendale, sebbene la rete aziendale possa effettuare connessioni a tali reti.
mfinni,

Veramente? (chiedendo, non sarcastico) Non significa solo che hanno un modo per raggiungere UNO dei tuoi server (o istanze) SQL? Che è una porta nella LAN, ma piuttosto stretta. Dovresti quindi compromettere l'esatto servizio su quel server per aprire la porta. Una porta molto stretta penso. Mettere i server in una seconda DMZ consente comunque a chiunque di compromettere l'accesso IIS ai dati in quel SQL.
Gomibushi,

1

Se tutto ciò che stai lasciando passare attraverso il firewall sono connessioni SQL dal server DMZ al server MS-SQL, non dovrebbe essere un problema.


-1

Sto pubblicando la mia risposta perché voglio vedere come ha votato ...

Il server Web nella DMZ dovrebbe essere in grado di accedere al server MSSQL nella LAN. In caso contrario, come proponi di accedere a un server MSSQL nella LAN? Non potresti!


"Potrebbe" e "Dovrebbe" sono due cose molto diverse.
ITGuy24

Bene, quindi come proponi un sito web basato su database eseguito sul livello www?
Allen
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.