Um servidor web no DMZ deve ter permissão para acessar o MSSQL na LAN?

9

Esta deve ser uma pergunta muito básica e tentei pesquisá-la e não consegui encontrar uma resposta sólida.

Digamos que você tenha um servidor da web na DMZ e um servidor MSSQL na LAN. IMO, e o que eu sempre achei estar correto, é que o servidor web no DMZ deve ser capaz de acessar o servidor MSSQL na LAN (talvez você tenha que abrir uma porta no firewall, isso seria ok IMO).

Nossos profissionais de rede agora estão nos dizendo que não podemos ter acesso ao servidor MSSQL na LAN a partir da DMZ. Eles dizem que qualquer coisa na DMZ deve ser acessível somente pela LAN (e pela web), e que a DMZ não deve ter acesso à LAN, assim como a web não tem acesso à LAN.

Então, minha pergunta é: quem está certo? A DMZ deve ter acesso a / da LAN? Ou, o acesso à LAN da DMZ deve ser estritamente proibido. Tudo isso pressupõe uma configuração típica da DMZ.

    
por Allen 24.03.2010 / 17:53

4 respostas

11

A segurança adequada da rede indica que os servidores DMZ não devem ter acesso à rede 'Confiável'. A rede confiável pode chegar à DMZ, mas não ao contrário. Para servidores web com suporte a banco de dados como o seu, isso pode ser um problema, e é por isso que os servidores de banco de dados acabam em DMZs. Só porque está em um DMZ não significa que ele tenha acesso público, seu firewall externo ainda pode impedir todo o acesso a ele. No entanto, o próprio servidor de banco de dados não tem acesso dentro da rede.

Para servidores MSSQL, você provavelmente precisará de uma segunda DMZ devido à necessidade de falar com o AD DC como parte de seu funcionamento normal (a menos que esteja usando contas SQL em vez de integradas ao domínio, ponto no qual isso é discutível). Esse segundo DMZ seria o lar de servidores Windows que precisam de algum tipo de acesso público, mesmo que ele seja intermediado por proxy por meio de um servidor da Web primeiro. As pessoas de Segurança de Rede ficam mais irritadas quando consideram que as máquinas dominadas com acesso público obtêm acesso aos DCs, o que pode ser difícil de vender. No entanto, a Microsoft não deixa muita escolha neste assunto.

    
por 24.03.2010 / 19:02
4

Eu estou com seus caras da rede, em teoria. Qualquer outro arranjo significa que quando alguém compromete o servidor web, ele tem uma porta para sua LAN.

Claro, a realidade tem que desempenhar um papel - se você precisa de dados ao vivo acessíveis tanto da DMZ quanto da LAN, então você realmente tem poucas opções. Eu provavelmente sugeriria que um bom compromisso seria uma sub-rede interna "suja" que servidores como o servidor MSSQL poderiam viver. Essa sub-rede seria acessível a partir da DMZ e da LAN, mas protegida contra o firewall de poder iniciar conexões com a LAN e a DMZ.

    
por 24.03.2010 / 18:27
0

Se tudo o que você está permitindo através do firewall são conexões SQL do servidor DMZ para o servidor MS-SQL, então não deve ser um problema.

    
por 24.03.2010 / 18:21
-1

Estou postando minha resposta porque quero ver como ela foi votada ...

O servidor da Web na DMZ deve poder acessar o servidor MSSQL na LAN. Se não puder, como você propõe obter acesso a um servidor MSSQL na LAN? Você não pode!

    
por 24.03.2010 / 18:01