Como seria uma DMZ simples para o cenário do servidor de banco de dados e (servidor web + camada intermediária)?

Question

Como seria uma DMZ simples para o cenário do servidor de banco de dados e (servidor web + camada intermediária)?

#1 resposta do (3 votos)
#2 resposta do (2 votos)

2

Eu tenho dois servidores Linux:

O primeiro contém um banco de dados Oracle 11G que inclui um Oracle HTTP Server
O segundo contém uma camada intermediária Java mais o servidor da web Apache e o Apache Tomcat.

Alguém mencionou para mim que eu deveria considerar uma DMZ. O objetivo é proteger o banco de dados de usuários externos. No entanto, podemos confiar nos usuários internos. Os usuários internos ainda precisarão acessar todos os aspectos do servidor de banco de dados.

Alguém poderia me ajudar a entender como seria uma DMZ simples (para pequenas empresas) nessa situação? É implementado em hardware ou software ou ambos?

Não sabendo nada sobre DMZ, estou tentando entender as coisas que eu preciso instruir meu provedor de hospedagem a fazer para implementar o DMZ (supondo que há muitas informações que precisam ser decididas em vez de apenas dizer a elas: "dê me um DMZ "). O que eu preciso dizer a eles, ou que decisões eu preciso tomar antes de abordá-los?

Existe algum motivo para alguém não querer ou precisar implementar uma DMZ no cenário acima? Ou é geralmente aceito para sempre ser uma boa ideia?

firewall linux dmz

por gkdsp 26.01.2012 / 18:12

2 respostas

2

Uma zona desmilitarizada ou DMZ é um segmento de rede que é separado de outras redes. Muitas organizações usam uma DMZ para separar suas redes locais (LANs) da Internet. Isso coloca segurança adicional entre sua rede corporativa e a Internet pública.

Itens comuns colocados em uma DMZ são servidores públicos. Por exemplo, se uma organização mantiver seu site em um servidor, esse servidor da Web poderá ser colocado na DMZ. Dessa forma, se a máquina estiver comprometida, o restante da rede da empresa não estará em perigo.

Ao conectar uma LAN à Internet, um roteador fornecerá a conexão física à Internet pública e um firewall fornecerá um gateway para impedir que dados maliciosos entrem na rede. Uma porta no firewall geralmente se conecta à rede corporativa usando um endereço interno nessa rede, permitindo que o tráfego seja enviado por indivíduos dentro da empresa para alcançar a Internet. Outra porta geralmente será configurada com um endereço público que permitirá que o tráfego da Internet chegue à organização. Essas duas portas podem permitir que dados de entrada e saída cheguem a uma organização na Internet.

por 27.01.2012 / 06:21

Tags firewall linux dmz

Cache de consulta do MySQL - o que acontece se o servidor ficar sem memória RAM? O Symantec Backup Exec 2010 não está compactando mais dados

score 3 · Accepted Answer

O ponto de uma DMZ é estabelecer um perímetro de segurança através do qual somente tráfego conhecido e desejado possa fluir. Isso pode ser feito com um dispositivo de firewall de hardware (um Cisco ASA, etc) ou com um firewall de software (Linux iptables, OpenBSD pfsense, etc). O objetivo é ter um mecanismo para arbitrar o tráfego e tomar decisões sobre quais fluxos são apropriados.

Fisicamente, a interconexão de uma DMZ à sua conexão com a Internet pode parecer algo como:

  {  the internet }----[ Firewall Device ]-----{  LAN  }
                                |
                                |
                             { DMZ }

Normalmente, uma placa de interface de rede física no dispositivo de firewall é dedicada à conexão com cada um desses segmentos (Internet, DMZ e LAN). Isso pode ser feito com VLANs para usar menos NICs físicas, mas você está começando a misturar diferentes preocupações de segurança dentro do mesmo meio físico (e isso geralmente deve ser evitado a menos que você esteja ganhando alguma vantagem específica ao fazer isso).

Assumindo que os usuários do aplicativo acessariam o servidor Apache na porta TCP 80 do "segundo servidor" (que eu chamarei de "servidor web") para usar o aplicativo, eu veria o computador do servidor web sentado em um segmento DMZ com acesso controlado pelo dispositivo de firewall criando a DMZ para:

Permitir solicitações de IPs e portas de origem arbitrária na Internet para o servidor da Web (porta TCP 80)
Permitir solicitações de portas TCP arbitrárias no servidor da Web para o servidor de banco de dados Oracle na porta do Oracle TNS (geralmente, porta TCP 1521)
Permitir solicitações de IPs e portas de origem arbitrária na LAN para a porta SSH no servidor da Web (para administração)

(Supondo que você esteja usando um dispositivo de firewall com estado para arbitrar o acesso à DMZ, não precisará especificamente criar regras para respostas às solicitações acima.)

Esta é uma visão muito simplista, mas comunica a ideia. Você provavelmente desejará deixar o servidor web fazer solicitações de DNS e talvez queira permitir que ele acesse um servidor HTTP ou HTTPS do qual baixar atualizações do sistema operacional. Eu recomendaria strongmente que contra permitisse o acesso de saída arbitrário do servidor web à Internet (porque muitas explorações dependem do computador sendo explorado, sendo capaz de baixar uma carga útil de "segundo estágio"). Se você não precisar de ninguém na Internet para administrar o servidor da Web, não permita o SSH de entrada da Internet. (Se você precisar administrá-lo de fora do local, é melhor conectar-se a uma VPN no segmento da LAN e acessar o servidor da Web a partir da LAN.)