Um servidor da Web na DMZ deve ter permissão para acessar o MSSQL na LAN?

12

Essa deve ser uma pergunta muito básica e tentei pesquisar e não consegui encontrar uma resposta sólida.

Digamos que você tenha um servidor Web na DMZ e um servidor MSSQL na LAN. A IMO, e o que eu sempre assumi estar correto, é que o servidor da Web na DMZ deve poder acessar o servidor MSSQL na LAN (talvez você precise abrir uma porta no firewall, isso seria ok IMO).

Nosso pessoal de rede agora está nos dizendo que não podemos ter acesso ao servidor MSSQL na LAN a partir da DMZ. Eles dizem que qualquer coisa na DMZ deve ser acessível apenas a partir da LAN (e da Web) e que a DMZ não deve ter acesso à LAN, assim como a Web não tem acesso à LAN.

Então, minha pergunta é: quem está certo? A DMZ deve ter acesso à / da LAN? Ou, deve ser estritamente proibido acessar a LAN a partir da DMZ. Tudo isso assume uma configuração típica da DMZ.

networking local-area-network dmz Allen
fonte

Respostas:

14

A segurança de rede adequada indica que os servidores DMZ não devem ter acesso à rede 'Confiável'. A rede confiável pode acessar a DMZ, mas não o contrário. Para servidores Web com suporte a DB como o seu, isso pode ser um problema, e é por isso que os servidores de banco de dados acabam em DMZs. Só porque está em uma DMZ, não significa que ele tenha acesso público, seu firewall externo ainda pode impedir todo o acesso a ele. No entanto, o próprio servidor de banco de dados não tem acesso a dentro da rede.

Para servidores MSSQL, você provavelmente precisará de uma segunda DMZ devido à necessidade de conversar com os AD DCs como parte de seu funcionamento normal (a menos que você esteja usando contas SQL em vez de integradas ao domínio, quando isso for discutível). Essa segunda DMZ seria o lar de servidores Windows que precisam de algum tipo de acesso público, mesmo que seja proxy por meio de um servidor Web primeiro. O pessoal da Segurança de rede fica irritado quando considera que máquinas domadas com acesso público obtêm acesso a controladores de domínio, o que pode ser difícil de vender. No entanto, a Microsoft não deixa muitas opções nesse assunto.

sysadmin1138
fonte
@ Allen - não sabemos o que seus funcionários estão dizendo. @ Sysadmin1138 está lhe dizendo um bom design.
mfinni
Sim, eu entendo o que ele está dizendo. Eu acho que eu tenho dito no passado que a nossa mssql estava na LAN quando foi realmente em outro DMZ como ele descreve
Allen
Como isso se encaixa na conformidade com o PCI, que determina que o servidor de banco de dados NÃO reside na DMZ? Esse é o problema que estou lidando, permitindo que servidores web no acesso DMZ com o servidor SQL que precisa ser em qualquer LAN ou outra DMZ ...
Suporte de TI
@IT Suporte que às vezes é resolvido adicionando outra camada DMZ. A camada1 é o seu webfarm, a camada2 é o seu farm de banco de dados. Ambas as camadas são protegidas por firewall de qualquer outra camada.
sysadmin1138
4

Estou com o pessoal da rede, em teoria. Qualquer outro arranjo significa que, quando alguém compromete o servidor da Web, ele tem uma porta na sua LAN.

Obviamente, a realidade tem um papel a desempenhar - se você precisar de dados ao vivo acessíveis a partir da DMZ e da LAN, então você realmente tem poucas opções. Eu provavelmente sugeriria que um bom compromisso seria uma sub-rede interna "suja" que servidores como o servidor MSSQL poderiam viver. Essa sub-rede seria acessível a partir da DMZ e da LAN, mas protegida por firewall por não poder iniciar conexões com a LAN e a DMZ.

Cry Havok
fonte
2
Isto é o que fazemos. Os servidores da web públicos estão em uma DMZ. Os servidores de banco de dados para os quais eles fazem consultas estão em outra DMZ. Nenhum deles pode fazer conexões com a rede corporativa, embora a rede corporativa possa fazer conexões com eles.
mfinni
Verdade? (perguntando, não sarcástico) Isso não significa apenas que eles têm uma maneira de alcançar UM de seus servidores SQL (ou instâncias)? Que é uma porta para a LAN, mas bem estreita. Você precisaria comprometer o serviço exato no servidor para abrir a porta. Uma porta muito estreita, eu acho. A colocação dos servidores em uma segunda DMZ ainda permite que qualquer pessoa comprometa o acesso do IIS aos dados nesse SQL.
Gomibushi 27/08/2012
1

Se tudo o que você está deixando passar pelo firewall são conexões SQL do servidor DMZ para o servidor MS-SQL, isso não deve ser um problema.

David Mackintosh
fonte
-1

Estou postando minha resposta porque quero ver como foi votada ...

O servidor da Web na DMZ deve poder acessar o servidor MSSQL na LAN. Se não puder, como você propõe obter acesso a um servidor MSSQL na LAN? Você não conseguiu!

Allen
fonte
'Poderia' e 'Deveria' são duas coisas muito diferentes.
ITGuy24
Certo, então como você propõe um site orientado a banco de dados executado na camada www?
Allen