¿Se debe permitir que un servidor web en la DMZ acceda a MSSQL en la LAN?

12

Esta debería ser una pregunta muy básica e intenté investigarla y no pude encontrar una respuesta sólida.

Supongamos que tiene un servidor web en la DMZ y un servidor MSSQL en la LAN. OMI, y lo que siempre he asumido que es correcto, es que el servidor web en la DMZ debería poder acceder al servidor MSSQL en la LAN (tal vez tendrías que abrir un puerto en el firewall, eso sería ok IMO).

Nuestros chicos de redes ahora nos dicen que no podemos tener acceso al servidor MSSQL en la LAN desde la DMZ. Dicen que cualquier cosa en la DMZ solo debe ser accesible desde la LAN (y la web), y que la DMZ no debe tener acceso a la LAN, así como la web no tiene acceso a la LAN.

Entonces mi pregunta es, ¿quién tiene razón? ¿Debe la DMZ tener acceso a / desde la LAN? O, debe estar estrictamente prohibido el acceso a la LAN desde la DMZ. Todo esto supone una configuración típica de DMZ.

networking local-area-network dmz Allen
fuente

Respuestas:

14

La seguridad de red adecuada indica que los servidores DMZ no deberían tener acceso a la red 'Confiable'. La red de confianza puede llegar a la DMZ, pero no al revés. Para servidores web respaldados por DB como el suyo, esto puede ser un problema, por lo que los servidores de bases de datos terminan en DMZ. El hecho de que esté en una DMZ no significa que TIENE que tener acceso público, su firewall externo aún puede evitar todo acceso a él. Sin embargo, el servidor de base de datos en sí no tiene acceso dentro de la red.

Para los servidores MSSQL, probablemente necesite una segunda DMZ debido a la necesidad de hablar con AD DC como parte de su funcionamiento normal (a menos que esté usando cuentas SQL en lugar de integradas en el dominio, en este punto esto es discutible). Ese segundo DMZ sería el hogar de servidores de Windows que necesitan acceso público de algún tipo, incluso si primero se representa a través de un servidor web. Las personas de Network Security se ponen nerviosas cuando consideran que las máquinas dominadas que tienen acceso público obtienen acceso a DC, lo que puede ser difícil de vender. Sin embargo, Microsoft no deja muchas opciones en este asunto.

sysadmin1138
fuente
@Allen: no sabemos lo que dicen tus amigos de redes. @ Sysadmin1138 te está diciendo un buen diseño.
mfinni
Yah, entiendo lo que está diciendo. Creo que me han dicho en el pasado que nuestro mssql estaba en la LAN cuando realmente estaba en otra DMZ como él describe
Allen
¿Cómo encaja esto con el cumplimiento de PCI, que exige que el servidor de base de datos NO resida en la DMZ? Ese es el tema que estoy tratando, permitiendo que los servidores web en la DMZ acceso al servidor SQL que tiene que estar en la LAN u otra zona de distensión ...
Soporte de TI
Soporte @IT que a veces se resuelve agregando otra capa DMZ. Layer1 es su granja web, layer2 es su granja de DB. Ambas capas están cortafuegos desde cualquier otra capa.
sysadmin1138
4

Estoy con sus chicos de redes, en teoría. Cualquier otra disposición significa que cuando alguien compromete el servidor web tiene una puerta a su LAN.

Por supuesto, la realidad tiene que jugar un papel: si necesita datos en vivo accesibles desde la DMZ y la LAN, realmente tiene pocas opciones. Probablemente sugeriría que un buen compromiso sería una subred interna "sucia" en la que podrían vivir servidores como el servidor MSSQL. Esa subred sería accesible tanto desde la DMZ como desde la LAN, pero no pudo iniciar conexiones a la LAN y la DMZ.

Llora Havok
fuente
2
Esto es lo que hacemos. Los servidores web públicos están en una DMZ. Los servidores de bases de datos a los que hacen consultas están en otra DMZ. Ninguno de los dos puede hacer conexiones a la red corporativa, aunque la red corporativa puede hacer conexiones a ellos.
mfinni
De Verdad? (preguntando, no sarcástico) ¿No solo significa que tienen una manera de llegar a UNO de sus servidores SQL (o instancias)? Que es una puerta a la LAN, pero bastante estrecha. Luego, tendría que comprometer ese servicio exacto en ese servidor para abrir la puerta. Una puerta muy estrecha, creo. Poner los servidores en una segunda DMZ todavía permite que cualquiera que comprometa el acceso de IIS a los datos en ese SQL.
Gomibushi
1

Si todo lo que está dejando pasar a través del firewall son conexiones SQL del servidor DMZ al servidor MS-SQL, entonces no debería ser un problema.

David Mackintosh
fuente
-1

Estoy publicando mi respuesta porque quiero ver cómo se votó ...

El servidor web en la DMZ debería poder acceder al servidor MSSQL en la LAN. Si no puede, ¿cómo propone obtener acceso a un servidor MSSQL en la LAN? ¡No pudiste!

Allen
fuente
'Podría' y 'Debería' son dos cosas muy diferentes.
ITGuy24
Bien, entonces, ¿cómo propones que se ejecute un sitio web basado en bases de datos en el nivel www?
Allen