Un serveur Web de la DMZ doit-il être autorisé à accéder à MSSQL sur le LAN?

12

Cela devrait être une question très fondamentale et j'ai essayé de la rechercher et je n'ai pas pu trouver de réponse solide.

Supposons que vous ayez un serveur Web dans la DMZ et un serveur MSSQL dans le LAN. IMO, et ce que j'ai toujours supposé être correct, c'est que le serveur Web dans la DMZ devrait pouvoir accéder au serveur MSSQL dans le LAN (peut-être que vous auriez à ouvrir un port dans le pare-feu, ce serait ok IMO).

Nos gars en réseau nous disent maintenant que nous ne pouvons pas avoir accès au serveur MSSQL dans le LAN depuis la DMZ. Ils disent que tout ce qui se trouve dans la DMZ ne devrait être accessible QUE PAR LE LAN (et le Web), et que la DMZ ne devrait pas avoir accès AU LAN, tout comme le Web n'a pas accès au LAN.

Donc ma question est, qui a raison? La DMZ doit-elle avoir accès au / à partir du LAN? Ou, si l'accès au LAN depuis la DMZ est strictement interdit. Tout cela suppose une configuration DMZ typique.

networking local-area-network dmz Allen
la source

Réponses:

14

Une bonne sécurité du réseau stipule que les serveurs DMZ ne devraient pas avoir accès au réseau «Trusted». Le réseau de confiance peut accéder à la DMZ, mais pas l'inverse. Pour les serveurs Web sauvegardés par DB comme le vôtre, cela peut être un problème, c'est pourquoi les serveurs de base de données se retrouvent dans des zones démilitarisées. Ce n'est pas parce qu'il se trouve dans une zone démilitarisée qu'il doit avoir un accès public, votre pare-feu externe peut toujours empêcher tout accès. Cependant, le serveur DB lui-même n'a pas accès à l'intérieur du réseau.

Pour les serveurs MSSQL, vous avez probablement besoin d'une deuxième zone démilitarisée en raison de la nécessité de parler aux AD DC dans le cadre de son fonctionnement normal (à moins que vous n'utilisiez des comptes SQL plutôt que des domaines intégrés, auquel cas cela est théorique). Cette deuxième zone démilitarisée hébergerait des serveurs Windows qui ont besoin d'un accès public quelconque, même si elle est d'abord mandatée via un serveur Web. Les personnes chargées de la sécurité réseau deviennent louches quand elles considèrent que les machines dominées ayant un accès public ont accès aux contrôleurs de domaine, ce qui peut être difficile à vendre. Cependant, Microsoft ne laisse pas beaucoup de choix en la matière.

sysadmin1138
la source
@Allen - nous ne savons pas ce que disent les gars de votre réseau. @ Sysadmin1138 vous dit un bon design.
mfinni
Yah je comprends ce qu'il dit. Je pense qu'on m'a dit dans le passé que notre mssql était sur le LAN alors qu'il était vraiment dans une autre DMZ comme il le décrit
Allen
Comment cela s'inscrit-il dans la conformité PCI, qui exige que le serveur de base de données NE réside PAS dans la DMZ? C'est le problème que je traite, autoriser les serveurs Web sur la DMZ à accéder au serveur SQL qui doit être sur le LAN ou une autre DMZ ...
Support informatique
@IT Support qui est parfois résolu en ajoutant une autre couche DMZ. Layer1 est votre site Web, layer2 est votre ferme de base de données. Les deux couches sont pare-feu à partir de toute autre couche.
sysadmin1138
4

Je suis avec vos gars en réseau, en théorie. Tout autre arrangement signifie que lorsque quelqu'un compromet le serveur Web, il a une porte d'accès à votre LAN.

Bien sûr, la réalité doit jouer un rôle - si vous avez besoin de données en direct accessibles à partir de la DMZ et du LAN, vous avez vraiment peu d'options. Je dirais probablement qu'un bon compromis serait un sous-réseau interne "sale" que des serveurs comme le serveur MSSQL pourraient vivre. Ce sous-réseau serait accessible à la fois à partir de la DMZ et du LAN, mais protégé par un pare-feu de la possibilité d'initier des connexions au LAN et à la DMZ.

Cry Havok
la source
2
Ceci est ce que nous faisons. Les serveurs Web publics sont dans une zone démilitarisée. Les serveurs de base de données vers lesquels ils effectuent des requêtes se trouvent dans une autre DMZ. Aucun de ceux-ci ne peut se connecter au réseau d'entreprise, bien que le réseau d'entreprise puisse y établir des connexions.
mfinni
Vraiment? (demandant, pas sarcastique) Cela ne signifie-t-il pas simplement qu'ils ont un moyen d'atteindre UN de vos serveurs SQL (ou instances)? Ce qui est une porte sur le LAN, mais assez étroite. Vous devrez alors compromettre ce service exact sur ce serveur pour ouvrir la porte. Une porte très étroite, je pense. Placer les serveurs dans une 2e DMZ permet toujours à quiconque de compromettre l'accès IIS aux données dans ce SQL.
Gomibushi
1

Si vous ne laissez passer le pare-feu que des connexions SQL du serveur DMZ au serveur MS-SQL, cela ne devrait pas poser de problème.

David Mackintosh
la source
-1

Je poste ma réponse parce que je veux voir comment elle a voté ...

Le serveur Web dans la DMZ doit pouvoir accéder au serveur MSSQL dans le LAN. Si ce n'est pas le cas, comment proposez-vous d'accéder à un serveur MSSQL dans le LAN? Tu ne pouvais pas!

Allen
la source
«Pourrait» et «Devrait» sont deux choses très différentes.
ITGuy24
Bon, alors comment proposez-vous un site Web basé sur une base de données et exécuté sur le niveau www?
Allen