เว็บเซิร์ฟเวอร์ใน DMZ ควรได้รับอนุญาตให้เข้าถึง MSSQL ใน LAN หรือไม่


12

นี่ควรเป็นคำถามพื้นฐานมากและฉันพยายามค้นคว้าและไม่สามารถหาคำตอบที่ชัดเจนได้

สมมติว่าคุณมีเว็บเซิร์ฟเวอร์ใน DMZ และเซิร์ฟเวอร์ MSSQL ใน LAN IMO และสิ่งที่ฉันคิดเสมอว่าถูกต้องคือเว็บเซิร์ฟเวอร์ใน DMZ ควรจะสามารถเข้าถึงเซิร์ฟเวอร์ MSSQL ใน LAN (บางทีคุณอาจต้องเปิดพอร์ตในไฟร์วอลล์นั่นก็คือ ตกลง IMO)

พวกเครือข่ายของเรากำลังบอกเราว่าเราไม่สามารถเข้าถึงเซิร์ฟเวอร์ MSSQL ใน LAN จาก DMZ ได้ พวกเขาบอกว่าสิ่งใดก็ตามใน DMZ ควรเข้าถึงได้จาก LAN (และเว็บ) เท่านั้นและ DMZ นั้นไม่ควรเข้าถึง LAN เช่นเดียวกับที่เว็บไม่มีการเข้าถึง LAN

ดังนั้นคำถามของฉันคือใครถูก DMZ ควรมีสิทธิ์เข้าถึง / จาก LAN หรือไม่ หรือควรห้ามมิให้เข้าถึง LAN จาก DMZ โดยเด็ดขาด ทั้งหมดนี้ถือว่าเป็นการกำหนดค่า DMZ โดยทั่วไป

คำตอบ:


14

สถานะความปลอดภัยเครือข่ายที่เหมาะสมระบุว่าเซิร์ฟเวอร์ DMZ ไม่ควรมีการเข้าถึงเครือข่าย 'เชื่อถือ' เครือข่ายที่เชื่อถือได้สามารถไปที่ DMZ ได้ แต่จะไม่เป็นทางอื่น สำหรับเว็บเซิร์ฟเวอร์ที่ได้รับการสนับสนุน DB เช่นคุณอาจเป็นปัญหาซึ่งเป็นสาเหตุที่เซิร์ฟเวอร์ฐานข้อมูลลงท้ายด้วย DMZ เพียงเพราะอยู่ใน DMZ ไม่ได้หมายความว่าจะมีการเข้าถึงสาธารณะไฟร์วอลล์ภายนอกของคุณยังสามารถป้องกันการเข้าถึงทั้งหมดได้ อย่างไรก็ตามเซิร์ฟเวอร์ DB นั้นไม่สามารถเข้าถึงภายในเครือข่ายได้

สำหรับเซิร์ฟเวอร์ MSSQL คุณอาจต้องใช้ DMZ ตัวที่ 2 เนื่องจากต้องการคุยกับ AD DC ในฐานะเป็นส่วนหนึ่งของการทำงานปกติ (เว้นแต่คุณกำลังใช้บัญชี SQL แทนที่จะใช้โดเมนแบบรวมที่จุดนี้เป็นสิ่งที่สงสัย) DMZ ตัวที่สองนั้นจะเป็นบ้านของเซิร์ฟเวอร์ Windows ที่ต้องการการเข้าถึงสาธารณะบางประเภทแม้ว่าจะถูกพร็อกซีผ่านเว็บเซิร์ฟเวอร์ก่อนก็ตาม ผู้คนด้านความปลอดภัยเครือข่ายจะได้รับความเหลื่อมล้ำเมื่อพวกเขาพิจารณาว่าเครื่องโดเมนที่ประสบกับการเข้าถึงสาธารณะเข้าถึง DC ซึ่งเป็นสินค้าที่ขายยาก อย่างไรก็ตาม Microsoft ไม่ได้มีทางเลือกมากนักในเรื่องนี้


@Allen - เราไม่รู้ว่าเครือข่ายของคุณกำลังพูดอะไร @ Sysadmin1138 กำลังบอกคุณถึงการออกแบบที่ดี
mfinni

ย่ะฉันเข้าใจสิ่งที่เขาพูด ฉันคิดว่าฉันได้รับการบอกเล่าในอดีตว่า mssql ของเราอยู่บน LAN เมื่ออยู่ใน DMZ อื่นตามที่เขาอธิบาย
Allen

สิ่งนี้สอดคล้องกับความสอดคล้องกับ PCI อย่างไรซึ่งได้รับคำสั่งว่าเซิร์ฟเวอร์ฐานข้อมูลไม่ได้อยู่ใน DMZ นั่นเป็นปัญหาที่ฉันจัดการกับการอนุญาตให้ webservers บน DMZ เข้าถึงเซิร์ฟเวอร์ SQL ที่ต้องอยู่บน LAN หรือ DMZ อื่น ...
ฝ่ายสนับสนุนด้านไอที

@IT การสนับสนุนที่บางครั้งแก้ไขได้ด้วยการเพิ่มชั้น DMZ อีก Layer1 เป็น webfarm ของคุณ layer2 เป็นฟาร์ม DB ของคุณ เลเยอร์ทั้งสองจะถูกไฟร์วอลล์จากเลเยอร์อื่น ๆ
sysadmin1138

4

ฉันอยู่กับพวกเครือข่ายของคุณในทางทฤษฎี การจัดการอื่น ๆ หมายความว่าเมื่อมีคนยอมเว็บเซิร์ฟเวอร์พวกเขามีประตูเข้าไปใน LAN ของคุณ

แน่นอนความเป็นจริงต้องมีส่วนร่วม - ถ้าคุณต้องการข้อมูลสดเข้าถึงได้จากทั้ง DMZ และ LAN คุณมีตัวเลือกน้อยมาก ฉันอาจจะแนะนำว่าการประนีประนอมที่ดีจะเป็นซับเน็ตภายใน "สกปรก" ที่เซิร์ฟเวอร์เช่นเซิร์ฟเวอร์ MSSQL สามารถใช้งานได้ ซับเน็ตนั้นจะสามารถเข้าถึงได้จากทั้ง DMZ และ LAN แต่ไฟร์วอลล์ไม่สามารถเชื่อมต่อกับ LAN และ DMZ ได้


2
นี่คือสิ่งที่เราทำ เว็บเซิร์ฟเวอร์สาธารณะอยู่ใน DMZ เซิร์ฟเวอร์ DB ที่พวกเขาทำแบบสอบถามอยู่ในDMZ อื่น ไม่มีสิ่งใดที่สามารถเชื่อมต่อกับเครือข่ายขององค์กรได้แม้ว่าเครือข่ายขององค์กรจะสามารถเชื่อมต่อกับเครือข่ายนั้น
mfinni

จริงๆ? (ถามไม่ใช่การประชดประชัน) ไม่ได้หมายความว่าพวกเขามีวิธีเข้าถึงเซิร์ฟเวอร์ SQL ของคุณ (หรืออินสแตนซ์) ใช่หรือไม่ ซึ่งเป็นประตูเข้าสู่ LAN แต่ก็ค่อนข้างแคบ จากนั้นคุณต้องประนีประนอมบริการนั้น ๆ บนเซิร์ฟเวอร์นั้นเพื่อเปิดช่องโหว่ ประตูที่แคบมากฉันคิดว่า การวางเซิร์ฟเวอร์ใน DMZ ตัวที่สองยังคงอนุญาตให้ใครก็ตามที่ยอมให้ IIS เข้าถึงข้อมูลใน SQL นั้น
Gomibushi

1

หากทั้งหมดที่คุณปล่อยให้ผ่านไฟร์วอลล์คือการเชื่อมต่อ SQL จากเซิร์ฟเวอร์ DMZ ไปยังเซิร์ฟเวอร์ MS-SQL แสดงว่าไม่มีปัญหา


-1

ฉันโพสต์คำตอบของฉันเพราะฉันต้องการที่จะดูว่าคะแนนของมัน ...

เว็บเซิร์ฟเวอร์ใน DMZ ควรจะสามารถเข้าถึงเซิร์ฟเวอร์ MSSQL ใน LAN หากไม่สามารถทำได้คุณจะเสนอวิธีการเข้าถึงเซิร์ฟเวอร์ MSSQL ใน LAN ได้อย่างไร คุณทำไม่ได้!


'สามารถ' และ 'ควร' เป็นสองสิ่งที่แตกต่างกันมาก
ITGuy24

ถูกต้องแล้วคุณจะเสนอเว็บไซต์ที่ขับเคลื่อนด้วยฐานข้อมูลบนชั้น www ได้อย่างไร?
Allen
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.