Haruskah server web di DMZ diizinkan untuk mengakses MSSQL di LAN?

12

Ini seharusnya menjadi pertanyaan yang sangat mendasar dan saya mencoba untuk meneliti dan tidak dapat menemukan jawaban yang solid.

Katakanlah Anda memiliki server web di DMZ dan server MSSQL di LAN. IMO, dan apa yang selalu saya anggap benar, adalah bahwa server web di DMZ harus dapat mengakses server MSSQL di LAN (mungkin Anda harus membuka port di firewall, itu akan menjadi ok IMO).

Teman-teman jaringan kami sekarang memberi tahu kami bahwa kami tidak dapat memiliki akses ke server MSSQL di LAN dari DMZ. Mereka mengatakan bahwa segala sesuatu di DMZ hanya dapat diakses dari LAN (dan web), dan bahwa DMZ tidak boleh memiliki akses ke LAN, sama seperti web tidak memiliki akses ke LAN.

Jadi pertanyaan saya adalah, siapa yang benar? Haruskah DMZ memiliki akses ke / dari LAN? Atau, haruskah akses ke LAN dari DMZ dilarang keras. Semua ini mengasumsikan konfigurasi DMZ khas.

networking local-area-network dmz Allen
sumber

Jawaban:

14

Keamanan jaringan yang tepat menyatakan bahwa server DMZ seharusnya tidak memiliki akses ke jaringan 'Tepercaya'. Jaringan Tepercaya dapat mencapai DMZ, tetapi tidak sebaliknya. Untuk server web yang didukung DB seperti milik Anda, ini bisa menjadi masalah, itulah sebabnya server database berakhir di DMZ. Hanya karena berada dalam DMZ tidak berarti itu HARUS memiliki akses publik, firewall eksternal Anda masih dapat mencegah semua akses ke sana. Namun, server DB itu sendiri tidak memiliki akses ke dalam jaringan.

Untuk server MSSQL, Anda mungkin memerlukan DMZ ke-2 karena kebutuhan untuk berbicara dengan AD DC sebagai bagian dari fungsi normalnya (kecuali jika Anda menggunakan akun SQL daripada terintegrasi dengan domain, pada titik mana ini dapat diperdebatkan). DMZ kedua itu akan menjadi rumah bagi server Windows yang memerlukan semacam akses publik, bahkan jika itu diproksikan melalui server web terlebih dahulu. Orang-orang Keamanan Jaringan mendapatkan tipuan ketika mereka menganggap mesin domained mengalami akses publik mendapatkan akses ke DC, yang bisa menjadi penjualan yang sulit. Namun, Microsoft tidak meninggalkan banyak pilihan dalam hal ini.

sysadmin1138
sumber
@ Allen - kami tidak tahu apa yang orang-orang jaringan Anda katakan. @ Sysadmin1138 memberi tahu Anda desain yang bagus.
mfinni
Yah aku mengerti apa yang dia katakan. Saya pikir saya telah diberitahu di masa lalu bahwa MSSQL kami berada di LAN ketika itu benar-benar di DMZ lain seperti yang dijelaskannya
Allen
Bagaimana ini cocok dengan kepatuhan PCI, yang mengamanatkan bahwa Server Database TIDAK berada di DMZ? Itulah masalah yang saya hadapi, memungkinkan server web di DMZ mengakses ke SQL server yang perlu berada di LAN atau DMZ lain ...
IT Support
Dukungan @IT yang terkadang dipecahkan dengan menambahkan lapisan DMZ lainnya. Layer1 adalah pertanian web Anda, layer2 adalah pertanian DB Anda. Kedua lapisan itu diretas dari lapisan lain.
sysadmin1138
4

Saya dengan orang-orang jaringan Anda, secara teori. Pengaturan lain berarti bahwa ketika seseorang kompromi server web mereka memiliki pintu ke LAN Anda.

Tentu saja, kenyataan harus berperan - jika Anda membutuhkan data langsung yang dapat diakses dari DMZ dan LAN maka Anda benar-benar memiliki beberapa pilihan. Saya mungkin akan menyarankan bahwa kompromi yang baik akan menjadi subnet internal yang "kotor" sehingga server seperti server MSSQL bisa hidup. Subnet itu akan dapat diakses baik dari DMZ dan LAN tetapi diblokir karena tidak dapat memulai koneksi ke LAN dan DMZ.

Cry Havok
sumber
2
Inilah yang kami lakukan. Webserver publik berada dalam DMZ. Server DB tempat mereka membuat kueri berada di DMZ lain . Tidak satu pun dari mereka yang dapat membuat koneksi ke jaringan perusahaan, meskipun jaringan perusahaan dapat membuat koneksi ke mereka.
mfinni
Betulkah? (bertanya, bukan sarkastik) Bukankah itu hanya berarti mereka memiliki cara untuk mencapai SATU server SQL Anda (atau contoh)? Yang merupakan pintu ke LAN, tetapi yang cukup sempit. Anda kemudian perlu kompromi layanan yang tepat di server itu untuk membuka pintu. Saya pikir pintu yang sangat sempit. Menempatkan server dalam DMZ ke-2 masih memungkinkan siapa pun yang mengkompromikan akses IIS ke data dalam SQL itu.
Gomibushi
1

Jika semua yang Anda biarkan melalui firewall adalah koneksi SQL dari server DMZ ke server MS-SQL, maka itu seharusnya tidak menjadi masalah.

David Mackintosh
sumber
-1

Saya memposting jawaban saya karena saya ingin melihat bagaimana ...

Server web di DMZ harus dapat mengakses server MSSQL di LAN. Jika tidak bisa, bagaimana Anda mengusulkan untuk mendapatkan akses ke server MSSQL di LAN? Kamu tidak bisa!

Allen
sumber
'Bisa' dan 'Seharusnya' adalah dua hal yang sangat berbeda.
ITGuy24
Benar, jadi bagaimana Anda mengusulkan situs web yang didorong basis data berjalan di tingkat www?
Allen