Sollte ein Webserver in der DMZ im LAN auf MSSQL zugreifen dürfen?

12

Dies sollte eine sehr grundlegende Frage sein, und ich habe versucht, sie zu untersuchen, und konnte keine solide Antwort finden.

Angenommen, Sie haben einen Webserver in der DMZ und einen MSSQL-Server im LAN. IMO, und was ich immer als richtig angenommen habe, ist, dass der Webserver in der DMZ auf den MSSQL-Server im LAN zugreifen kann (möglicherweise müssten Sie einen Port in der Firewall öffnen, das wäre ok IMO).

Unsere Netzwerk-Leute sagen uns jetzt, dass wir von der DMZ aus keinen Zugriff auf den MSSQL-Server im LAN haben können. Sie sagen, dass alles in der DMZ nur über das LAN (und das Web) zugänglich sein sollte und dass die DMZ keinen Zugriff auf das LAN haben sollte, genauso wie das Web keinen Zugriff auf das LAN hat.

Meine Frage ist also, wer hat Recht? Sollte die DMZ Zugriff auf / vom LAN haben? Oder sollte der Zugriff auf das LAN von der DMZ strengstens verboten sein. All dies setzt eine typische DMZ-Konfiguration voraus.

Allen
quelle

Antworten:

14

Die ordnungsgemäße Netzwerksicherheit besagt, dass DMZ-Server keinen Zugriff auf das vertrauenswürdige Netzwerk haben sollten. Das vertrauenswürdige Netzwerk kann zur DMZ gelangen, aber nicht umgekehrt. Für DB-gestützte Webserver wie Ihren kann dies ein Problem sein, weshalb Datenbankserver in DMZs landen. Nur weil es sich in einer DMZ befindet, bedeutet dies nicht, dass ein öffentlicher Zugriff erforderlich ist. Ihre externe Firewall kann dennoch jeglichen Zugriff darauf verhindern. Der DB-Server selbst hat jedoch keinen Zugriff auf das Netzwerk.

Für MSSQL-Server benötigen Sie wahrscheinlich eine zweite DMZ, da Sie im Rahmen der normalen Funktionsweise mit AD-Domänencontrollern kommunizieren müssen (es sei denn, Sie verwenden SQL-Konten anstelle von Domänenintegration. Zu diesem Zeitpunkt ist dies umstritten). In dieser zweiten DMZ befinden sich Windows-Server, die einen öffentlichen Zugriff benötigen, selbst wenn sie zuerst über einen Webserver übertragen werden. Die Leute von Network Security werden nervös, wenn sie in Betracht ziehen, dass domainisierte Maschinen, die öffentlichen Zugriff haben, Zugang zu DCs erhalten, was ein harter Verkauf sein kann. Microsoft lässt in dieser Angelegenheit jedoch nicht viel Auswahl.

sysadmin1138
quelle
@ Allen - wir wissen nicht, was deine Networking-Leute sagen. @ Sysadmin1138 sagt Ihnen ein gutes Design.
Mfinni
Yah, ich verstehe, was er sagt. Ich glaube, mir wurde in der Vergangenheit gesagt, dass unser MSSQL im LAN war, als es wirklich in einer anderen DMZ war, wie er beschreibt
Allen
Wie passt dies zur PCI-Konformität, die vorschreibt, dass sich der Datenbankserver NICHT in der DMZ befindet? Das ist das Problem, mit dem ich es zu tun habe, Webservern in der DMZ den Zugriff auf den SQL Server zu ermöglichen, der sich entweder im LAN oder in einer anderen DMZ befinden muss ...
IT-Support
@ IT-Unterstützung, die manchmal durch Hinzufügen einer weiteren DMZ-Ebene gelöst wird. Layer1 ist Ihre Webfarm, Layer2 ist Ihre DB-Farm. Beide Schichten sind von jeder anderen Schicht durch eine Firewall geschützt.
sysadmin1138
4

Theoretisch bin ich bei Ihren Networking-Leuten. Jede andere Vereinbarung bedeutet, dass jemand, der den Webserver kompromittiert, eine Tür in Ihr LAN hat.

Natürlich muss die Realität eine Rolle spielen - wenn Sie Live-Daten benötigen, auf die sowohl über die DMZ als auch über das LAN zugegriffen werden kann, haben Sie wirklich nur wenige Möglichkeiten. Ich würde wahrscheinlich vorschlagen, dass ein guter Kompromiss ein "schmutziges" internes Subnetz wäre, in dem Server wie der MSSQL-Server leben könnten. Auf dieses Subnetz kann sowohl von der DMZ als auch vom LAN aus zugegriffen werden, es ist jedoch nicht möglich, Verbindungen zum LAN und zur DMZ herzustellen.

Cry Havok
quelle
2
Das ist was wir machen. Die öffentlichen Webserver befinden sich in einer DMZ. Die DB-Server, an die sie Abfragen stellen, befinden sich in einer anderen DMZ. Keiner von beiden kann Verbindungen zum Unternehmensnetzwerk herstellen, obwohl das Unternehmensnetzwerk Verbindungen zu ihnen herstellen kann.
Mfinni
"Ja wirklich?" (fragend, nicht sarkastisch) Bedeutet das nicht nur, dass sie einen Weg haben, einen Ihrer SQL Server (oder Instanzen) zu erreichen? Welches ist eine Tür ins LAN, aber eine ziemlich enge. Sie müssten dann genau diesen Dienst auf diesem Server kompromittieren, um die Tür zu öffnen. Eine sehr schmale Tür, würde ich denken. Durch das Einfügen der Server in eine zweite DMZ kann weiterhin jeder den IIS-Zugriff auf die Daten in diesem SQL gefährden.
Gomibushi
1

Wenn Sie nur SQL-Verbindungen vom DMZ-Server zum MS-SQL-Server durch die Firewall lassen, sollte dies kein Problem sein.

David Mackintosh
quelle
-1

Ich poste meine Antwort, weil ich sehen möchte, wie sie gewählt wurde ...

Der Webserver in der DMZ sollte auf den MSSQL-Server im LAN zugreifen können. Wenn dies nicht möglich ist, wie schlagen Sie vor, auf einen MSSQL-Server im LAN zuzugreifen? Du konntest nicht!

Allen
quelle
"Könnte" und "Sollte" sind zwei sehr unterschiedliche Dinge.
ITGuy24
Richtig, wie schlagen Sie eine datenbankgesteuerte Website vor, die auf der WWW-Ebene ausgeführt wird?
Allen