¿Qué es más riesgoso? Servidor de base de datos en DMZ o Red de confianza?

3

Espero que esto no sea una duplicidad de ninguna de las preguntas relacionadas con la base de datos / DMZ, pero no creo que ninguna de ellas haya respondido a mi pregunta lo suficiente.

Supongamos lo siguiente

  • Se está utilizando un servidor web para intranet e Internet
  • El sistema anterior requiere la sincronización activa del directorio, pero no es necesariamente compatible con AD LDS
  • Por lo tanto, la aplicación web antes mencionada debe realizar búsquedas desde la base de datos de AD para la integración con Active Directory.

Ahora, estoy bastante seguro de que la siguiente topología sería ideal (anotando que cada una representa un firewall). Corríjame si me equivoco, pero esta topología evita que la DMZ interactúe con la Red de confianza y mantiene la base de datos fuera de la DMZ.

INTERNET <-> | <-> DMZ <-> | <-> Database Zone <-> | Trusted Network

Ahora, asumiendo que lo que he dicho anteriormente es cierto, ¿qué pasaría si una empresa no tuviera la capacidad para un enfoque de 3 firewall? ¿El mayor riesgo sería poner el servidor de base de datos en la DMZ o mantenerlo en la red de confianza con reglas de firewall específicas que permitan el acceso a la red de confianza?

    
pregunta DKNUCKLES 09.02.2013 - 18:18
fuente

2 respuestas

1

El escenario habitual utilizado por los bancos grandes es ubicar los servidores de bases de datos en la red interna, aunque generalmente se segrega utilizando controles de acceso en los enrutadores que sirven ese segmento. Lógicamente, esto sigue su descripción propuesta.

La mejor forma de verlo es la siguiente: la base de datos probablemente tenga algunos de los activos de información más importantes de su empresa. ¿Realmente lo quieres en la DMZ? Un segmento de red que se conoce de alto riesgo.

    
respondido por el Rory Alsop 09.02.2013 - 22:47
fuente
2

Una solución: coloque el servidor de la base de datos en su red de confianza, asegúrese de que solo permita los puertos de la base de datos.

Tal vez una mejor sería:

  1. Encienda el firewall del sistema operativo en el servidor db y ciérrelo inmediatamente

  2. Regálale una NIC de DMZ y una NIC de red confiable

  3. Asegúrese de que la seguridad de su base de datos esté bloqueada y que todo esté bloqueado dentro y fuera, excepto el tráfico que desee (es decir, permita el tráfico AD en la NIC confiable y no en la DMZ, etc.)

Eso le daría, lógicamente, la topología que describió, pero aumentará el riesgo si su servidor de base de datos está comprometido.

¿Vale la pena mantener el servidor de base de datos fuera del dominio? Eso significará que debería poder tener solo los puertos SQL abiertos.

¿Tal vez configurar un par de instancias con nombre? Una para externa para interna, entonces puede separar todo de forma lógica.

    
respondido por el Bob Watson 09.02.2013 - 22:01
fuente

Lea otras preguntas en las etiquetas