Comunidad FORTIGATE.es

Hola a todos!!!
Tengo un servidor web conectado a la DMZ y tiene que tener acceso a un server MS-SQL que esta en la LAN, se que no es lo mas seguro por lo que investigué, lo resolvi haciendo una política entre la DMZ hacia la LAN habilitando solo la conexión entre ambos equipos y solo el puerto del SQL.
Hay alguna mas segura?
Gracias de ante mano!!!

Hola,

Está correctamente habilitado, no obstante tal como indicas, no es muy seguro abrir una "puerta" entre el mundo público (DMZ) y tu LAN. Sin embargo al acotar la policy a sólo el tráfico MS-SQL y a la IP del Web server, ya estás minimizando harto el riesgo. Aunque siempre está la posibilidad de sufrir alguna intrusión de alguno u otro modo.
También va a depender mucho de la sanidad del código involucrado, que generalmente es el eslabón más débil de la cadena. Así como el nivel de parches con que el SO de la máquina expuesta a Internet cuenta, sumado al resto de servicios que esta preste.

De todas formas podrías habilitar el log en la política para que tengas alguna alerta ante un tráfico sospechoso, y si tienes el FG licenciado también sería interesante aplicar el IPS sólo para esta conexión. Finalmente la seguridad IT es un proceso y se compone de distintos factores/técnicas.

mcapo escribió: ↑01 Oct 2021, 15:48 Hola a todos!!!
Tengo un servidor web conectado a la DMZ y tiene que tener acceso a un server MS-SQL que esta en la LAN, se que no es lo mas seguro por lo que investigué, lo resolvi haciendo una política entre la DMZ hacia la LAN habilitando solo la conexión entre ambos equipos y solo el puerto del SQL.
Hay alguna mas segura?
Gracias de ante mano!!!

Bueno muchas gracia!!

AndresW escribió: ↑01 Oct 2021, 15:58 Hola,

Está correctamente habilitado, no obstante tal como indicas, no es muy seguro abrir una "puerta" entre el mundo público (DMZ) y tu LAN. Sin embargo al acotar la policy a sólo el tráfico MS-SQL y a la IP del Web server, ya estás minimizando harto el riesgo. Aunque siempre está la posibilidad de sufrir alguna intrusión de alguno u otro modo.
También va a depender mucho de la sanidad del código involucrado, que generalmente es el eslabón más débil de la cadena. Así como el nivel de parches que el SO de la máquina expuesta a Internet y el resto de servicios que atienda.

De todas formas podrías habilitar el log en la política para que tengas alguna alerta ante un tráfico sospechoso, y si tienes el FG licenciado también sería interesante aplicar el IPS sólo para esta conexión. Finalmente la seguridad IT es un proceso y se compone de distintos factores/técnicas.

mcapo escribió: ↑01 Oct 2021, 15:48 Hola a todos!!!
Tengo un servidor web conectado a la DMZ y tiene que tener acceso a un server MS-SQL que esta en la LAN, se que no es lo mas seguro por lo que investigué, lo resolvi haciendo una política entre la DMZ hacia la LAN habilitando solo la conexión entre ambos equipos y solo el puerto del SQL.
Hay alguna mas segura?
Gracias de ante mano!!!

Hola de nuevo!!!
Les quería comentar un problema que estamos teniendo con esta conexión, para hacer pruebas configuramos el web server en la red interna (figura 1) haciendo un forward de puertos, accedemos desde afuera (internet) y todo funciono correctamente.
Luego lo pasamos a la DMZ, para dejarlo operativo (figura 2), pero cuando accedemos al servidor SQL las consultas tardan muchísimo.
Puede ser que algún filtro, log o algo entre la DMZ y la LAN este haciendo que demore. La diferencia entre ambas conexiones es terrible.

Hola,

La verdad es que no debiera hacer ninguna diferencia entre la interfaz Internal y DMZ, por lo que es muy extraño el comportamiento.

Te dejo algunas preguntas que podrían guiarte:


¿Me imagino que revisaste si existe alguna política de Traffic Shaper que pudiera estar actuando?.

¿La puerta DMZ levantó correctamente?. Es decir en la velocidad y modo correcto y no está contando errores CRC entre otras cosas.

Y lo último, ¿revisaste si el servidor SQL no está intentando hacer la resolución reversa de la IP que hace la consulta?. Lo que dices al final de que la conexión se establece al cabo de un tiempo podría deberse a lo anterior.