SQL y DMZ

Acceder directamente desde tu servidor web, desde tu front-end, a la base de
datos suele ser una cosa que gusta a los administradores de la base de
datos. Si accedes, tendras que tener habilitado el puerto TCP 1433 entre tu
servidor web y la base de datos. La base de datos nunca se expone a
Internet. Por cierto, al usuario con el que accedas a la base de datos dale
los mínimos privilegios posibles, por ejemplo, si sólo necesitas datos de
lectura, pon un usuario de lectura. Encripta tb los datos de acceso.

Un arquitectura habitual para no acceder a la base de datos directamente son
ponerlo en 3 capas. Front-end, lógica de negocio y base de datoscada
capa de una máquina diferente y sólo desde la lógica de negocio se accede a
la base de datos. La lógica de negocio tampoco se expone a Internet.

"Hernan Nieto" escribió en el mensaje de
noticias:

Esteban,

Si no entendi mal, la Base de Datos no tiene que estar en la DMZ, ya que
la expones a posibles ataques. En tu firewall tiene que configurar la
apertura del puerto que usa Sql Server, el cual tambien prodrias modificar
con respecto al que viene predeterminado para que sea menos vulnerable a
una entrada no autorizada.

Saludos.

Esteban,

Si no entendi mal, la Base de Datos no tiene que estar en la DMZ, ya
que la expones a posibles ataques. En tu firewall tiene que configurar
la apertura del puerto que usa Sql Server, el cual tambien prodrias
modificar con respecto al que viene predeterminado para que sea menos
vulnerable a una entrada no autorizada.

Saludos.

Muchas gracias Ibon y Hernan,
A la practica, "abro" un puerto TCP en mi firewall hacia la red interna, es
decir mi App. va a poder iniciar conexiones desde la DMZ hacia la red
interna.?
Además cambio el puerto TCP predeterminado y creo un user read-only en la
base datos.
Una consulta, si atacan mi webserver van a poder ingresar a mi datos
corporativos, aunque esto sea de solo lectura?

Saludos y gracias

"Ibon Landa" escribió en el mensaje
news:

Acceder directamente desde tu servidor web, desde tu front-end, a la base
de datos suele ser una cosa que gusta a los administradores de la base de
datos. Si accedes, tendras que tener habilitado el puerto TCP 1433 entre
tu servidor web y la base de datos. La base de datos nunca se expone a
Internet. Por cierto, al usuario con el que accedas a la base de datos
dale los mínimos privilegios posibles, por ejemplo, si sólo necesitas
datos de lectura, pon un usuario de lectura. Encripta tb los datos de
acceso.

Un arquitectura habitual para no acceder a la base de datos directamente
son ponerlo en 3 capas. Front-end, lógica de negocio y base de
datoscada capa de una máquina diferente y sólo desde la lógica de
negocio se accede a la base de datos. La lógica de negocio tampoco se
expone a Internet.

"Hernan Nieto" escribió en el mensaje de
noticias:

Esteban,

Si no entendi mal, la Base de Datos no tiene que estar en la DMZ, ya que
la expones a posibles ataques. En tu firewall tiene que configurar la
apertura del puerto que usa Sql Server, el cual tambien prodrias
modificar con respecto al que viene predeterminado para que sea menos
vulnerable a una entrada no autorizada.

Saludos.

Muchas gracias Ibon y Hernan,
A la practica, "abro" un puerto TCP en mi firewall hacia la red interna, es
decir mi App. va a poder iniciar conexiones desde la DMZ hacia la red
interna.?
Además cambio el puerto TCP predeterminado y creo un user read-only en la
base datos.
Una consulta, si atacan mi webserver van a poder ingresar a mi datos
corporativos, aunque esto sea de solo lectura?

Saludos y gracias

"Ibon Landa" escribió en el mensaje
news:

Acceder directamente desde tu servidor web, desde tu front-end, a la base
de datos suele ser una cosa que gusta a los administradores de la base de
datos. Si accedes, tendras que tener habilitado el puerto TCP 1433 entre
tu servidor web y la base de datos. La base de datos nunca se expone a
Internet. Por cierto, al usuario con el que accedas a la base de datos
dale los mínimos privilegios posibles, por ejemplo, si sólo necesitas
datos de lectura, pon un usuario de lectura. Encripta tb los datos de
acceso.

Un arquitectura habitual para no acceder a la base de datos directamente
son ponerlo en 3 capas. Front-end, lógica de negocio y base de
datoscada capa de una máquina diferente y sólo desde la lógica de
negocio se accede a la base de datos. La lógica de negocio tampoco se
expone a Internet.

"Hernan Nieto" escribió en el mensaje de
noticias:

Esteban,

Si no entendi mal, la Base de Datos no tiene que estar en la DMZ, ya que
la expones a posibles ataques. En tu firewall tiene que configurar la
apertura del puerto que usa Sql Server, el cual tambien prodrias
modificar con respecto al que viene predeterminado para que sea menos
vulnerable a una entrada no autorizada.

Saludos.

Este artículo explica breve y claramente el tema:

Secure Architecture for an SQL / Web Server
http://www.windowsecurity.com/artic...erver.html

Gustavo Larriera, Microsoft MVP
https://mvp.support.microsoft.com/profile/gux
Este mensaje se proporciona tal como es, sin garantías de ninguna clase.



"Esteban GN" wrote:

Hola Grupo,
Tengo una aplicación en .net trabajando con una basde datos SQL 2005.
La empresa ha comprado un Firewall y estamos armando la DMZ para publicar la
aplicación Web, ahora mi consulta va, como accedo a mi base de datos, puesto
que si creo una regla en la DMZ para acceder a mis datos, estoy rompiendo el
principio de la DMZ, de crear conexiones desde al Webserver hacia mi LAN? Mi
Database Server lo debo colocar en la red interna y no en la DMZ

Algún consejo?

Muchas gracias.