Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 22272 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Should web servers be in a DMZ?

Ross86
Just wondering how everyone protects their web servers.

Where I work the web servers were never put in a DMZ, we have a DMZ and use to use NAT to forward to an ISA\TMG server.

We now use Sopjos and have web servers on the LAN and use the WAF to protect these servers. Which include sharepoint web servers and some other custom websites, these all authenticate to an STS token server.

Would it still make sense for me to put these in the DMZ?

If so what's best practice with regards to allowing it access to the Domain? As they would need to access the SQL databases on the internal cluster and AD/DNS.


This thread was automatically locked due to age.
Parents
  • 0
    In 9.2, I would use the reverse authentication in the UTM - is that possible with your webserver?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    In 9.2, I would use the reverse authentication in the UTM - is that possible with your webserver?  Cheers - Bob
      

    Instead of having a DMZ and servers in that separate DMZ?

    I currently already use the WAF to access my web servers that are on the trust LAN, I don't do any NAT to my internal web servers.. In this case is there a need for a DMZ?

    Thanks
    Ross
Reply
  • 0 in reply to BAlfson
    In 9.2, I would use the reverse authentication in the UTM - is that possible with your webserver?  Cheers - Bob
      

    Instead of having a DMZ and servers in that separate DMZ?

    I currently already use the WAF to access my web servers that are on the trust LAN, I don't do any NAT to my internal web servers.. In this case is there a need for a DMZ?

    Thanks
    Ross
Children
  • 0 in reply to Ross86
    Hi Ross86,

    whats a DMZ for? In my opinion all servers wich are accessible from the Internet are possible victims for hackers. If a possible bad guy gets access to one of them and takes the control he trys to get from one machine to the next.
    Can you say all of your server are free of bugs and a bad guy will not be able to attack them with success.
    So i think thats what a DMZ is for, if he gets control of your server he is not able to get into your internal network and dont steal your personal or business data.
    Who said that the WAF in UTM has to save your internal servers? It could save your DMZ server too. And if Admins nightmare comes true the bad guy controls your DMZ servers but your business data are secure while this.
    In the tutorials of the german BSI you can see different protection level of different parts of your network. 
    - The Data in a DMZ need normal protection Level.
    - Your normal Data need a medium protection Level.
    - Your HR or ERP Data may need the higest protection Level.
    So think about the possibilities of how to protect on different Levels - is it to put all server in a single zone and hope its good or is it to seperate them and get the protection from the UTM wich makes the separation working.

    this are only some things to think about to come to an answer.
    the needed security levels may differ and the real scenario could not planned here without all knowledge about your infrastructure.

    Greets
    Firebear
Unfiltered HTML