Should web servers be in a DMZ?

Always separate your web servers from your data servers whenever possible.

Agreed with Darrell.  Depending on the size of the organization and the security level needed for the data, you might want two DMZs, both separate from your users' workstations.  The big guys have them locked in separate cages.

Cheers - Bob

Ok thanks, what about them being on our domain Active directory?  Add a read only DC into the DMZ or allow ports through to the love DCs?

Also was the second DMZ for the SQL data bases? If so we have one that would be ok (for the website) but the cluster might be an issue as it has internal only instances as well as public facing saying that our internal users also access the customer sites.

Thanks
Ross

Well, this is free advice, Ross, so good luck on selling up the management chain! [;)]

First priority would be the DMZ for the public-facing devices.  A much-lower priority, but likely desirable would be another DMZ to separate your database servers from the users.  A read-only DC would be something you'd need only if you have something big like SOC 2 compliance that you need to worry about.

Cheers - Bob

Ok thanks Bob, I think selling it to my boss won't be too hard he's quite paranoid on security.  

It all depends on the effort vs real requirements [:)] .. Definitely the first DMZ will be implemented as it's halfway there anyway.

Hi BAlfson,

is it right understood that you say the Webserver in the DMZ should use the internal AD-Controllers so that you have to open Port 445 from DMZ to Internal LAN ??????? 

Greets
Firebear

In 9.2, I would use the reverse authentication in the UTM - is that possible with your webserver?

Cheers - Bob

Hi BAlfson,

i thought about this:

If so what's best practice with regards to allowing it access to the Domain? As they would need to access the SQL databases on the internal cluster and AD/DNS.

Greets
Firebear

In 9.2, I would use the reverse authentication in the UTM - is that possible with your webserver?  Cheers - Bob

  

Instead of having a DMZ and servers in that separate DMZ?

I currently already use the WAF to access my web servers that are on the trust LAN, I don't do any NAT to my internal web servers.. In this case is there a need for a DMZ?

Thanks
Ross

Hi Ross86,

whats a DMZ for? In my opinion all servers wich are accessible from the Internet are possible victims for hackers. If a possible bad guy gets access to one of them and takes the control he trys to get from one machine to the next.
Can you say all of your server are free of bugs and a bad guy will not be able to attack them with success.
So i think thats what a DMZ is for, if he gets control of your server he is not able to get into your internal network and dont steal your personal or business data.
Who said that the WAF in UTM has to save your internal servers? It could save your DMZ server too. And if Admins nightmare comes true the bad guy controls your DMZ servers but your business data are secure while this.
In the tutorials of the german BSI you can see different protection level of different parts of your network. 
- The Data in a DMZ need normal protection Level.
- Your normal Data need a medium protection Level.
- Your HR or ERP Data may need the higest protection Level.
So think about the possibilities of how to protect on different Levels - is it to put all server in a single zone and hope its good or is it to seperate them and get the protection from the UTM wich makes the separation working.

this are only some things to think about to come to an answer.
the needed security levels may differ and the real scenario could not planned here without all knowledge about your infrastructure.

Greets
Firebear