¿Esta segmentación de red es segura?

Iniciado por guiu, 12 Febrero 2015, 17:28 PM

0 Miembros y 1 Visitante están viendo este tema.

guiu

Buenas,
A ver si me podéis dar vuestra opinión sobre la segmentación/securización de una aplicación web. El esquema es el siguiente:



La idea es que la aplicación normalmente sea accedida desde la LAN, y que haya algún usuario de fuera de esta LAN que tenga acceso (controlado), de ahí la VPN. Las dudas que tengo son las suiguientes:

- El servidor de Base de Datos es lo más importante y lo que más tengo que proteger. ¿Tiene sentido colocarlo detrás de un firewall? Sólo se podrá acceder a él desde el servidor web y desde el servidor VPN, con algún usuario con privilegios que estará fuera de la LAN.

- ¿Tiene sentido usar kerberos en este esquema teniendo en cuenta que no necesito confidencialidad de datos (puedo transmitir en texto plano) pero no quiero bajo ningún concepto que alguien se me conecte a la LAN y pueda acceder a la web? (también necesito integridad de datos... "me da igual que lo lean pero que no lo modifiquen" ¿Tendría más sentido para esto hacer filtrado por direcciones físicas (MAC) en la LAN que kerberos, dado que no estoy interesado en cifrar información?

Cualquier duda sobre el esquema o comentario es más que bienvenido.

Muchas gracias!

mester

Cita de: guiu en 12 Febrero 2015, 17:28 PM
Buenas,
A ver si me podéis dar vuestra opinión sobre la segmentación/securización de una aplicación web. El esquema es el siguiente:



La idea es que la aplicación normalmente sea accedida desde la LAN, y que haya algún usuario de fuera de esta LAN que tenga acceso (controlado), de ahí la VPN. Las dudas que tengo son las suiguientes:

- El servidor de Base de Datos es lo más importante y lo que más tengo que proteger. ¿Tiene sentido colocarlo detrás de un firewall? Sólo se podrá acceder a él desde el servidor web y desde el servidor VPN, con algún usuario con privilegios que estará fuera de la LAN.

- ¿Tiene sentido usar kerberos en este esquema teniendo en cuenta que no necesito confidencialidad de datos (puedo transmitir en texto plano) pero no quiero bajo ningún concepto que alguien se me conecte a la LAN y pueda acceder a la web? (también necesito integridad de datos... "me da igual que lo lean pero que no lo modifiquen" ¿Tendría más sentido para esto hacer filtrado por direcciones físicas (MAC) en la LAN que kerberos, dado que no estoy interesado en cifrar información?

Cualquier duda sobre el esquema o comentario es más que bienvenido.

Muchas gracias!

Según este esquema, la LAN tiene acceso al servidor de bases de datos. Yo pondría a los usuarios de la LAN en un árbol a parte para que solo puedan acceder al VPN. Es decir, los usuarios en un lado y los servidores en otro, y lo único que les una sea la VPN. Espero haberte ayudado.
Justicia es dar a cada uno lo que se merece

MinusFour

¿El servidor VPN tambien es el router? ¿Y como estan conectados los equipos? ¿Switch, Hub?