問題タブ [dmz]

dmz (非武装地帯) にある Web サーバー (apache tomcat)、アプリケーション サーバー (jboss)、およびデータベース サーバーで構成される、大きな 3 層の ejb アプリケーションがあります。

私たちのクライアントでは、dmz とデータベース サーバーの間に接続がないことが必要です。

現在、Spring(ROO)の統合を考えています。

roo のデフォルトの配備モデルは、データベース サーバーに接続する Web アプリケーション (war) です。

このシナリオでは、Web アプリケーションは dmz で実行されますが、データベースへの接続はクライアントのセキュリティ要件に違反します。

この問題を解決する最善の方法は何ですか (セキュリティ要件を変更できないと仮定して)?

ではごきげんよう、

IIS Web サイトをホストする DMZ に Web サーバーがあります。Web サイトは、WCF サービスをホストしているプラ​​イベート ドメインのミドルウェア マシンと通信します。

Web サーバーが TCP バインディングを介してミドルウェア マシンと通信しようとすると、次のエラー メッセージが表示されます。

サーバーはクライアント資格情報を拒否しました。ログオンに失敗しました。

Web サイトはプライベート ドメインの AppPool アカウントを使用します (DMZ はプライベート ドメインを信頼します)。フォーム認証と匿名認証が有効になっています。

私の質問は、信頼されていないドメイン (dmz) から発信されたものであっても、ミドルウェア サーバーは有効な資格情報 (できれば appPool の資格情報) を認証できるでしょうか??

私は ASP.NET アプリケーション (C#) を持っています。これは、人々が記入してインターネット上で送信するための単なるフォームです。ただし、LAN 上の場所に (IO を使用して) ファイルを書き込むには、このアプリケーションが必要です。これは、DMZ による問題です。

私の理解では、DMZ の目的は、巨大で恐ろしいインターネットから LAN への接続を許可しないことです。
インターネット ---> LAN: ブロックされた
LAN ---> インターネット: 許可された
インターネット ---> DMZ: 特定のポートのみ
LAN ---> DMZ: 許可された
DMZ ---> LAN: ブロックされた

それで、なにかお手伝いできますか？

ドメイン内でデュアル チャネル サービスを実行しています。ポート 20120 に TCP バインディングがあり、ポート 20121 に HTTP バインディングがあります。

DMZ (Web) では、この WCF サービスにアクセスしたいと考えています。ファイアウォールは Web からサービスに対して開いているようです。telnet を使用すると、両方のポートにアクセスでき、Web のブラウザーから WSDL を参照することもできます。現在、Web アプリケーションからサービスに接続しようとすると (TcpBinding を使用しており、面倒なプロセスである新しいバイナリを再デプロイしないと簡単に HttpBinding に変更できません)、例外が発生します。

私たちのテスト環境はすべてイントラネットだったので、DMZ はありませんでした。そこではすべて正常に動作します。

サービス自体はドメイン ユーザーとして実行されており、クライアント サービスの動作には userPrincipal が構成されています (username@domain.ext など)。domain.exe のドメイン コントローラにアクセスする必要がありますか?

サービス側で WCF ログも有効にしましたが、そこでは何も起こりません。そこでは何も起こらなかったように、すべてが静かです。接続が切断された理由を確認するために見逃した他の場所はありますか。

EDIT1: wcf 接続を確立し、2 つのメソッドを呼び出す小さなテスト プログラムを作成しました。これは、サービスと同じマシンから、および dmz Web からも正常に機能します。バインド設定は同じです。（それを確認した）。dmz Web マシンの通常のコンソールからローカル ユーザーとしてテストを実行します。ヒントはありますか？

リモート コンピューター上のファイルを読み込もうとしていますが、ファイル共有用のポートがブロックされています。実際、ほとんどのポートは閉じられており、WMI およびレジストリ クエリを実行するためだけにアクセスできます。

WMI またはレジストリを使用して、リモート サーバーからデータを読み取ったりプルしたりすることはできますか?

Windows サービスでホストされている netTCPBinding を使用する WCF サービスがあります。このサービスは ContentManager サーバーに接続してドキュメントをアップロードし、メタデータを追加し、documentID を取得して .Net アプリケーションに渡します。クライアントは Windows 認証を使用して認証されます。この dll を参照するだけでドキュメントをアップロードしたい他の基幹業務アプリケーションがプロキシとして使用する WCF クライアント ライブラリを作成しました。クライアント アプリがイントラネット ドメイン内にある限り、これはすべて正常に機能します。

現在、携帯電話経由でアクセスする Web アプリでこのサービスを使用する必要があります。モバイル アプリケーションは、プロキシを参照して WCF サービスに接続する従来の asmx Web サービスにアクセスし、WCF サービスは別のバックエンド wcf サービスと通信して、コンテンツ マネージャーにアップロードします。 、asmx Web サービスは DMZ 内の現在のドメイン外のサーバーでホストされており、企業ドメインと DMZ の間に信頼関係はありません。両方のサーバーで必要なポートを開きましたが、クライアントの資格情報の種類が Windows であるため、「リモート サーバー相互認証の要件を満たしていませんでした。」これは期待されています。ドキュメントがスキャンされ、離れた場所から携帯電話経由で送信されるため、パフォーマンスの明らかな理由から nettcpbinding を使用したいと考えています。

私の質問は

1. 上記のシナリオでは、証明書を使用してクライアントを認証することは正しいアプローチですか?
2. セキュリティをどのように処理すればよいですか。現在、ほとんどすべての操作で宣言的な偽装が使用されています。セキュリティを変更する必要がある場合、サービスを使用している他のアプリケーションに影響を与えずにそれを行うにはどうすればよいですか。

私は以前に証明書に取り組んだことがないため、シナリオに関するガイダンスも非常に役立ちます。

ファイアウォールの背後のイントラネットに配置され、内部アプリケーションによってのみ消費される WCF サービスがいくつかあります。

新しい要件は、インターネットを介して外部企業からもいくつかのサービスを消費する必要があるということです。

私の会社の誰かが、DMZ で、会社の外に公開する必要があるサービスとまったく同じ契約でサービスを作成することを提案しています。これらの DMZ サービスの実装は、イントラネット サービスへの呼び出しのみになります。これで問題は解決しますが、他の解決策があると思います。

別の提案またはいくつかのネットワーク構成?, 明らかな何かが欠けていますか?

よろしくお願いします

Web サーバー (Apache) があり、このマシンで CA を構成して、自己署名 ssl クライアント証明書を (openssl 経由で) 作成しました。Web サーバーは DMZ 内にあるため、私の質問は次のとおりです。(内部ネットワーク内の) 別のマシンで ssl クライアント証明書を作成する方法はありますか?また、DMZ 内の Web サーバーをこれらの証明書を使用するように構成できますか?

クライアントのネットワークセキュリティ担当者は、セキュリティのためにDMZに新しいWebサイトを設定しています。これは私には完全に理にかなっています。ただし、彼女は、会社の従業員が社内でサイトにアクセスできないようにすることがベストプラクティスであると述べました。たとえば、サイトが稼働しているかどうかを確認するために、彼女は電話を使用することを提案しました。

これは新しいことですか？それも意味がありますか？これまで、会社の従業員が社内ネットワークを介して会社のWebサイトにアクセスすることを許可しないという話は聞いたことがありません。私はセキュリティ担当者ではなく、開発者です。これが正しければ、私に知らせてください。それは私には珍しいことのように思えました。

これは、企業が現在実装しているベストプラクティスですか？それは行くためのアドバイスされた方法ですか？

どんな情報でも大歓迎です。私はただ混乱して少し唖然としました。

ありがとう！

社内で社内アプリケーションを構築します。データサンプルはDMZネットワーク上にあると言われましたが、どうすればこれに接続できますか？主なタスクは、データを表示して表示することです。DMZネットワークについてはわかりませんが、これを実現するために利用できるAPIの種類はありますか？