問題タブ [dmz]

2つのOracle10.2.0.4サーバーがあります。1つは内部イントラネットネットワーク内にあり、もう1つはパブリックアクセス用のDMZネットワーク内にあります。セキュリティ上の理由から、双方向ファイアウォールルールを開くことができないため、イントラネット-> DMZからのみDBリンクを確立できますが、他の方向からは確立できません。

私の要件は、2つのデータベース間でスケジュールされた間隔でテーブルを同期させることです。私の当初の計画はマテリアライズドビューを使用することでしたが、このテクノロジーには双方向のデータベースリンクが必要です。

これを達成する方法について誰かが何か提案をいただければ幸いです。簡単な解決策があるはずだと感じているので、サードパーティ製品を避けようとしていますが、洞察を聞いてうれしいです。

「エクストラネット」ASP.NETアプリケーションをホストするWebDMZサーバーを入手しました。ユーザーは、職場のWindowsで使用しているのと同じユーザーとパスワードを使用してこのアプリケーションに対して認証する必要があります。（Active Directoryを使用しています）

DMZWebサーバーからActiveDirectoryに接続するための最良の方法（最も安全な方法）を知りたいです。

今のところ、私は2つの可能性を見ました：
-RODC
-LDAP Over SSL（LDAPS）

他におすすめのオプションはありますか？他にどのようなオプションを検討する必要がありますか？これらのソリューションのいずれかに制限、または潜在的な問題がありますか？

DMZ には、インターネットへのオープン アクセス (もちろん) と、内部ファイアウォールを介した内部ネットワークへの RDP アクセスを持つ Web サーバーがあります。当社の Web 開発者 (Visual Studio を含むさまざまなツールを使用) は、コンテンツの変更と新しいプロジェクトを Web サーバー上の特定のフォルダーに「公開」する機能を必要としています。この機能を使用するには、発行先のサーバーにドライブをマップする必要があります。

問題は、私たちのネットワーク チームが内部的にサーバーへの NTFS アクセスを開くことを拒否していることです。ポート番号で NTFS アクセスを制限する方法はありません。私が知っているオプションとしては、単に存在しません。

したがって、私たちの質問は次のようになります。他の企業は、内部ネットワークから Web サーバーに出入りするトラフィックを保護する必要があるに違いありません。Web サーバーを完全に開かずに、DMZ 内の Web サーバーにマップされたドライブを許可するにはどうすればよいですか?

ありがとう

私たちのネットワークは、2 番目の NIC に IPCop で接続された ESXi 5 上に構築されています。最初の NIC では、スイッチを介してすべてのクライアントに接続されています。

ESXi には、2 つの NIC を備えた Windows Server SBS 2011 Standard があります。1 つはプライベート ネットワーク用で、もう 1 つはインターネットに接続するためです。

これを RRAS で動作させることができましたが、どういうわけか VPN 経由でサーバーに接続できません。常に 691 エラーが発生します。私はプロトコルとして PPTP を使用し、必要なポートを転送しています... テストのために Windows ファイアウォールを無効にしました。

エラーは、正しいユーザー名またはパスワードを入力したかどうかを確認するように指示しています。そうしないと、RAS サーバーが認証プロトコルを許可しない可能性があります...しかし、RAS 設定で、ras とルーティング用に pptp ポートを有効にしました。

これについて何か助けはありますか？

私はTFSをホームサーバーに長い間インストールしてきましたが、とても気に入っています。私と他の何人かがプログラミングプロジェクトに取り組む必要があるので、今私はそれをインターネット上で公開する必要があります。

私はDLinkルーター「DIR-825」を持っており、多くの研究を行ってきましたが、なぜそれを動作させることができないのかについて少し困惑しています。ホームサーバーのIPアドレスが192.168.1.08であるポートフォワーディングとDMZ（コンピューターのファイアウォールが無効になっている）を試してみましたが、DMZでも機能しません。私のルーターのWANアドレスは、Googleが私のIPアドレスと言っているものと一致します。

コンピューターをルーターの外に置くと、すべてが正常になります。ルーターにコンピューターが入ると、WANアドレスを使用しているときに何も接続できなくなります。

私がこのウェブサイトを使用するとき：http：//canyouseeme.org/

ポート80、8080、8081がすべて私のWANIPアドレスで開いていると表示されます。

私が考えることができる唯一のことは、ルーターが私のWANIPを間違ったコンピューターにルーティングしていることです。あなたたちがこれがそれだと思うなら、私はそれをどのように修正しますか？

そうでない場合、これを機能させるにはどうすればよいですか？

私はネットワーキングの専門家ではないので、アドバイスが必要です。

ありがとうございました

開発環境の DMZ にある Windows Server 2008 R2 SP1 x64 を搭載したサーバーで Visual Studio 2012 リモート デバッガーを使用しようとしています。このサーバーは、インターネットに直接アクセスするのではなく、ファイアウォールを介してアクセスします。そこで、ワークステーションから Visual Studio 2012 用のリモート ツールをダウンロードし、それをサーバーにコピーしてインストールすれば、すべて問題ありません。

リモート デバッガー構成ウィザードを開始して、Windows Web サービス API をインストールしようとすると、失敗し、次のメッセージが表示されます。

Visual Studio リモート デバッガー構成ウィザードを完了できませんでした

デバッガーは、Windows Web サービス API をインストールできませんでした。更新インストーラーのダウンロードに失敗しました。お使いのコンピュータがインターネットにアクセスできることを確認してください。

ダウンロード URL: http://go.microsoft.com/fwklink/?LinkId=215754 内部コード: 0x800c0005

ウィザードを閉じるには、[完了] をクリックします。

私はいい子なので、[完了] をクリックしてウィザードを閉じます。しかし、ウィザードによって提供されたダウンロード URL に移動する前に、Microsoft.com 検索 ( http://search.microsoft.com/en-US/search.aspx )に移動するため、成功しません。

でも、私は男です！私は泣かないでグーグルを続けます（検索しますか？）が、今回は WWSAPI Redistributable を検索していましたが、当時は成功していませんでした。次に、ここで私のものと同様の状況を検索しました。 VS2012 を使用したリモート デバッグ用の Windows Web サービス API ですが、解決策がないため、StackOverflow で質問することにしました。だから、私の状況の解決策を見つけるのを手伝ってくれることを願っています. ありがとう！

NTPサーバーはDMZに常駐する必要がありますか？セキュリティ上の懸念は何ですか？ネットワークアーキテクチャのセキュリティレビューを行っています。

接続しようとすると、次のようなエラーが発生します。

ログインに失敗しました。ログインは Windows 認証では使用できません

同じドメインにないマシン間で信頼された接続を使用しようとしているだけなので、SQL Server と Web サーバーでミラー化されたローカル アカウントを使用しています。それはかなり一般的なことのように思えますが、私の状況に当てはまる答えを見つけようと何日も試みた後、私は答えのどれも当てはまることを認識していません...それまたは私が. NET 開発者であり、システム管理者や DBA ではないということは、私がそれを持っていて、それを知らないということです。

私が言えることは次のとおりです。

• CMS Web サーバー: 企業 DMZ 上の Windows Server 2008、IIS7 で実行される ASP.NET 4.0 Web アプリ
• CMS データベース サーバー: ドメイン サーバー上の SQL Server 2008 R2
• ここでは説明しませんが、さまざまな理由から、資格情報の暗号化は十分ではありません。
• アプリケーションが接続する必要があるデータベース ポートは標準ポートではなく、別のポートでリッスンするように設定されています。
• DB ミラーリングの設定はオプションではなく、実際には要件に対応していません (私の考え方では)

また、参考までに:

• コンテンツ エントリは、DMZ Web サーバーによってアクセスされる同じ DB にコンテンツを発行する内部 Web サーバーで発生します。

• コンテンツ サーバーは、-ga スイッチを使用してサービス アカウントとして設定され、すべての適切な権限が付与された Windows ドメイン ユーザーと統合モードでアプリ プールを Web サイトで実行するように設定されており、すべてが完璧に実行されます。

• 外部 Web サーバー、ドメイン アクセスなし、ミラーリングされたアカウントを使用 (SQL Server マシンと Web マシンで設定された同じユーザー名とパスワード)。

• -ga スイッチを使用してサービス アカウントとして設定され、アプリのアプリ プール ID として実行される Web サーバー上のローカル アカウント。
• SQL Server ボックスで、同一の資格情報を持つローカル ユーザーを作成し、ドメイン ユーザー ID と同じ権限を与えます。
• SQL Server ユーザー資格情報を使用して Web サーバーにインストールされた MGMT Studio 経由で SQL Server に接続すると、正常に動作します。

ここで、ユーザー名を接続文字列に入れると、すべてが完璧になります。ドメイン サーバーの接続文字列で行ったように、trusted_connection=yes を接続文字列に入れるとすぐに、信頼エラーが発生します。

したがって、接続文字列が次のような場合、正常に動作します。

接続文字列を次のいずれかに変更すると、失敗します。

また

クライアントのネットワーク管理者の 1 人と仕事をしていますが、彼は必ずしも DBA ではなく、Web アプリの構成の経験もありません。そのため、何かが不足している可能性があり、アドバイスやアイデアが役立ちます. 私は何が欠けていますか？

IaaS VMを使用して、AzureでエクストラパラノイドハブアンドスポークDMZセットアップを作成したいと思います。

厳しくロックダウンしたいフロントエンドサーバー（つまり、IIS Webサーバー）に面したパブリックインターネットがあります。ただし、フロントエンドでは、一部のバックエンドサーバー（データベース、ドメインコントローラーなど）にアクセスする必要があります。確認したい：

1. フロントエンドサーバーのみがバックエンドサーバーと通信でき、合意されたポートでのみ通信できます。
2. バックエンドサーバーは、パブリックインターネットとの間でトラフィックを送受信できません。
3. バックエンドサーバーは相互に通信できません。
4. これらのルールは、多層防御を提供するためにVMオペレーティングシステムレイヤーを超えて適用されます。

これは妥当なシナリオのように思えますが、Azureでは実現できないようです。私ができる最も近いものは次のとおりです。

• IaaS VMフロントエンドを作成し、そのエンドポイントを適切に制限します
• 「フロントエンド」と「バックエンド」のサブネットを使用してAzure仮想ネットワークを作成し、各マシンを適切なサブネットに配置します。
• バックエンドVMへのRDPアクセスを防止します。バックエンドマシンにRDPを実行する場合は、フロントエンドVMを介して実行する必要があります。
• これらの各マシンにWindowsファイアウォールルールを設定して、これらのハブアンドスポークスタイルのルールを適用します。

これは問題なく動作しますが、私が望むほどロックダウンされていません。各マシンのWindows/Linuxファイアウォール設定に依存する必要がないように、多層防御が本当に必要です。たとえば、バックエンドサーバーが管理者の資格情報を使用してアプリケーションを実行する必要があるとします（これに代わるものがないと仮定します）。バックエンドサーバーのバグ（または悪意のあるクエリ）ができないように、保護の追加レイヤーが必要です。

• バックエンドのファイアウォールを再構成して、制限を緩和します。
• フロントエンドマシン（これにはパブリックインターネットが含まれます）以外の人と話します。

私の知る限り、これは仮想ネットワークを使用するAzureでは不可能です。理由は次のとおりです。

• Azure Virtual Networksは、ACLやその他の高度なフィルタリングサポートを公開していないようです。
• Azure IaaS VMは単一のNICのみをサポートするため、フロントエンドをフロントエンドとバックエンドの両方のサブネットでマルチホーム化することはできません。

私は何かが足りないのですか？複数の仮想ネットワークを使用して何かを一緒にハッキングし、それらを/ 30サブネットの束として一緒にVPNできるように思えますが、それはかなりひどいようです。Azureでこれを理解できない場合、私の唯一の合理的な代替手段は、仮想プライベートクラウド（VPC）を使用してAWSでこのようなものをセットアップすることです。任意のヘルプ/ガイダンスをいただければ幸いです。

会社の IT 部門によって展開および保守される Web サイトを構築します。私の Web サイトのバックエンドは、インターネット上のサードパーティ API にアクセスする必要があります。IT によると、このサイトから外部ネットワークにアクセスすることは許可されていません。これは容認できるセキュリティ制限ですか? 外部 API 呼び出しを行う安全な方法は何ですか?