Ik ben zelf geen netwerkspecialist, maar vooral bezig met websites en koppelingen met back office systemen. Omdat veiligheid heel belangrijk is vraag ik mij af wat jullie vinden. Ik wil hiermee dus eigenlijk een discussie starten.
We hebben situaties A en B in de praktijk draaien, mijn vermoeden is dat situatie B veiliger is.
Stel: je wilt een website koppelen met een back office systeem. Gegeven is dat er een server (Windows) in het netwerk is van het back office systeem en een website op een webserver (Linux) ergens anders in Nederland. Ontwikkelaars van het back office systeem stellen als eis dat er een speciale, aparte koppelserver (Windows) in het netwerk opgenomen wordt met een drive mapping naar de server. De webserver koppelt via HTTP met de koppelserver.
Situatie A: de firewall wordt zo geconfigureerd dat de koppelserver in een DMZ komt. De webserver maakt via HTTP verbinding met de koppelserver en de koppelserver met behulp van de drive mapping met de server (niet in de DMZ, maar in het netwerk). Als extra beveiliging wordt alleen toegang tot de koppelserver gegeven via een beperkte set IP-adressen en een beperkte set poorten.
Situatie B: een extra server (Linux) wordt gebruikt met een SSH-server geïnstalleerd. De firewall laat alleen verkeer voor een SSH-poort door en alleeen naar de extra server. Wanneer ingelogd op de extra server kan via port forwarding de koppelserver bereikt worden, de koppelserver is binnen het netwerk geplaatst en de koppelserver maakt met behulp van de drive mapping verbinding met de server.
Situatie B alternatief: situatie B maar in plaats van een extra server wordt een SSH-server op de koppelserver geïnstalleerd (bijv. met Cygwin).
We hebben situaties A en B in de praktijk draaien, mijn vermoeden is dat situatie B veiliger is.
Stel: je wilt een website koppelen met een back office systeem. Gegeven is dat er een server (Windows) in het netwerk is van het back office systeem en een website op een webserver (Linux) ergens anders in Nederland. Ontwikkelaars van het back office systeem stellen als eis dat er een speciale, aparte koppelserver (Windows) in het netwerk opgenomen wordt met een drive mapping naar de server. De webserver koppelt via HTTP met de koppelserver.
Situatie A: de firewall wordt zo geconfigureerd dat de koppelserver in een DMZ komt. De webserver maakt via HTTP verbinding met de koppelserver en de koppelserver met behulp van de drive mapping met de server (niet in de DMZ, maar in het netwerk). Als extra beveiliging wordt alleen toegang tot de koppelserver gegeven via een beperkte set IP-adressen en een beperkte set poorten.
Situatie B: een extra server (Linux) wordt gebruikt met een SSH-server geïnstalleerd. De firewall laat alleen verkeer voor een SSH-poort door en alleeen naar de extra server. Wanneer ingelogd op de extra server kan via port forwarding de koppelserver bereikt worden, de koppelserver is binnen het netwerk geplaatst en de koppelserver maakt met behulp van de drive mapping verbinding met de server.
Situatie B alternatief: situatie B maar in plaats van een extra server wordt een SSH-server op de koppelserver geïnstalleerd (bijv. met Cygwin).
:strip_exif()/u/26499/avatarRHCP6060.gif?f=community){kind=avatar}
:strip_exif()/u/102705/ChuteBoxeLogo2.gif?f=community)
/u/10064/leuk_he.png?f=community)
:strip_icc():strip_exif()/u/8430/logo.jpg?f=community){kind=logo}
:strip_icc():strip_exif()/u/25852/bowmore_18k.jpg?f=community)
