Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ

[Mauricio Rivas <mrivas2@planinsa.com>]

Luis Eduardo Cortes escribió:

> Hola a todos:
>
> Tengo un servidor WWW en la DMZ de mi empresa que es accedido desde
> internet. Quisiera saber opiniones diversas referentes a implicancias
> de seguridad para hacer el siguiente cambio:
>
> La idea sería cambiar mi servidor web para la red interna y en la DMZ
> poner un proxy reverso que accedería a este servidor web cumpliendo
> con los pedidos desde internet (por lo cual ya no estaría tan expuesto
> el servidor WWW a sufrir un ataque directo como ahora lo está, según
> mi opinión), este acceso sería anónimo, ya que es la página web
> principal.
>
> No sé si los siguientes datos podrán aportar, pero aquí van:
> - El proxy sería Squid sobre Linux
> - El servidor WWW es Windows$    :-(
>
> El hecho de poder poner este servidor en mi red interna me haría
> posible integrar la publicación tanto de la INTRANET como de WWW en un
> solo servidor, y así no tener que pagar doble licenciamiento de los
> productos que uso para publicar contenido.
>
> Gracias de antemano,
> Luis
Luis,  tal como lo planteas me parece lo siguiente:

1) Desde la LAN puedes accesar a todo el contenido publicado en el WWW 
server
2) Si necesitas accesar contenido que necesita el WWW server que se 
encuentra en otro servidor en la LAN, creas las reglas para que el WWW 
server solo conecte con ese server en la LAN.

En resumen, solo necesitas hacer lo siguiente:

1) Dependiendo del Firewall que usas, crear las reglas para que la lan 
accese el WWW server
2) Otra regla para que el WWW server solo accese al server de la LAN 
donde esta el contenido
3) Si tienes IPS y/o IDS en el Firewall activalo, para que puedas 
prevenir y descartar ataques.

Yo haria esto es mas sencillo a mi parecer

MAuricio Rivas
Caracas, Venezuela