Originariamente inviato da ilguardiano
Ho guardato un po' in rete il concetto di Bastian Host.
Da profano quale sono, sembra poter funzionare. Ho espresso questa possibile soluzione al sistemista, ma (probabilmente per mancanza di Know-how) non sembra molto convinto.... anzi mi ha detto di rivolgermi ad una societa che si occupa di sicurezza .
Per quanto riguarda SSL, credo che i seguiro' i consigli di Daniele.

Sempre per quanto concerne i consigli di Daniele, non ho capito bene perche' non il bastion host non dovrebbe funzionare.
Le indicazioni trovate in rete, sembrano rassicurarmi sulla possibilità di attacco da parte di hacker.

Cito testuali parole "l'accesso a rete privata in modo diretto da parte di un hacker con questa architettura è veramente difficile, infatti l'hacker dovrebbe cambiare l'instradamento su tre reti senza chiudere la via di comunicazione e stando attento a non provocare nessun allarme; inoltre la difficoltà di questo attacco può essere aumentata disabilitando l'accesso ai screened routed dalla rete esterna, con questa ultima specifica infatti l'hacker dovrebbe penetrare prima sul Bastion Host, poi su un host della rete privata e poi finalmente sullo screening router. ".

Certo è che non bisogna prendere per oro colato tutto ciò che la rete ci dice, ma sembrerebbe una soluzione adeguata.
si ma questo quando l'admin di rete è MOLTO esperto e ha i vari ids installati a dovere e la rete strutturata in maniera molto sicura, cosa che non accade mai
io a casa ho perso una settimana per farmi una rete "sicura" e non ho avuto nemmeno il tempo di metter su il DMZ per il mio server interno, faccio solo dei redirect con il firewall sul mio server per le porte che mi interessano senza usare delle reti diverse e delle sk di rete diverse...e non credo che un rete interna possa essere realizzata in poco tempo tenendo conto di TUTTI i vari possibili buchi che possono sorgere

al max puoi utilizzare il server centrale per fare il travaso dei dasi da un db ad un'altro e come soluzione mi sembra la + affidabile xche è connesso a tutte le reti e comunque per poter accedere al db interno devono bucare la macchina, ma tenendo conto che se lo bucano ci accedano lo stesso la cosa non cambia

il mio consiglio è semplice...un semplice script php che gira sotto cli lanciato da cron che ogni X di tempo va a fare l'update del database sulla macchina web server leggendo i dati dall'interno della rete