Nasi administratorzy sieci są przekonani, że dostęp do serwera DB za naszą zaporą ogniową nie jest bezpieczny dla naszych serwerów sieciowych, które są hostowane w strefie DMZ. Aby obejść ten problem, uzyskujemy dostęp do danych za pośrednictwem usług internetowych lub WCF. Wydaje mi się, że jest to niepotrzebne obciążenie wydajnościowe, które można by wyeliminować, gdyby serwer WWW miał bezpośredni dostęp do bazy danych.
Podano mi powód, dla którego haker mógł zalogować się do serwera WWW, aby uzyskać dostęp do bazy danych. Czy można otworzyć porty tylko dla IIS, czy też nie można być tak konkretnym? Jeśli możemy zablokować to tylko w IIS, czy haker może to łatwo zawrzeć?
Czytałem różne posty w Internecie, ale nie mogę znaleźć jednoznacznej odpowiedzi.
Glin
Odpowiedzi:
Skonfigurowałem platformy dla dużych przedsiębiorstw i normalną praktyką jest upewnianie się, że bazy danych znajdują się w innej sieci VLAN niż serwery sieciowe, a zapora sieciowa znajduje się pomiędzy tym ruchem routingu do portu serwera bazy danych, a także zapora ogniowa przed twoją siecią serwery. Zazwyczaj przednia zapora przesyła port 80 (HTTP) i port 443 (HTTPS) do serwerów sieciowych. Zapora znajdująca się między serwerem WWW a serwerem bazy danych będzie przekazywać ruch z serwerów internetowych do portu używanego przez twoją bazę danych (zazwyczaj port 1433, jeśli używasz Microsoft SQL Server).
W celu zwiększenia bezpieczeństwa:
Jeśli twoja baza danych to baza MI6 lub CIA, to prawdopodobnie administratorzy twojej sieci mają rację, ale ja też wydaje mi się, że przesadzają.
Jeśli baza danych zawiera dane, które absolutnie nie mogą być narażone na działanie sieci publicznej, ale dane, których potrzebuje baza danych, nie są tak wrażliwe, czy możesz spojrzeć na replikację tabel wymaganych przez twoją stronę do bazy danych znajdującej się w twoim środowisku hostingowym?
Zadałbym im pytanie:
źródło
Twoje serwery sieciowe również mogą znajdować się za zaporą ogniową, wystarczy, że port 80 zostanie przekierowany na właściwy serwer. Wszystkie pozostałe porty, których serwer nie potrzebuje, powinny być zamknięte na większości zewnętrznych zapór sieciowych. Następnie powinna istnieć zapora ogniowa między serwerami sieciowymi a serwerami danych. W tej zaporze zezwalasz tylko na otwieranie portów, o których mówią bazy danych.
Oto schemat
Internet -> Zapora -> Serwery WWW -> Zapora -> Bazy danych
Dla ciebie jestem programistą, chociaż często pracuję z pracownikami IT w mojej firmie, ponieważ jesteśmy małym sklepem.
źródło