Czy istnieje bezpieczny sposób, aby umożliwić IIS 7 w strefie DMZ dostęp do serwera DB za zaporą ogniową?

12

Nasi administratorzy sieci są przekonani, że dostęp do serwera DB za naszą zaporą ogniową nie jest bezpieczny dla naszych serwerów sieciowych, które są hostowane w strefie DMZ. Aby obejść ten problem, uzyskujemy dostęp do danych za pośrednictwem usług internetowych lub WCF. Wydaje mi się, że jest to niepotrzebne obciążenie wydajnościowe, które można by wyeliminować, gdyby serwer WWW miał bezpośredni dostęp do bazy danych.

Podano mi powód, dla którego haker mógł zalogować się do serwera WWW, aby uzyskać dostęp do bazy danych. Czy można otworzyć porty tylko dla IIS, czy też nie można być tak konkretnym? Jeśli możemy zablokować to tylko w IIS, czy haker może to łatwo zawrzeć?

Czytałem różne posty w Internecie, ale nie mogę znaleźć jednoznacznej odpowiedzi.

Glin

Al Polden
źródło
Interesujące pytanie!
Kangkan,
Rzeczywiście świetne pytania! Byłoby znacznie lepiej, gdyby tytuł mógł być bardziej ogólny, bez podawania nazw stosów technologii (IIS, WCF itp.)
Chathura Kulasinghe

Odpowiedzi:

9

Skonfigurowałem platformy dla dużych przedsiębiorstw i normalną praktyką jest upewnianie się, że bazy danych znajdują się w innej sieci VLAN niż serwery sieciowe, a zapora sieciowa znajduje się pomiędzy tym ruchem routingu do portu serwera bazy danych, a także zapora ogniowa przed twoją siecią serwery. Zazwyczaj przednia zapora przesyła port 80 (HTTP) i port 443 (HTTPS) do serwerów sieciowych. Zapora znajdująca się między serwerem WWW a serwerem bazy danych będzie przekazywać ruch z serwerów internetowych do portu używanego przez twoją bazę danych (zazwyczaj port 1433, jeśli używasz Microsoft SQL Server).

W celu zwiększenia bezpieczeństwa:

  • Upewnij się, że używasz najmniej uprzywilejowanego konta, aby uzyskać dostęp do serwerów bazy danych
  • Jeśli używasz ASP.NET, możesz zaszyfrować parametry połączenia z bazą danych w pliku web.config
  • Zatrudnij firmę zewnętrzną, która przeprowadzi test penetracyjny, aby poinformować o wszelkich lukach w zabezpieczeniach
  • Upewnij się, że aktualizacje i dodatki Service Pack są instalowane regularnie zgodnie z harmonogramem.

Jeśli twoja baza danych to baza MI6 lub CIA, to prawdopodobnie administratorzy twojej sieci mają rację, ale ja też wydaje mi się, że przesadzają.

Jeśli baza danych zawiera dane, które absolutnie nie mogą być narażone na działanie sieci publicznej, ale dane, których potrzebuje baza danych, nie są tak wrażliwe, czy możesz spojrzeć na replikację tabel wymaganych przez twoją stronę do bazy danych znajdującej się w twoim środowisku hostingowym?

Zadałbym im pytanie:

  • Jeśli haker uzyska dostęp do serwera internetowego, czy może zadzwonić do twoich usług internetowych?
  • Jeśli w usługach IIS zostanie wykryta luka, która umożliwiła im dostęp do serwera sieci, to z pewnością wykorzystają tę samą lukę na serwerze sieci Web obsługującym Twoje usługi sieciowe?
  • Czy mogą zainstalować oprogramowanie, które monitoruje dane wejściowe użytkownika w celu wąchania haseł w pamięci?

źródło
Dzięki za radę. Teraz mam trudne zadanie przekonania administratorów sieci do zmiany konfiguracji.
Al Polden
4

Twoje serwery sieciowe również mogą znajdować się za zaporą ogniową, wystarczy, że port 80 zostanie przekierowany na właściwy serwer. Wszystkie pozostałe porty, których serwer nie potrzebuje, powinny być zamknięte na większości zewnętrznych zapór sieciowych. Następnie powinna istnieć zapora ogniowa między serwerami sieciowymi a serwerami danych. W tej zaporze zezwalasz tylko na otwieranie portów, o których mówią bazy danych.

Oto schemat

Internet -> Zapora -> Serwery WWW -> Zapora -> Bazy danych

Dla ciebie jestem programistą, chociaż często pracuję z pracownikami IT w mojej firmie, ponieważ jesteśmy małym sklepem.

Paul Mendoza
źródło