DMZ'deki IIS 7'nin güvenlik duvarının arkasındaki bir DB sunucusuna erişmesine izin vermenin güvenli bir yolu var mı?

12

Ağ yöneticilerimiz, DMZ'de barındırılan web sunucularımızın güvenlik duvarımızın arkasındaki DB sunucusuna erişmesinin güvenli olmadığı konusunda kararlıdır. Sorunu çözmek için verilere web hizmetleri veya WCF aracılığıyla erişiyoruz. Bu web sunucusu doğrudan DB erişebilir eğer ortadan kaldırılabilir gereksiz bir performans yükü olduğunu hissediyorum.

Ben verildi nedenleri bir hacker daha sonra DB erişebilir web sunucusuna giriş yapabiliyor olmasıdır. Bağlantı noktalarını yalnızca IIS için açmak mümkün mü yoksa bu kadar spesifik olmak mümkün değil mi? Bunu sadece IIS'ye kilitleyebilirsek, bu bilgisayar korsanı tarafından kolayca oluşturulabilir mi?

İnternette çeşitli yayınlar okudum ama kesin bir cevap bulamıyorum.

Al

sql-server  database  iis  firewall  dmz 
Al Polden
kaynak
İlginç soru!
Kangkan
Gerçekten harika sorular! Teknoloji yığınlarının adlarını (IIS, WCF vb.)
Belirtmeden

Yanıtlar:

9

Büyük ölçekli işletmeler için platformlar kurdum ve normal uygulama, veritabanlarınızın yalnızca bu yönlendirme trafiği arasında veritabanı sunucusu bağlantı noktasına ve ayrıca webinizin önündeki güvenlik duvarına oturan bir güvenlik duvarı ile web sunucularınızdan farklı bir VLAN'da olmasını sağlamaktır. sunucular. Genellikle ön güvenlik duvarınız 80 (HTTP) ve 443 (HTTPS) bağlantı noktalarını web sunucularınıza iletir. Web sunucusu ile veritabanı sunucusu arasında bulunan güvenlik duvarı, web sunucularından trafiğinizi veritabanınız tarafından kullanılan bağlantı noktasına iletir (Microsoft SQL Server kullanılıyorsa genellikle 1433 bağlantı noktası).

Daha fazla güvenlik için:

  • Veritabanı sunucularına erişmek için en az ayrıcalıklı bir hesap kullandığınızdan emin olun
  • ASP.NET kullanıyorsanız, veritabanı bağlantı dizenizi web.config dosyasında şifreleyebilirsiniz.
  • Herhangi bir güvenlik açığı konusunda tavsiyede bulunmak için bir penetrasyon testi yapmak üzere bir üçüncü taraf şirketi kiralayın
  • Güncelleştirmeler ve Hizmet Paketlerinin düzenli olarak planlandığından emin olun.

Veritabanınız MI6 veya CIA veritabanı ise, ağ yöneticileriniz muhtemelen haklıdır, ancak ben de bana aşırı tepki veriyormuş gibi geliyor.

Veritabanı kesinlikle halka açık bir ağa maruz bırakılamayan veriler içeriyorsa ancak veritabanınızın ihtiyacı olan veriler o kadar hassas değilse, web sitenizin gerektirdiği tabloları barındırma ortamınızdaki bir veritabanına kopyalamaya bakabilir misiniz?

Onlara şu soruyu sorardım:

  • Bir bilgisayar korsanı web sunucusuna erişirse, web hizmetlerinizi arayabilir mi?
  • IIS'de web sunucunuza erişmelerini sağlayan bir güvenlik açığı keşfedilirse, web hizmetlerinizi barındıran web sunucusunda aynı güvenlik açığından yararlanırlar mı?
  • Bellekteki şifreleri koklamak için kullanıcı girişlerini izleyen bir yazılım yükleyebilirler mi?
Tavsiye için teşekkürler. Şimdi, ağ yöneticilerini kurulumu değiştirmek için ikna etmek zor bir görevim var.
Al Polden
4

Web sunucularınız bir güvenlik duvarının arkasında da olabilir, sadece 80 numaralı bağlantı noktasının doğru sunucuya yönlendirilmesi gerekir. Web sunucunuzun gereksinim duymadığı tüm diğer bağlantı noktaları, çoğu dış güvenlik duvarında kapatılmalıdır. Ardından web sunucularınız ve veri sunucularınız arasında bir güvenlik duvarı olmalıdır. Bu güvenlik duvarında yalnızca veritabanlarının konuştuğu bağlantı noktalarının açık olmasına izin verirsiniz.

İşte bir diyagram

İnternet -> Güvenlik Duvarı -> Web Sunucuları -> Güvenlik Duvarı -> Veritabanları

FYI, küçük bir dükkan olduğumuzdan beri şirketimde BT personelimizle sık sık çalışmama rağmen geliştiriciyim.

Paul Mendoza
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.