क्या फ़ायरवॉल के पीछे DB सर्वर तक पहुँचने के लिए DMZ में IIS 7 की अनुमति देने का एक सुरक्षित तरीका है?


12

हमारे नेटवर्क व्यवस्थापक इस बात पर अड़े हैं कि यह हमारे वेब सर्वरों के लिए असुरक्षित है, जो DMZ में होस्ट किए जाते हैं, हमारे फ़ायरवॉल के पीछे DB सर्वर तक पहुँचते हैं। समस्या को हल करने के लिए, हम वेब सेवाओं या WCF के माध्यम से डेटा तक पहुँचते हैं। मुझे लगता है कि यह एक अनावश्यक प्रदर्शन बोझ है जिसे वेब सर्वर सीधे डीबी तक पहुंच सकता है तो इसे समाप्त किया जा सकता है।

मेरे द्वारा दिए गए कारण यह है कि एक हैकर वेब सर्वर पर लॉगिन करने में सक्षम था जिसे वे फिर डीबी तक पहुंचा सकते थे। क्या केवल IIS के लिए पोर्ट खोलना संभव है या क्या यह विशिष्ट होना संभव नहीं है? अगर हम इसे सिर्फ IIS के लिए लॉक कर सकते हैं, तो क्या यह हैकर द्वारा आसानी से शामिल किया जा सकता है?

मैंने इंटरनेट पर विभिन्न पोस्ट पढ़ी हैं, लेकिन मुझे निश्चित उत्तर नहीं मिल रहा है।

अल


दिलचस्प सवाल!
कंगण

महान सवाल वास्तव में! यह बहुत बेहतर होता अगर शीर्षक अधिक जेनेरिक हो सकता था, बिना प्रौद्योगिकी स्टैक (आईआईएस, डब्ल्यूसीएफ आदि) के नामों को निर्दिष्ट किए बिना
चतुरा कुलसिंघे

जवाबों:


9

मैंने बड़े पैमाने पर उद्यमों के लिए प्लेटफ़ॉर्म स्थापित किए हैं और सामान्य अभ्यास यह सुनिश्चित करने के लिए है कि आपके डेटाबेस आपके वेब सर्वर से अलग वीएलएएन पर हैं, इन राउटिंग ट्रैफ़िक के बीच डेटाबेस सर्वर पोर्ट के साथ-साथ आपकी वेब के सामने फ़ायरवॉल के साथ बैठे हैं। सर्वर। आमतौर पर आपका फ्रंट फ़ायरवॉल आपके वेब सर्वर पर पोर्ट 80 (HTTP) और पोर्ट 443 (HTTPS) को फॉरवर्ड करेगा। वेब सर्वर और डेटाबेस सर्वर के बीच फ़ायरवॉल बैठ गया, वेब सर्वर से आपके डेटाबेस द्वारा उपयोग किए जाने वाले पोर्ट (आमतौर पर Microsoft SQL सर्वर का उपयोग करते हुए 1433 पोर्ट) पर ट्रैफ़िक अग्रेषित करेगा।

बढ़ी हुई सुरक्षा के लिए:

  • सुनिश्चित करें कि आप डेटाबेस सर्वर तक पहुंचने के लिए कम से कम विशेषाधिकार प्राप्त खाते का उपयोग करते हैं
  • यदि आप ASP.NET का उपयोग कर रहे हैं तो आप web.config में अपने डेटाबेस कनेक्शन स्ट्रिंग को एन्क्रिप्ट कर सकते हैं
  • किसी भी कमजोरियों की सलाह के लिए एक पैठ परीक्षण करने के लिए एक तीसरे पक्ष की कंपनी को किराए पर लें
  • सुनिश्चित करें कि अपडेट और सर्विस पैक नियमित रूप से निर्धारित किए गए हैं।

यदि आपका डेटाबेस MI6 या CIA डेटाबेस है, तो आपके नेटवर्क के प्रवेश शायद सही हैं, लेकिन मुझे भी ऐसा लगता है जैसे वे ओवररिएक्ट कर रहे हैं।

यदि डेटाबेस में वे डेटा होते हैं, जो सार्वजनिक नेटवर्क से पूरी तरह से उजागर नहीं किए जा सकते हैं, लेकिन आपके डेटाबेस की ज़रूरत के अनुसार डेटा नहीं है, तो क्या आप संवेदनशील हो सकते हैं जो आपके वेब साइट पर आपके होस्टिंग वातावरण में मौजूद डेटाबेस के लिए आवश्यक तालिकाओं की प्रतिकृति को देख सकते हैं?

मैं उनसे सवाल पूछूंगा:

  • यदि हैकर वेब सर्वर तक पहुंच प्राप्त करता है, तो क्या वे आपकी वेब सेवाओं को कॉल कर सकते हैं?
  • यदि IIS में एक भेद्यता का पता चला है जो उन्हें आपके वेब सर्वर तक पहुंचने में सक्षम बनाता है तो निश्चित रूप से वे आपकी वेब सेवाओं की मेजबानी करने वाले वेब सर्वर पर उसी भेद्यता का फायदा उठाते हैं?
  • क्या वे सॉफ़्टवेयर स्थापित कर सकते हैं जो उपयोगकर्ता के इनपुट को स्मृति में पासवर्ड सूँघने पर नज़र रखता है?

सलाह के लिए धन्यवाद। अब, मेरे पास सेटअप बदलने के लिए नेटवर्क प्रवेश को राजी करने का मुश्किल काम है।
अल पोल्डेन

4

आपका वेब सर्वर फ़ायरवॉल के पीछे भी हो सकता है, उन्हें बस पोर्ट 80 को सही सर्वर पर भेजना होगा। आपके वेब सर्वर के अन्य सभी पोर्ट को उस बाहरी फ़ायरवॉल पर बंद नहीं होना चाहिए। फिर आपके वेब सर्वर और आपके डेटा सर्वर के बीच एक फ़ायरवॉल होना चाहिए। उस फ़ायरवॉल में आप केवल उन पोर्ट्स को अनुमति देंगे जो डेटाबेस खुले में बात करते हैं।

यहाँ एक चित्र है

इंटरनेट -> फ़ायरवॉल -> वेब सर्वर -> फ़ायरवॉल -> डेटाबेस

FYI करें, मैं एक डेवलपर हूं, हालांकि हम अपनी कंपनी में हमारे आईटी कर्मचारियों के साथ काम करते हैं क्योंकि हम एक छोटी सी दुकान हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.