มีวิธีที่ปลอดภัยที่จะอนุญาตให้ IIS 7 ใน DMZ เข้าถึงเซิร์ฟเวอร์ฐานข้อมูลหลังไฟร์วอลล์หรือไม่

12

ผู้ดูแลระบบเครือข่ายของเรายืนกรานว่ามันไม่ปลอดภัยสำหรับเว็บเซิร์ฟเวอร์ของเราซึ่งโฮสต์ใน DMZ เพื่อเข้าถึงเซิร์ฟเวอร์ DB หลังไฟร์วอลล์ของเรา เพื่อแก้ไขปัญหาเราเข้าถึงข้อมูลผ่านบริการบนเว็บหรือ WCF ฉันรู้สึกว่านี่เป็นภาระด้านประสิทธิภาพที่ไม่จำเป็นซึ่งสามารถกำจัดได้หากเว็บเซิร์ฟเวอร์สามารถเข้าถึงฐานข้อมูลได้โดยตรง

เหตุผลที่ฉันได้รับคือแฮกเกอร์สามารถเข้าสู่เว็บเซิร์ฟเวอร์ที่พวกเขาสามารถเข้าถึงฐานข้อมูลได้ เป็นไปได้หรือไม่ที่จะเปิดพอร์ตสำหรับ IIS เท่านั้นหรือเป็นไปไม่ได้ที่จะระบุให้เฉพาะเจาะจง ถ้าเราสามารถล็อคมันลงไปใน IIS ได้เพียงอย่างเดียวมันอาจจะเป็นสิ่งที่แฮ็กเกอร์นั้นประกอบขึ้นได้อย่างง่ายดายหรือไม่?

ฉันอ่านบทความต่าง ๆ บนอินเทอร์เน็ต แต่ฉันไม่สามารถหาคำตอบที่แน่นอนได้

อัล

sql-server  database  iis  firewall  dmz 
อัลโพลเดน
แหล่งที่มา
คำถามที่น่าสนใจ!
Kangkan
สุดยอดคำถามแน่นอน! มันคงจะดีกว่านี้ถ้าชื่อนั้นมี Generic มากกว่าโดยไม่ต้องระบุชื่อของสแต็คเทคโนโลยี (IIS, WCF และอื่น ๆ )
Chathura Kulasinghe

คำตอบ:

9

ฉันได้ตั้งค่าแพลตฟอร์มสำหรับองค์กรขนาดใหญ่และการปฏิบัติตามปกติคือเพื่อให้แน่ใจว่าฐานข้อมูลของคุณอยู่บน VLAN ที่แตกต่างจากเว็บเซิร์ฟเวอร์ของคุณโดยมีไฟร์วอลล์อยู่ระหว่างทราฟฟิกเส้นทางเหล่านี้ไปยังพอร์ตเซิร์ฟเวอร์ฐานข้อมูลเท่านั้น เซิร์ฟเวอร์ โดยทั่วไปแล้วไฟร์วอลล์ด้านหน้าของคุณจะส่งต่อพอร์ต 80 (HTTP) และพอร์ต 443 (HTTPS) ไปยังเว็บเซิร์ฟเวอร์ของคุณ ไฟร์วอลล์นั่งอยู่ระหว่างเว็บเซิร์ฟเวอร์และเซิร์ฟเวอร์ฐานข้อมูลจะส่งต่อทราฟฟิกจากเว็บเซิร์ฟเวอร์ไปยังพอร์ตที่ใช้โดยฐานข้อมูลของคุณ (โดยทั่วไปคือพอร์ต 1433 หากใช้ Microsoft SQL Server)

เพื่อความปลอดภัยที่เพิ่มขึ้น:

  • ให้แน่ใจว่าคุณใช้บัญชีที่มีสิทธิ์น้อยที่สุดในการเข้าถึงเซิร์ฟเวอร์ฐานข้อมูล
  • หากคุณใช้ ASP.NET คุณสามารถเข้ารหัสสตริงการเชื่อมต่อฐานข้อมูลของคุณใน web.config
  • จ้าง บริษัท บุคคลที่สามเพื่อทำการทดสอบการเจาะระบบเพื่อแนะนำช่องโหว่ใด ๆ
  • ตรวจสอบให้แน่ใจว่ามีการติดตั้งการอัปเดตและ Service Pack ตามกำหนดเวลาปกติ

หากฐานข้อมูลของคุณเป็นฐานข้อมูล MI6 หรือ CIA ผู้ดูแลระบบเครือข่ายของคุณอาจจะถูกต้อง แต่ฉันก็ดูเหมือนว่าพวกเขากำลังทำปฏิกิริยามากเกินไป

หากฐานข้อมูลมีข้อมูลที่ไม่สามารถสัมผัสกับเครือข่ายสาธารณะได้อย่างสมบูรณ์ แต่ข้อมูลที่ฐานข้อมูลของคุณต้องการนั้นไม่อ่อนไหวคุณสามารถดูการจำลองตารางที่เว็บไซต์ของคุณต้องการให้กับฐานข้อมูลที่อยู่ในสภาพแวดล้อมการโฮสต์ของคุณหรือไม่

ฉันถามคำถามพวกเขา:

  • หากแฮกเกอร์เข้าถึงเว็บเซิร์ฟเวอร์พวกเขาจะเรียกบริการเว็บของคุณได้หรือไม่?
  • หากมีการค้นพบช่องโหว่ใน IIS ซึ่งทำให้พวกเขาสามารถเข้าถึงเว็บเซิร์ฟเวอร์ของคุณได้แน่นอนพวกเขาเพียงแค่ใช้ช่องโหว่เดียวกันนี้บนเว็บเซิร์ฟเวอร์ที่ให้บริการเว็บของคุณ
  • พวกเขาสามารถติดตั้งซอฟต์แวร์ที่ตรวจสอบการป้อนข้อมูลของผู้ใช้เพื่อสูดดมรหัสผ่านในหน่วยความจำได้หรือไม่?
ขอบคุณสำหรับคำแนะนำ. ตอนนี้ฉันมีงานยากที่จะโน้มน้าวให้ผู้ดูแลระบบเครือข่ายเปลี่ยนการตั้งค่า
อัลโพลเดน
4

เว็บเซิร์ฟเวอร์ของคุณอาจอยู่หลังไฟร์วอลล์เช่นกันพวกเขาเพียงแค่ต้องส่งพอร์ต 80 ไปยังเซิร์ฟเวอร์ที่ถูกต้อง พอร์ตอื่น ๆ ทั้งหมดที่เว็บเซิร์ฟเวอร์ของคุณไม่จำเป็นต้องปิดในไฟร์วอลล์ภายนอกส่วนใหญ่ จากนั้นควรมีไฟร์วอลล์ระหว่างเว็บเซิร์ฟเวอร์และเซิร์ฟเวอร์ข้อมูลของคุณ ในไฟร์วอลล์นั้นคุณจะอนุญาตพอร์ตที่เปิดฐานข้อมูลไว้เท่านั้น

นี่คือแผนภาพ

อินเทอร์เน็ต -> ไฟร์วอลล์ -> เว็บเซิร์ฟเวอร์ -> ไฟร์วอลล์ -> ฐานข้อมูล

FYI ฉันเป็นนักพัฒนาแม้ว่าฉันจะทำงานกับพนักงานไอทีของเราบ่อยครั้งที่ บริษัท ของฉันเนื่องจากเราเป็นร้านค้าเล็ก ๆ

พอลเมนโดซา
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.