Gibt es eine sichere Möglichkeit, IIS 7 in einer DMZ den Zugriff auf einen DB-Server hinter der Firewall zu ermöglichen?

12

Unsere Netzwerkadministratoren sind sich sicher, dass es für unsere Webserver, die in der DMZ gehostet werden, nicht sicher ist, auf den DB-Server hinter unserer Firewall zuzugreifen. Um das Problem zu umgehen, greifen wir über Webservices oder WCF auf die Daten zu. Ich halte dies für eine unnötige Leistungsbelastung, die vermieden werden könnte, wenn der Webserver direkt auf die Datenbank zugreifen könnte.

Der Grund, warum ich angegeben wurde, ist, dass sich ein Hacker auf dem Webserver anmelden konnte, um dann auf die Datenbank zuzugreifen. Ist es möglich, die Ports nur für IIS zu öffnen, oder kann dies nicht spezifisch sein? Wenn wir es nur auf IIS beschränken können, kann dies der Hacker dann leicht einbeziehen?

Ich habe verschiedene Beiträge im Internet gelesen, aber ich kann scheinbar keine eindeutige Antwort finden.

Al

Al Polden
quelle
Interessante Frage!
Kangkan
Tatsächlich tolle Fragen! Es wäre viel besser gewesen, wenn der Titel
allgemeiner

Antworten:

9

Ich habe Plattformen für große Unternehmen eingerichtet. In der Regel wird sichergestellt, dass sich Ihre Datenbanken in einem anderen VLAN befinden als Ihre Webserver, wobei sich zwischen diesen Routing-Daten nur eine Firewall zum Datenbankserver-Port und eine Firewall vor Ihrem Web befindet Server. Normalerweise leitet Ihre Front-Firewall Port 80 (HTTP) und Port 443 (HTTPS) an Ihre Webserver weiter. Die Firewall zwischen dem Webserver und dem Datenbankserver leitet den Datenverkehr von den Webservern an den von Ihrer Datenbank verwendeten Port weiter (normalerweise Port 1433, wenn Sie Microsoft SQL Server verwenden).

Für mehr Sicherheit:

  • Stellen Sie sicher, dass Sie ein Konto mit den geringsten Berechtigungen für den Zugriff auf die Datenbankserver verwenden
  • Wenn Sie ASP.NET verwenden, können Sie Ihre Datenbankverbindungszeichenfolge in der Datei web.config verschlüsseln
  • Beauftragen Sie ein Drittunternehmen, einen Penetrationstest durchzuführen, um auf Schwachstellen hinzuweisen
  • Stellen Sie sicher, dass Updates und Service Packs regelmäßig installiert werden.

Wenn es sich bei Ihrer Datenbank um die MI6- oder CIA-Datenbank handelt, haben Ihre Netzwerkadministratoren wahrscheinlich recht, aber auch ich habe den Eindruck, dass sie überreagieren.

Wenn die Datenbank Daten enthält, die für ein öffentliches Netzwerk absolut nicht zugänglich sind, Ihre Datenbank jedoch nicht so sensibel ist, können Sie die für Ihre Website erforderlichen Tabellen in einer Datenbank replizieren, die sich in Ihrer Hosting-Umgebung befindet?

Ich würde ihnen die Frage stellen:

  • Wenn ein Hacker Zugriff auf den Webserver erhält, kann er dann Ihre Webservices aufrufen?
  • Wenn in IIS eine Sicherheitsanfälligkeit entdeckt wird, die es ihnen ermöglicht, auf Ihren Webserver zuzugreifen, nutzen sie mit Sicherheit dieselbe Sicherheitsanfälligkeit auf dem Webserver, auf dem Ihre Webservices gehostet werden.
  • Könnten sie Software installieren, die Benutzereingaben überwacht, um Passwörter im Speicher aufzuspüren?

quelle
Danke für den Hinweis. Jetzt habe ich die schwierige Aufgabe, die Netzwerkadministratoren davon zu überzeugen, das Setup zu ändern.
Al Polden
4

Ihre Webserver können sich auch hinter einer Firewall befinden. Sie müssen lediglich Port 80 an den richtigen Server weiterleiten. Alle anderen Ports, die Ihr Webserver nicht benötigt, sollten auf der meisten externen Firewall geschlossen sein. Dann sollte es eine Firewall zwischen Ihren Webservern und Ihren Datenservern geben. In dieser Firewall dürfen nur die Ports geöffnet sein, über die die Datenbanken kommunizieren.

Hier ist ein Diagramm

Internet -> Firewall -> Webserver -> Firewall -> Datenbanken

Zu Ihrer Information, ich bin ein Entwickler, obwohl ich in meinem Unternehmen oft mit unseren IT-Mitarbeitern zusammenarbeite, da wir ein kleiner Laden sind.

Paul Mendoza
quelle