কোনও ওয়েব সার্ভারে ডিএমজেডের গর্তটি ঘুষি মারা কতটা বড় সমস্যা?

15

বর্তমানে আমাদের একটি ডিএমজেডে আমাদের ওয়েব সার্ভার রয়েছে। ওয়েব সার্ভার অভ্যন্তরীণ নেটওয়ার্কের মধ্যে কিছুই দেখতে পারে না, তবে অভ্যন্তরীণ নেটওয়ার্কটি ওয়েব সার্ভারটি দেখতে পারে। ডিএমজেড এবং অভ্যন্তরীণ নেটওয়ার্কের মধ্যে ফায়ারওয়ালের একটি গর্তটিকে ইন্ট্রনেটে কেবল একটি ওয়েব সার্ভারে খোঁচা দেওয়া কতটা নিরাপদ হবে? আমরা এমন কিছু নিয়ে কাজ করছি যা আমাদের বেশিরভাগ ব্যাক-অফিস অ্যাপ্লিকেশনগুলির (যা সবই একটি সার্ভারের মধ্যে রয়েছে) সাথে ইন্টারফেস করা হবে এবং আমরা যদি এই ডেটা ধারণকারী আইবিএম আই সার্ভারের সাথে সরাসরি যোগাযোগ করতে পারি তবে এই প্রকল্পটি করা এত সহজ হবে ( ওয়েব পরিষেবাগুলির মাধ্যমে)।

আমার বোঝাপড়া থেকে (এবং আমি ব্র্যান্ডগুলি জানি না), আমাদের ডিএমজেডের জন্য একটি ফায়ারওয়াল রয়েছে অন্য প্রাথমিক ফায়ারওয়ালের সাথে আমাদের প্রাথমিক আইপি থেকে আলাদা বাহ্যিক আইপি। আর একটি ফায়ারওয়াল ওয়েব সার্ভার এবং ইন্ট্রানেটের মধ্যে রয়েছে।

সুতরাং যেমন কিছু:

Web Server  <==== Firewall ===== Intranet
     |                              |
     |                              |
  Firewall                      Firewall
     |                              |
     |                              |
 Internet IP1                  Internet IP2
security  firewall  dmz 
মাইক উইলস
সূত্র
কীভাবে ফায়ারওয়াল এই ডিএমজেড সরবরাহ করছে এর মতো কিছু বিশদ সম্পর্কে?
স্পেসম্যানস্পিফ
@ স্পেসিম্যানস্পিফ আমি নেটওয়ার্ক সম্পর্কে আমার ন্যূনতম জ্ঞান থেকে চেষ্টা করেছি। আমি এই পরবর্তী প্রকল্পের পরিকল্পনা করছি এবং বিকল্পগুলি নিয়ে আসছি বিকাশকারী।
মাইক উইলস

উত্তর:

25

সুরক্ষিত নেটওয়ার্কের হোস্টগুলিকে অ্যাক্সেস করার জন্য ডিএমজেডে হোস্টদের অ্যাক্সেস ব্যবস্থা তৈরিতে কোনও ভুল নেই যখন যখন এটি আপনার উদ্দেশ্যে ফলাফলটি অর্জন করার প্রয়োজন হয়। এটি সম্ভবত এটি করা ভাল নয় তবে কখনও কখনও এটি কাজটি করার একমাত্র উপায়।

মূল বিষয়গুলি বিবেচনা করুন:

  • আপনি পারেন এমন সুনির্দিষ্ট ফায়ারওয়াল নিয়মে অ্যাক্সেস সীমাবদ্ধ করুন। যদি সম্ভব হয় তবে নির্দিষ্ট প্রোটোকল (টিসিপি এবং / বা ইউডিপি পোর্ট) ব্যবহার করা হবে এমন নিয়মের সাথে যুক্ত নির্দিষ্ট হোস্টের নাম দিন। মূলত, আপনার প্রয়োজন হিসাবে কেবল ছোট গর্তটি খুলুন।

  • নিশ্চিত হয়ে নিন যে আপনি ডিএমজেড হোস্ট থেকে সুরক্ষিত নেটওয়ার্কের হোস্টে অ্যাক্সেস লগ করছেন এবং যদি সম্ভব হয় তবে সেই লগগুলিকে বিশ্লেষণের জন্য একটি স্বয়ংক্রিয় ফ্যাশনে বিশ্লেষণ করুন। আপনি জানতে চান যখন কিছু সাধারণ কিছু ঘটে যায়।

  • সনাক্ত করুন যে আপনি কোনও অভ্যন্তরীণ হোস্টকে অপ্রত্যক্ষভাবে ইন্টারনেটে প্রকাশ করছেন। আপনি যে সফ্টওয়্যারটি প্রকাশ করছেন এবং হোস্টের অপারেটিং সিস্টেম সফ্টওয়্যার নিজেই তার জন্য প্যাচ এবং আপডেটের শীর্ষে থাকুন।

  • ডিএমজেড হোস্ট এবং অভ্যন্তরীণ হোস্টের মধ্যে পারস্পরিক প্রমাণীকরণ বিবেচনা করুন, যদি এটি আপনার অ্যাপ্লিকেশন আর্কিটেকচারের সাথে সম্ভব হয়। জেনে রাখা ভাল লাগবে যে অভ্যন্তরীণ হোস্টে অনুরোধগুলি আসলে ডিএমজেড হোস্টের কাছ থেকে আসছে। আপনি এটি করতে পারেন বা না করতে পারেন তা আপনার অ্যাপ্লিকেশন আর্কিটেকচারের উপর নির্ভর করে। এছাড়াও, মনে রাখবেন যে ডিএমজেড হোস্টের "মালিকানাধীন" কেউ প্রমাণীকরণের ঘটনাটি ঘটেছে এমনকি অভ্যন্তরীণ হোস্টকে অনুরোধ করতে সক্ষম হবে (যেহেতু তারা কার্যকরভাবে ডিএমজেড হোস্ট হবেন)।

  • ডিএমজেড হোস্টকে অভ্যন্তরীণ হোস্টের সংস্থান নিঃশেষিত করতে বাধা দেওয়ার জন্য যদি ডস আক্রমণগুলির বিষয়ে উদ্বেগ থাকে তবে রেট-সীমাবদ্ধতা ব্যবহার করা বিবেচনা করুন।

  • আপনি একটি স্তর 7 "ফায়ারওয়াল" পদ্ধতির ব্যবহার বিবেচনা করতে চাইতে পারেন, যেখানে ডিএমজেড হোস্টের অনুরোধগুলি প্রথমে একটি বিশেষ উদ্দেশ্যে অভ্যন্তরীণ হোস্টকে দেওয়া হয় যা অনুরোধগুলি "স্যানিটাইজ" করতে পারে, সেগুলি স্যানিটি-পরীক্ষা করে, এবং তারপরে এগুলিকে প্রেরণ করতে পারে "আসল" ব্যাক-এন্ড হোস্ট। যেহেতু আপনি আপনার আইবিএম আইসারিগুলিতে আপনার ব্যাক-অফিস অ্যাপ্লিকেশনগুলিতে ইন্টারফেস করার কথা বলছেন আমি অনুমান করছি যে আইসারিগুলি নিজেই আগত অনুরোধগুলির বিরুদ্ধে স্যানিটি-চেক করার জন্য আপনার সীমাবদ্ধ ক্ষমতা আছে।

যদি আপনি এটি একটি পদ্ধতিগত ফ্যাশনে যান এবং এ সম্পর্কে কিছু সাধারণ জ্ঞান রাখেন তবে একই সাথে ঝুঁকি হ্রাস করার সময় আপনি যা বর্ণনা করছেন তা করতে পারবেন না এমন কোনও কারণ নেই।

সত্যি বলতে গেলে, আপনি এমন একটি ডিএমজেড পেয়েছেন যার সুরক্ষিত নেটওয়ার্কে অবিচ্ছিন্ন অ্যাক্সেস নেই যা আমি দেখেছি এমন অনেকগুলি নেটওয়ার্কের বাইরে আপনাকে লাফিয়ে ও সীমাবদ্ধ করে দেয়। কিছু লোকের কাছে, মনে হয়, ডিএমজেডের অর্থ কেবল "ফায়ারওয়ালের একটি অন্য ইন্টারফেস, সম্ভবত কিছু আলাদা আরএফসি 1918 ঠিকানার সাথে, এবং মূলত ইন্টারনেট এবং সুরক্ষিত নেটওয়ার্কের নিরবচ্ছিন্ন অ্যাক্সেস "। চেষ্টা করুন এবং আপনার ডিএমজেডকে এখনও লকডাউন রাখুন যতক্ষণ আপনি ব্যবসায়ের লক্ষ্য অর্জনের সময় করতে পারেন এবং আপনি ভাল করবেন।

ইভান অ্যান্ডারসন
সূত্র
আমার চেয়ে ওয়াহায়ে আরও উত্তর দিন :) +1
ম্যাথু
আমি এই তথ্য ভালবাসি। আমি জিজ্ঞাসা করার আগে, আপনি যে বিষয়ে কথা বলেছেন সেগুলির কয়েকটি আমি বুঝতে পেরেছি। তবে এর অনেক কিছুই আমি পুরোপুরি উপলব্ধি করতে পারি নি। ধন্যবাদ!
মাইক উইলস
এটি স্যানিটি পরীক্ষা থেকে আপনি কী বোঝাতে চান তার উপর নির্ভর করে। এর মতো ক্ষেত্রে, আমরা যথাসম্ভব এসকিউএল এড়িয়ে চলব (যেহেতু আরপিজি ডাটাবেসগুলি "পড়তে পারে") এবং এটি প্রক্রিয়া করার আগে আগত ডেটাটিকে বৈধতা দেয়। এছাড়াও, ব্যাক-অফিস সফ্টওয়্যারটিতে প্রবেশ করা বেশিরভাগ ডেটা সম্ভবত কর্মীদের ম্যানুয়ালি মোকাবেলার জন্য একটি "ইনবক্স" এ যুক্ত করা হত।
মাইক উইলস
6

স্পষ্টতই কিছু বিপদ রয়েছে তবে আপনি এটি করতে পারেন। মূলত আপনি এমন একটি পিনহোল খুলছেন যা কেউ .ুকতে পারে তাই এটিকে ছোট করে দিন। এটি উভয় প্রান্তে কেবলমাত্র সার্ভারগুলিতে সীমাবদ্ধ করুন এবং কেবলমাত্র নির্বাচিত পোর্টগুলিতে ডেটা মঞ্জুর করুন। কেবল উদ্ভট বন্দরগুলি ব্যবহার করতে পোর্ট ঠিকানা অনুবাদ ব্যবহার করা খারাপ ধারণা নয়। তবুও, অস্পষ্টতার দ্বারা সুরক্ষা মোটেই সুরক্ষা নয়। নিশ্চিত হয়ে নিন যে অন্য পাশের সার্ভারটি যা কিছু আছে সেই তথ্যটি সংযোগের মধ্য দিয়ে যাচ্ছিল তা যাচাই করার কিছু উপায় রয়েছে যা সত্যই এটি প্রদর্শিত হচ্ছে ... বা কমপক্ষে কোনও প্রসঙ্গে সচেতন ফায়ারওয়াল রয়েছে। এছাড়াও, এই ধরণের জিনিসটির জন্য কিছু নির্দিষ্ট ফায়ারওয়াল তৈরি করা হয়েছে ... আমি জানি মাইক্রোসফ্ট আইএসএ ওডব্লিউএ এবং এক্সচেঞ্জ সার্ভারগুলির জন্য একই কাজ করে।

ম্যাথু
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.