কোনও ডিএমজেডে আইআইএস 7 কে ফায়ারওয়ালের পিছনে কোনও ডিবি সার্ভার অ্যাক্সেস করার অনুমতি দেওয়ার কোনও নিরাপদ উপায় আছে?

12

আমাদের নেটওয়ার্ক প্রশাসকরা দৃama়রকম যে আমাদের ফায়ারওয়ালের পিছনে ডিবি সার্ভারটি অ্যাক্সেস করার জন্য ডিএমজেডে হোস্ট করা আমাদের ওয়েব সার্ভারগুলির পক্ষে এটি অনিরাপদ। সমস্যার সমাধান পেতে আমরা ওয়েব পরিষেবা বা ডাব্লুসিএফের মাধ্যমে ডেটা অ্যাক্সেস করি। আমি অনুভব করি যে এটি একটি অপ্রয়োজনীয় পারফরম্যান্স বোঝা যা ওয়েব সার্ভারটি সরাসরি ডিবি অ্যাক্সেস করতে পারলে মুছে ফেলা যায়।

আমাকে যে কারণগুলি দেওয়া হয়েছে তা হ্যাকার সেই ওয়েব সার্ভারে লগইন করতে সক্ষম হয়েছিল যা তারা তখন ডিবিতে অ্যাক্সেস করতে পারে। পোর্টগুলি কেবল আইআইএস-এর জন্য খোলা সম্ভব নাকি সুনির্দিষ্ট হওয়া সম্ভব নয়? যদি আমরা এটি কেবল আইআইএস-এ লক করতে পারি তবে এটি কি হ্যাকার দ্বারা সহজেই গঠিত হতে পারে?

আমি ইন্টারনেটে বিভিন্ন পোস্ট পড়েছি তবে সুনির্দিষ্ট উত্তর আমি খুঁজে পাচ্ছি না।

আল

sql-server  database  iis  firewall  dmz 
আল পোলডেন
সূত্র
মজার প্রশ্ন!
কংকান
সত্যিই দুর্দান্ত প্রশ্ন! প্রযুক্তি স্ট্যাকের নাম উল্লেখ না করে শিরোনামটি আরও জেনেরিক হতে পারলে আরও ভাল হত (আইআইএস, ডাব্লুসিএফ ইত্যাদি)
চতুরা কুলসিংহে

উত্তর:

9

আমি বড় আকারের উদ্যোগের জন্য প্ল্যাটফর্ম সেট আপ করেছি এবং স্বাভাবিক অনুশীলনটি হ'ল আপনার ওয়েব সার্ভার থেকে আপনার ডাটাবেসগুলি কোনও ভিন্ন ভিএলএনে রয়েছে তা ফায়ারওয়াল সহ কেবলমাত্র আপনার ওয়েবের সামনে ফায়ারওয়ালের পাশাপাশি এই রাউটিং ট্র্যাফিকের মধ্যে বসে থাকে ensure সার্ভার। সাধারণত আপনার সামনের ফায়ারওয়ালটি আপনার ওয়েব সার্ভারগুলিতে 80 (HTTP) এবং পোর্ট 443 (HTTPS) পোর্ট ফরওয়ার্ড করবে। ফায়ারওয়াল ওয়েব সার্ভার এবং ডাটাবেস সার্ভারের মধ্যে বসে ওয়েব সার্ভার থেকে আপনার ডাটাবেস দ্বারা ব্যবহৃত পোর্টে ট্র্যাফিক ফরোয়ার্ড করবে (সাধারণত মাইক্রোসফ্ট এসকিউএল সার্ভার ব্যবহার করা হলে 1433 পোর্ট)।

বর্ধিত সুরক্ষার জন্য:

  • ডাটাবেস সার্ভারগুলিতে অ্যাক্সেস করতে আপনি ন্যূনতম সুবিধাযুক্ত অ্যাকাউন্ট ব্যবহার করেছেন তা নিশ্চিত করুন
  • আপনি যদি এএসপি.এনইটি ব্যবহার করে থাকেন তবে আপনি ওয়েবকনফাইগে আপনার ডাটাবেস সংযোগ স্ট্রিংটি এনক্রিপ্ট করতে পারবেন
  • কোনও দুর্বলতার পরামর্শ দেওয়ার জন্য অনুপ্রবেশ পরীক্ষা চালানোর জন্য একটি তৃতীয় পক্ষের সংস্থা নিয়োগ করুন
  • আপডেট এবং পরিষেবা প্যাকগুলি নিয়মিত তফসিল ভিত্তিতে ইনস্টল করা আছে তা নিশ্চিত করুন।

যদি আপনার ডাটাবেসটি এমআই 6 বা সিআইএ ডাটাবেস হয় তবে আপনার নেটওয়ার্ক অ্যাডমিনগুলি সম্ভবত সঠিক, তবে আমার কাছেও মনে হচ্ছে তারা অত্যধিক আচরণ করছে।

ডাটাবেসে যদি এমন ডেটা থাকে যা একেবারে কোনও পাবলিক নেটওয়ার্কের সাথে প্রকাশ করা যায় না তবে আপনার ডাটাবেসের যে ডেটা প্রয়োজন তা সংবেদনশীল না আপনি কি আপনার ওয়েব সাইটটির আপনার হোস্টিংয়ের পরিবেশে থাকা একটি ডাটাবেসে টেবিলগুলি প্রতিলিপি করতে দেখবেন?

আমি তাদের প্রশ্ন জিজ্ঞাসা করব:

  • যদি কোনও হ্যাকার ওয়েব সার্ভারে অ্যাক্সেস অর্জন করে তবে তারা কি আপনার ওয়েব পরিষেবাদি কল করতে পারে?
  • আইআইএস-এ যদি কোনও দুর্বলতা সন্ধান করা হয় যা তাদের আপনার ওয়েব সার্ভার অ্যাক্সেস করতে সক্ষম করেছে তবে অবশ্যই তারা আপনার ওয়েব পরিষেবাদি হোস্টিং ওয়েব সার্ভারে একই দুর্বলতাটি কাজে লাগাবে?
  • তারা কি এমন সফ্টওয়্যার ইনস্টল করতে পারে যা মেমরির পাসওয়ার্ডগুলি স্মিফ করতে ব্যবহারকারী ইনপুট পর্যবেক্ষণ করে?
পরামর্শের জন্য ধন্যবাদ. এখন, নেটওয়ার্ক অ্যাডমিনদের সেটআপ পরিবর্তন করতে প্ররোচিত করা আমার পক্ষে কঠিন কাজ।
আল পোল্ডেন
4

আপনার ওয়েব সার্ভারগুলি ফায়ারওয়ালের পিছনেও থাকতে পারে, তাদের ঠিক 80 টি পোর্টটি সঠিক সার্ভারে ফরোয়ার্ড করা দরকার। আপনার ওয়েব সার্ভারের যে সমস্ত পোর্টের প্রয়োজন নেই সেই সমস্ত বহিরাগত ফায়ারওয়াল বন্ধ করা উচিত। তারপরে আপনার ওয়েব সার্ভার এবং আপনার ডেটা সার্ভারগুলির মধ্যে ফায়ারওয়াল থাকা উচিত। সেই ফায়ারওয়ালে আপনি কেবলমাত্র সেই বন্দরগুলিকেই অনুমতি দেবেন যেখানে ডেটাবেসগুলি কথা বলে।

এখানে একটি চিত্র আছে

ইন্টারনেট -> ফায়ারওয়াল -> ওয়েব সার্ভার -> ফায়ারওয়াল -> ডাটাবেস

এফওয়াইআই, আমি একজন বিকাশকারী যদিও আমি ছোট সংস্থার কারণে আমি প্রায়শই আমার সংস্থায় আইটি কর্মীদের সাথে কাজ করি।

পল মেন্ডোজা
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.