এমএসডিপ্লয় এজেন্ট পরিষেবা কি আমাদের সার্ভারগুলিতে আক্রমণ আক্রমণকারী ভেক্টরটি খুলতে পারে?

13

আমরা আমাদের প্রোডাকশন সার্ভারগুলিতে স্বয়ংক্রিয় মোতায়েনের জন্য এমএসডিপ্লাই ওয়েব ডিপ্লয়মেন্ট এজেন্ট পরিষেবা ব্যবহারের মূল্যায়ন করছি।

একটি জিনিস যা আমরা সন্ধান করতে পারি না তা হ'ল সম্ভাব্য সুরক্ষা প্রভাব।

একটি জিনিসের জন্য, আমাদের ওয়েব সার্ভারগুলি অবশ্যই সুরক্ষিত (ফায়ারওয়াল এবং লোড ব্যালান্সারগুলির পিছনে) তাই কেবলমাত্র বাইরে থেকে http (গুলি) ট্র্যাফিকের অনুমতি রয়েছে।

তবুও, ওয়েব ডিপ্লোমেন্ট এজেন্ট আইআইএস (কেবলমাত্র বাইরের মুখোমুখি) এর সাথে একীভূতভাবে চালিত হয়, কারণ এটি http (গুলি) এর মাধ্যমে অ্যাক্সেসযোগ্য। সুতরাং আমরা আশঙ্কা করি যে I আইআইএস-এ হোস্ট করা ওয়েবে মাধ্যমে এজেন্টের অ্যাক্সেস পাওয়া সম্ভব ছিল - এবং এর ফলে আমাদের সমস্ত ওয়েবে পড়তে এবং লেখার অ্যাক্সেস অর্জন করতে পারে।

উত্পাদন পরিবেশে ব্যবহারের জন্য এমএসডিপলয়ে কতটা সুরক্ষিত?

আপডেট: প্রোডাকশন ওয়েব সার্ভারটি আইআইএস 7 চলছে।

security  msdeploy 
সেবাস্তিয়ান পিআর জিঙ্গার
সূত্র
আপনি কি এমআইএসডিপ্লয় দিয়ে আইআইএস 6 বা 7 ব্যবহার করছেন?
আগস্ট
এটি মূলত আইআইএস 7 হবে। তথ্যও আপডেট হয়েছে। প্রশ্নে.
সেবাস্তিয়ান পিআর জিঙ্গার

উত্তর:

10

এটি ব্যবহার করার পরে কিছুক্ষণ হয়ে গেছে, এবং আমি এটি কেবল আইআইএস 6 দিয়ে ব্যবহার করেছি যা ওয়েব পরিচালনার অংশটি অন্তর্ভুক্ত করে না। আপনি রিমোট ম্যানেজমেন্ট ইউআরএল এবং পোর্ট পরিবর্তন করতে এবং এটিকে বাহ্যিক ফায়ারওয়ালে ব্লক করতে পারেন। এটি দেখুন: রিমোট পরিষেবাটি কাস্টমাইজ করা এবং সুরক্ষিত করা । এটির প্রধান সুরক্ষা ব্যবস্থাটি ব্যবহারকারীর অ্যাকাউন্টের সুরক্ষা বলে মনে হয়, তবে আপনি যেমন বলেছিলেন, এটি সবই আইআইএসের মধ্যে রয়েছে, সুতরাং কোনও আইআইএস দুর্বলতা সুরক্ষা ব্যবস্থা প্যাচ না করা পর্যন্ত অকেজো করে দিতে পারে। একা এই কারণেই, আমি ইন্টারনেট থেকে ওয়েব সামগ্রী আপডেট করার অনুমতি দিতে দ্বিধা বোধ করব, তবে এটি আপনার org এর সুরক্ষা প্রয়োজনীয়তা বনাম আপনার ওয়েব বিকাশকারীর প্রয়োজনের উপর নির্ভর করে।

ইন্টারনেটে ওয়েব মোতায়েনের পরিষেবাটি প্রকাশ করা এড়াতে, আপনি নিম্নলিখিতগুলি করতে পারেন:

  • ডিফল্ট ওয়েবসাইটটি এমন একটি অভ্যন্তরীণ-কেবল আইপি শুনতে হবে যা NATed নয় বা লোড-ব্যালেন্সিং আইপি রেঞ্জের অংশ
  • আপনি কেবল স্থানীয় হোস্টে ডিফল্ট পরিচালনা ওয়েবসাইট শুনতে পারেন, তারপরে একটি স্ক্রিপ্ট লিখুন যা স্থানীয়ভাবে চলার জন্য প্রতিটি হোস্টে এমএসডিপ্লয়কে এক্সিকিউটেবল কল করে (একক বিন্দু থেকে সমস্ত হোস্টের সাথে দূরবর্তীভাবে সংযোগ করার জন্য এমএসডিপ্লয় ব্যবহারের পরিবর্তে)
  • আপনার লোড-ব্যালেন্সার ফিল্টার বহিরাগত অনুরোধগুলি রয়েছে যা ওয়েব মোতায়েনের URL টি হিট করার চেষ্টা করে (উদাঃ https: // সার্ভার: 8081 / এমএসডিপ্লয় )
  • আপনার সব ওয়েব স্থাপনার থেকে আসা একটি মনোনীত (অভ্যন্তরীণ) স্থাপনার হোস্ট আছে এবং শুধু তাই আইপি স্থাপনার URL এ আপনার সার্ভারগুলির (অবরোধ কিছু সাথে সংযোগ করার অনুমতি না একক স্থাপনার হোস্ট থেকে)

যদি ইন্টারনেট থেকে সরাসরি ওয়েব স্থাপনার কার্যকারিতা থাকা দরকার তবে আপনার সমস্ত ওয়েব বিকাশকারী দূরবর্তীভাবে কাজ করেছেন কিনা তা বলুন (কেন এটি সরাসরি প্রয়োজন হবে তা আমি ভাবতে পারি না)ভিপিএন এর বিস্তৃত ব্যবহারের সাথে), আপনি একটি 2-পর্যায় স্থাপন প্রক্রিয়া করতে পারেন যেখানে আপনি এতে একটি ওয়েব ডিপ্লয়-সক্ষম আইআইএস 7 বাক্স (আপনার ওয়েব ফার্মের ডিএমজেড থেকে পৃথক) সহ একটি বিচ্ছিন্ন ডিএমজেড সেট আপ করতে পারেন এবং আপনার ওয়েব বিকাশকারীদের অনুমতি দেবেন দূরবর্তীভাবে পরিবর্তনগুলি স্থাপন করতে ইন্টারনেট থেকে কেবল সেই ডিএমজেডের সাথে সংযুক্ত করুন। তারপরে আপনি সেই হোস্টের সাথে অভ্যন্তরীণভাবে সংযোগ স্থাপন করতে পারেন এবং পরিবর্তনগুলি পরীক্ষা, পরীক্ষা ইত্যাদি পর্যালোচনা করার পরে আপনার বাকী ওয়েব সার্ভারগুলিতে স্থাপন করতে পারেন এমনকি এই পদ্ধতিটি ঝুঁকিবিহীন নয় - কোনও দূষিত ব্যবহারকারী ওয়েব স্থাপনার কার্যকারিতা নিয়ে আপস করে শেষ করে কিছুটিকে পরিচয় করিয়ে দিতে পারে আপনার অজান্তেই দূষিত কোড এবং আপনি অজান্তেই এটিকে আপনার উত্পাদন পরিবেশে প্রবর্তন করতে পারেন।

অগাস্ট
সূত্র
আপডেটগুলি কেবলমাত্র উত্পাদনের সার্ভারগুলিতে সুরক্ষিত ভিপিএন অ্যাক্সেস থেকে করা হবে, সুতরাং ইন্টারনেট থেকে কোনও অ্যাক্সেস প্রয়োজন নেই। ওয়েব সার্ভার কনফিগারেশন পরিবর্তন করতে পারে এমন কিছু ইনস্টল করার বিষয়ে আমার এখনও খারাপ ধারণা আছে। এই মুহুর্তে, 'অনুমতি মোতায়েনের' লোকেরা কেবল তাদের নির্দিষ্ট ওয়েব ফোল্ডারে SFTP অ্যাক্সেস পায়, ওয়েব সার্ভারগুলি কোনও ডোমেনে নেই এবং অন্য কোনও উপায়ে সম্পূর্ণ বিচ্ছিন্ন।
সেবাস্তিয়ান পিআর জিঙ্গার
1
সাধারণত আমি "ওয়েব সার্ভারের কনফিগারেশনগুলিকে পরিবর্তন করতে পারে এমন কিছু ইনস্টল করার বিষয়ে আমার এখনও খারাপ ধারণা আছে" এর সাথে আমি একমত হব, তবে এই ক্ষেত্রে যেখানে আপনার একটি ওয়েব ফার্ম রয়েছে, সেখানে সার্ভারগুলির মধ্যে একটিতে কোনওটি ভুল কনফিগার করার সম্ভাবনা রয়েছে এবং এটি একটি খোলার সম্ভাবনা রয়েছে ম্যানুয়াল আপডেট প্রক্রিয়াটির মাধ্যমে অযৌক্তিক গর্তটি এমন কোনও পরিষেবা সক্ষম করার চেয়ে অনেক বেশি সম্ভাবনা এবং ঝুঁকিপূর্ণ যা আপনার সমস্ত ওয়েব সার্ভারে একটি সামঞ্জস্যপূর্ণ কনফিগারেশন নিশ্চিত করে।
আগস্ট
ঠিক আছে, আমি এটি হিসাবে গ্রহণ করব "এটি সহজেই স্বয়ংক্রিয়ভাবে স্থাপনার সম্ভাবনার পরিবর্তে ঝুঁকি নিতে যথেষ্ট নিরাপদ"। ধন্যবাদ।
সেবাস্তিয়ান পিআর জিঙ্গার
0

সহজ উত্তর। হ্যাঁ, যে কোনও কম্পিউটারে যে কোনও কিছু চলমান আক্রমণ আক্রমণকারীদের খোলায়। এটি সর্বদা ধরে নেওয়া উচিত যে সফ্টওয়্যারটিতে দুর্বলতা রয়েছে। প্রশমন একটি মূল কারণ, নেটওয়ার্ক, ব্যবহারকারী, কম্পিউটার, আইপি ইত্যাদির অ্যাক্সেস সীমাবদ্ধ করে শারীরিক অ্যাক্সেসও পরীক্ষা করে।

যদি আপনার ফায়ারওয়াল দিনের নির্দিষ্ট সময় থেকে নিয়মগুলি পরিচালনা করতে পারে তবে আপনি আপডেটগুলি হওয়ার অনুমতি দেওয়ার সময়কেও সীমাবদ্ধ করতে পারেন।

আমি আপনার ওয়েব সার্ভার (গুলি) এর ব্যবহারকারীদের সীমাবদ্ধ রাখার প্রস্তাব দিই, যিনি আপডেটটি করতে পারেন। (আপনি সম্ভবত এটি ইতিমধ্যে সম্পন্ন করেছেন) তারপরে আমি ফায়ারওয়ালগুলি কী কী নেটওয়ার্ক (আইপি) ম্যানেজমেন্ট ইন্টারফেসে প্রবেশ করতে পারে তা সীমাবদ্ধ করতে ব্যবহার করব। তারপরে সমর্থিত হলে আমি কেবলমাত্র কাজের সময় (ফায়ারওয়াল নিয়মের মাধ্যমে) আপডেটগুলি পরিচালনা করার অনুমতি দেব allow নোট করুন আপনি জরুরী আপডেটের জন্য ফায়ারওয়াল প্রশাসককে সর্বদা নিয়মটি সম্পাদন করতে পারেন। অবশেষে আমি ওয়েব ডিপ্লয়মেন্ট এজেন্টের জ্ঞাত দুর্বলতার জন্য নজর রাখব এবং আরও কমিয়ে আনব, বা কোনও ফিক্স কার্যকর না করা পর্যন্ত এটি অক্ষম করব।

tkrabec
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.