Existe uma maneira segura de permitir que o IIS 7 em um DMZ acesse um servidor de banco de dados atrás do firewall?

12

Nossos administradores de rede estão convencidos de que é inseguro para nossos servidores da Web, que estão hospedados na DMZ, acessar o servidor de banco de dados protegido por nosso firewall. Para contornar o problema, acessamos os dados via serviços da web ou WCF. Eu sinto que isso é um fardo de desempenho desnecessário que poderia ser eliminado se o servidor web pudesse acessar o banco de dados diretamente.

As razões que me foram dadas é que de um hacker era capaz de acessar o servidor web que eles poderiam acessar o banco de dados. É possível abrir as portas apenas para o IIS ou não é possível ser tão específico? Se conseguirmos bloqueá-lo apenas para o IIS, isso pode ser facilmente compreendido pelo hacker?

Eu li vários posts na internet, mas não consigo encontrar uma resposta definitiva.

Al

    
por Al Polden 05.08.2011 / 11:14

2 respostas

8

Eu configurei plataformas para empresas de grande porte e a prática normal é garantir que seus bancos de dados estejam em uma VLAN diferente de seus servidores da Web com um firewall instalado entre esses tráfegos de roteamento e apenas um firewall na frente de seus servidores da web. Normalmente, o firewall frontal encaminhará a porta 80 (HTTP) e a porta 443 (HTTPS) para os servidores da web. O firewall colocado entre o servidor da Web e o servidor de banco de dados encaminhará o tráfego dos servidores da Web para a porta usada pelo banco de dados (geralmente, a porta 1433, se estiver usando o Microsoft SQL Server).

Para maior segurança:

  • Certifique-se de usar uma conta com menos privilégios para acessar os servidores de banco de dados
  • Se você estiver usando o ASP.NET, poderá criptografar sua string de conexão com o banco de dados no arquivo web.config
  • Contrate uma empresa terceirizada para realizar um teste de penetração para avisar sobre quaisquer vulnerabilidades
  • Garantir que atualizações e service packs sejam instalados regularmente.

Se o seu banco de dados for o banco de dados MI6 ou CIA, provavelmente os administradores de rede estarão certos, mas também parece que eles estão exagerando.

Se o banco de dados contiver dados que não podem ser expostos a uma rede pública, mas os dados de que seu banco de dados precisa não são tão sensíveis, você poderia replicar as tabelas que seu site requer para um banco de dados que esteja em seu ambiente de hospedagem? / p>

Eu perguntaria a eles:

  • Se um hacker obtiver acesso ao servidor da web, ele poderá chamar seus serviços da web?
  • Se uma vulnerabilidade for descoberta no IIS, o que permitiu que eles acessassem seu servidor da Web, certamente eles simplesmente explorariam a mesma vulnerabilidade no servidor da Web que hospeda seus serviços da Web?
  • Eles poderiam instalar software que monitora a entrada do usuário para capturar senhas na memória?
por 06.08.2011 / 00:44
4

Seus servidores da web também podem estar atrás de um firewall, eles precisam ter a porta 80 encaminhada para o servidor correto. Todas as outras portas que o seu servidor web não precisa devem ser fechadas naquele firewall mais externo. Em seguida, deve haver um firewall entre seus servidores da Web e seus servidores de dados. Nesse firewall, você só permitirá que as portas nas quais os bancos de dados falem sejam abertas.

Aqui está um diagrama

Internet - > Firewall - > Servidores da Web - > Firewall - > Bancos de Dados

FYI, sou um desenvolvedor, embora trabalhe com nossa equipe de TI frequentemente na minha empresa, já que somos uma pequena loja.

    
por 06.08.2011 / 00:30