Qual é o tamanho do risco de abrir o firewall do Windows 2008 para todos os programas e portas para um IP específico?

Navegue suas respostas
2
Por conveniência, defini as regras de firewall de um dos servidores Windows 2008 R2 de nossos clientes para que ele seja aberto para todo o tráfego de entrada, todas as portas e todos os programas, mas as configurações de escopo a limitam a um endereço IP remoto específico - o nosso. O motivo é que acessamos o banco de dados e outros programas remotamente.

Pergunta: essa configuração é arriscada? Devo me esforçar para estabelecer regras separadas para portas e programas específicos além do nosso endereço IP fixo?

Como desenvolvedor, acho difícil estimar o risco de spoofing de IP e quaisquer outras técnicas de hacking que possam tirar proveito dessa configuração.

    
por Olaf 19.02.2012 / 17:01

3 respostas

5

Em geral, quanto menor a área de superfície, melhor. Você está no caminho certo ao restringir isso a um IP de origem específico. Seguindo o princípio de privilégio mínimo, você deve negar todas as portas de destino e abrir apenas as que você realmente precisa. Você teria que pesar o custo da administração contra o risco. O risco dependerá de várias coisas, como o nível de confidencialidade dos dados que você está acessando, se o servidor está comprometido, qual é a perda quantificada, etc.

Dito isso, é muito mais provável que um invasor explore uma vulnerabilidade no servidor do cliente dentro de sua própria rede do que seria para ele executar um ataque do meio e prender suas credenciais, material de db sensível. etc. A falsificação de IP na aplicação prática não seria uma grande preocupação aqui. Geralmente é usado para escanear uma rede ou para enquadrar outra máquina / IP. Torna-se extremamente complicado falsificar um IP e fazer qualquer coisa funcional ao usar protocolos que exigem que uma sessão seja configurada entre uma origem e um destino. Possível, mas não provável. (ver arp ou dns envenenamento)

Outro vetor de ataque mais provável (para o banco de dados) pode ser que sua própria máquina / rede esteja comprometida, e o atacante poderia girar a partir daí e atingir a máquina de banco de dados. Claro, neste momento, você teria problemas maiores. ;) Espero que isso ajude um pouco.

    
por 19.02.2012 / 18:06
2

É um risco desnecessário. A maior parte do acesso ao banco de dados pode ser tratada pela autenticação de certificado. 'Outros programas' é muito vago. Isso significa que você precisa se autenticar com um computador Windows remoto pela Internet? Parece que uma VPN seria útil. Parece improvável para mim neste dia e idade que duas organizações na Internet não teriam firewalls capazes de estabelecer uma conexão VPN IPSEC entre eles.

    
por 19.02.2012 / 17:22
1

Dada sua explicação do cenário, eu diria que restringir o acesso a um único IP (o endereço IP público do seu firewall) e gerenciar quem tem permissão para acessar os vários serviços do servidor através desse IP público por meio das regras de firewall.

Desde que o seu endereço IP seja estático, você deve estar bem.

    
por 09.03.2012 / 09:53

Tags

Nenhum registro MX encontrado para mail.mydomain.com campos de certificado SSL e endereço pessoal