Prática recomendada para compartilhar ou permitir acesso ao trac e ao svn para garantir a segurança dos usuários da Internet?

2

O que é considerado uma prática recomendada para compartilhar ou permitir que usuários da Internet não relacionados à empresa tenham acesso ao trac e ao svn?

Deveria estar em um DMZ, deveria ser interno com alguma forma de conexão SSH ou usando um https?

Se você fizesse isso e fosse paranóico em relação à segurança, qual deveria ser a lista de melhores práticas assumindo firewall básico na WAN, o servidor deveria estar em sua própria perna na rede como uma zona de perímetro (longe dos usuários internos também? duplo firewall).

obrigado antecipadamente.

    
por dasko 28.01.2010 / 21:23

4 respostas

2

assumindo que você é paranóico mesmo [cenário de exagero]:

  1. coloque um proxy reverso [por exemplo, usando apache2] em uma sub-rede com firewall, torne-o acessível somente via https, somente do endereço IP selecionado de usuários externos que precisam acessá-lo [isso protege você contra ataques cegos a possíveis vulnerabilidades no apache / svn / trac]. encaminhar sobre ele apenas solicita para URLs válidos [por exemplo, / svn e / trac] para o servidor real localizado em sub-rede separada. Certifique-se de que esse proxy possa alcançar apenas o servidor real, somente na porta 80 / tcp. nada mais.
  2. coloque seu servidor svn / trac real em uma sub-rede separada, com acesso controlado: permita conexões HTTP de entrada dentro de sua empresa e do proxy. não permitir conexões de saída.

se limitar o acesso a # 1 para listar explicitamente intervalos de ip não é uma opção - considere alguma forma de gatekeeper - novamente - para evitar ataques cegos.

no nível do proxy - considere usar:

  • modsecurity para evitar, por exemplo, ataques sql injection / xss no trac,
  • fail2ban para tornar os ataques de dicionário no mecanismo de autenticação do svn / trac um pouco mais difíceis.
por 28.01.2010 / 21:42
0

depende do seu orçamento.

tente com um firewall na frente, permitindo apenas acesso https e com duas vias SSL no lado do apache.

    
por 28.01.2010 / 21:28
0

Se eu estivesse fazendo isso, colocaria o trac em uma caixa fora do firewall corporativo principal, mas colocaria regras de firewall nele para bloquear o acesso a qualquer coisa, menos ssh (para mim) e http (para todos os outros).

Outra opção pode ser se perguntar: devemos hospedar isso? Funcionaria melhor no sourceforge ou na savana {non} gnu.org ou github?

    
por 28.01.2010 / 21:40
0

O servidor padrão com acesso https é uma solução bastante segura, com número limitado de portas abertas, etc.

A configuração paranóica pode ser um acesso VPN (por exemplo, openvpn ) para usuários fora da empresa. O Trac e o svn só seriam acessíveis a partir da sua rede privada e da VPN. O acesso do usuário à VPN seria garantido por certificados emitidos por você. E, claro, nenhum outro servidor e rede interna seria acessível a partir da VPN.

É claro que esta solução só é possível se o conjunto de pessoas de fora da empresa for bastante estável e não muito grande. Se o número desses usuários e pessoas específicas for alterado, a primeira com acesso https e bom firewall de configuração será a única (e usada por muitas pessoas e empresas).

    
por 28.01.2010 / 22:15