web-dev-qa-db-ja.com

IIS 7 in a DMZ= inファイアウォールの背後にあるDBサーバーにアクセスすることを許可する安全な方法はありますか?

私たちのネットワーク管理者は、DMZでホストされているWebサーバーがファイアウォールの背後にあるDBサーバーにアクセスすることは安全でないことを確信しています。問題を回避するために、WebサービスまたはWCFを介してデータにアクセスします。これは、WebサーバーがDBに直接アクセスできる場合に排除できる不必要なパフォーマンスの負担であると思います。

私が与えられた理由は、ハッカーがWebサーバーにログインしてDBにアクセスできたからです。 IISの場合にのみポートを開くことは可能ですか、それとも特定にすることはできませんか?IISだけにロックすることができれば、ハッカーは簡単にこれを構成できますか?

インターネットでさまざまな投稿を読みましたが、明確な答えが見つからないようです。

アル

12
Al Polden

私は大規模な企業向けにプラットフォームを設定しましたが、通常は、データベースがWebサーバーとは異なるVLANでこれらのルーティングトラフィックの間にデータベースサーバーポートに配置され、だけでなく、Webサーバーの前面にあるファイアウォールも使用します。通常、前面のファイアウォールは、ポート80(HTTP)およびポート443(HTTPS)をWebサーバーに転送します。Webサーバーとデータベースサーバーの間にあるファイアウォールは、Webからのトラフィックを転送します。データベースで使用されているポート(Microsoft SQL Serverを使用している場合は通常ポート1433)にサーバーを接続します。

セキュリティを強化するには:

  • データベースサーバーへのアクセスには、最小特権のアカウントを使用してください。
  • ASP.NETを使用している場合は、web.configでデータベース接続文字列を暗号化できます
  • 脆弱性についてアドバイスするための侵入テストを実施するためにサードパーティ企業を雇う
  • アップデートとサービスパックが定期的にインストールされるようにします。

データベースがMI6またはCIAデータベースである場合、ネットワーク管理者はおそらく正しいですが、私も過剰に反応しているようです。

パブリックネットワークに絶対に公開できないデータがデータベースに含まれているが、データベースに必要なデータがそれほど機密ではない場合、ホスティング環境にあるデータベースにWebサイトが必要とするテーブルの複製を確認できますか?

私は彼らに質問をします:

  • ハッカーがWebサーバーにアクセスした場合、Webサービスを呼び出すことができますか?
  • IISで脆弱性が発見され、Webサーバーへのアクセスを可能にした場合、WebサービスをホストしているWebサーバー上の同じ脆弱性を悪用するだけでしょうか?
  • ユーザー入力を監視してメモリ内のパスワードを盗聴するソフトウェアをインストールできますか?
9
DotNetHacker

Webサーバーもファイアウォールの背後に配置できます。必要なのは、ポート80を正しいサーバーに転送することだけです。 Webサーバーが必要としない他のすべてのポートは、ほとんどの外部ファイアウォールで閉じる必要があります。次に、Webサーバーとデータサーバーの間にファイアウォールを設置します。そのファイアウォールでは、データベースが通信するポートのみを開くことを許可します。

ここに図があります

インターネット->ファイアウォール-> Webサーバー->ファイアウォール->データベース

ちなみに、私は小さなお店なので、会社のITスタッフとよく仕事をしていますが、私は開発者です。

4
Paul Mendoza