Forum Użytkownikow Subiekt GT

InsERT GT => Subiekt GT => Wątek zaczęty przez: marekolo w Grudzień 06, 2018, 19:09:13

Tytuł: Baza Sql "na zewnątrz"
Wiadomość wysłana przez: marekolo w Grudzień 06, 2018, 19:09:13

Proszę o poradę w sprawie zagrożeń sytuacji opisanej poniżej.
Udzielony dostęp do bazy sql na zewnątrz poprzez mapowanie portów, komputer serwujący bazę sql nie jest w DMZ
Jest włączone filtrowanie mac za pomocą białej listy. Tylko kilka komputerów miało by dostęp do bazy.
Jakie zagrożenia istnieją dla maszyny przy takim podłączeniu ?
Istnieje możliwość podglądu z zewnątrz mac adresów sieciowych łączących się do bazy i podmiany ?

Tytuł: Odp: Baza Sql "na zewnątrz"
Wiadomość wysłana przez: adiserwis w Grudzień 06, 2018, 23:34:16

Z mojego doświadczenia ataki na porty związane z serwerem sql nie są (przynajmniej na razie) bardzo częste. Na dzisiaj najatrakcyjniejsze są porty odpowiedzialne za RDP.
Oczywiście nie do końca dobrze jest dawać dostęp bezpośrednio do bazy przez internet ale przy kilku warunkach:
- zawsze aktualny system operacyjny,
- aktualny serwer bazy danych,
- dobra polityka haseł,
- żadnych śmieci na serwerze,
- porządny system kopii zapasowych (nie trzymanych na tym samym serwerze lub pendrive w nim umieszczonym), tylko najlepiej na jakimś nas-ie nie połączonym przez SMB,

Takie zabezpieczenie już jest w miarę wystarczające. Dołożenie blokowania adresów IP zwiększa już bezpieczeństwo znacznie.

Jeśli jednak trzymasz w bazach dane wrażliwe to jednak dodatkowo proponuję VPN dla tych kilku podłączanych klientów. Na dzisiaj amatorów zatrzymasz w 100% a zawodowcy w stylu służb tak nie będą cię pytać o zgodę na odczytanie danych, po prostu przyjadą i zabiorą sprzęt (jeśli mieli by coś u ciebie oczywiście szukać :)
Acha, jeśli osoby zewnętrzne będą tylko czytać dane z baz bez możliwości zapisu to utwórz dla nich osobnego użytkownika z prawami tylko do odczytu.

Pozdrawiam
Robert

 

Tytuł: Odp: Baza Sql "na zewnątrz"
Wiadomość wysłana przez: micha w Grudzień 09, 2018, 15:10:37

Cytat: marekolo w Grudzień 06, 2018, 19:09:13

Jest włączone filtrowanie mac za pomocą białej listy. Tylko kilka komputerów miało by dostęp do bazy

Jaki to na sens? Przecież adresy mac nie są routowalne. Serwer nie pozna adresu mac klienta łączącego się z zewnątrz, wiec nie bardzo jest po czym filtrować...
Filtrować możesz po adresach IP, domenach, portach...

Tytuł: Odp: Baza Sql "na zewnątrz"
Wiadomość wysłana przez: marekolo w Grudzień 09, 2018, 22:35:58

Człowiek ciągle się uczy.
Kontrolowanie numerów ip będzie kłopotliwe jeżeli użytkownicy łączący się z zewnątrz mają przydzielane zmienne ip

Tytuł: Odp: Baza Sql "na zewnątrz"
Wiadomość wysłana przez: marekolo w Grudzień 11, 2018, 21:24:56

Szukając rozwiązania znalazłem coś takiego - Sql serwer i jego protokół ssl
https://technet.microsoft.com/pl-pl/library/ms189067(v=sql.105).aspx (https://technet.microsoft.com/pl-pl/library/ms189067(v=sql.105).aspx)
Nie ma nic o ekspresie ale może...
Ktoś próbował ?