DMZ의 IIS 7이 방화벽 뒤의 DB 서버에 액세스 할 수있는 안전한 방법이 있습니까?


12

네트워크 관리자는 DMZ에 호스팅되는 웹 서버가 방화벽 뒤의 DB 서버에 액세스하는 것이 안전하지 않다는 것을 잘 알고 있습니다. 문제를 해결하기 위해 웹 서비스 또는 WCF를 통해 데이터에 액세스합니다. 웹 서버가 DB에 직접 액세스 할 수 있다면 제거 할 수있는 불필요한 성능 부담이라고 생각합니다.

내가 얻은 이유는 해커가 웹 서버에 로그인하여 DB에 액세스 할 수 있기 때문입니다. IIS 전용 포트를 열 수 있습니까, 아니면 특정 포트 일 수 없습니까? IIS에만 고정 할 수 있다면 해커가 쉽게 구성 할 수 있습니까?

인터넷에서 다양한 게시물을 읽었지만 명확한 답변을 찾지 못하는 것 같습니다.


재미있는 질문!
Kangkan

정말 좋은 질문입니다! 기술 스택 (IIS, WCF 등)의 이름을 지정하지 않고 제목이 더 일반적인 경우에는 훨씬 좋을 것입니다.
Chathura Kulasinghe

답변:


9

대규모 엔터프라이즈를위한 플랫폼을 설정했으며 일반적인 방법은 데이터베이스가 웹 서버와 다른 라우팅 트래픽에 있고 방화벽은 데이터베이스 서버 포트에 대한 라우팅 트래픽과 웹 앞의 방화벽 사이에 있습니다. 서버. 일반적으로 전면 방화벽은 포트 80 (HTTP) 및 포트 443 (HTTPS)을 웹 서버로 전달합니다. 웹 서버와 데이터베이스 서버 사이에있는 방화벽은 웹 서버에서 데이터베이스가 사용하는 포트 (일반적으로 Microsoft SQL Server를 사용하는 경우 포트 1433)로 트래픽을 전달합니다.

보안 강화 :

  • 데이터베이스 서버에 액세스하기 위해 최소 권한 계정을 사용해야합니다
  • ASP.NET을 사용하는 경우 web.config에서 데이터베이스 연결 문자열을 암호화 할 수 있습니다.
  • 취약점을 알리기 위해 침투 테스트를 수행하기 위해 타사 회사를 고용하십시오.
  • 정기적으로 업데이트 및 서비스 팩이 설치되어 있는지 확인하십시오.

데이터베이스가 MI6 또는 CIA 데이터베이스 인 경우 네트워크 관리자가 옳을 지 모르지만 지나치게 반응하는 것처럼 들립니다.

데이터베이스에 퍼블릭 네트워크에 노출 될 수없는 데이터가 포함되어 있지만 데이터베이스에 필요한 데이터가 중요하지 않은 경우 웹 사이트에 필요한 테이블을 호스팅 환경에있는 데이터베이스에 복제 할 수 있습니까?

나는 그들에게 질문을했다 :

  • 해커가 웹 서버에 액세스 할 수 있으면 웹 서비스를 호출 할 수 있습니까?
  • IIS에서 웹 서버에 액세스 할 수있는 취약점이 발견되면 반드시 웹 서비스를 호스팅하는 웹 서버에서 동일한 취약점을 악용합니까?
  • 메모리에서 비밀번호를 스니핑하기 위해 사용자 입력을 모니터링하는 소프트웨어를 설치할 수 있습니까?

충고 감사합니다. 이제 네트워크 관리자가 설정을 변경하도록 설득하는 어려운 작업이 있습니다.
Al Polden

4

웹 서버는 방화벽 뒤에있을 수 있으며 포트 80을 올바른 서버로 전달하면됩니다. 웹 서버에 필요하지 않은 다른 모든 포트는 대부분의 외부 방화벽에서 닫아야합니다. 그런 다음 웹 서버와 데이터 서버 사이에 방화벽이 있어야합니다. 이 방화벽에서는 데이터베이스와 통신하는 포트만 열 수 있습니다.

여기 다이어그램이 있습니다

인터넷-> 방화벽-> 웹 서버-> 방화벽-> 데이터베이스

참고로, 저는 소규모 매장이기 때문에 회사의 IT 직원과 자주 협력하지만 개발자입니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.