Λοιπά θέματα

Απ: Ερώτηση προς web devs

dimos.homatas — Sat, 19 Feb 2011 02:34:54 GMT

Μπροστά μου τα βρήκα παιδιά... όλο το σχετικό design.

Αυτό που μπορώ να κάνω άμεσα είναι η αλλαγή της πόρτας σε κάτι non standard όπως είπε ο Γιώργος.

Παναγιώτη, δεν μπορώ να χρησιμοποιήσω τον ForeFront, δεν έχουμε την υποδομή.

Οπότε η απάντηση στην ερώτηση είναι φαντάζομαι τα web services;

Απ: Ερώτηση προς web devs

Παναγιώτης Καναβός — Sat, 19 Feb 2011 01:56:57 GMT

Υπάρχουν και firewalls γι αυτή τη δουλειία όπως ο ForeFront TMG/πρώην ISA που αναλαμβάνει το security. Από εκεί και πέρα, όπως είπαν και οι άλλοι, απλά δεν παίζει να βγάλεις τον SQL Server στο Internet. Είναι σαν να λες στο γιατρό "γιατρέ πονάει το στομάχι μου - Ε μην το καρφώνεις με το πηρούνι!". Ή να κρατάς με το χέρι ανεβασμένη την ασφάλεια του θερμοσίφωνα επειδή πέφτει. Απλά δεν έχει "μα εγώ το θέλω να είναι έξω χωρίς προστασία".

Και όπως είπαν και οι άλλοι, το VPN είναι το ελάχιστο.

Απ: Ερώτηση προς web devs

George J. Capnias — Sat, 19 Feb 2011 00:33:28 GMT

Προσωπικά, δεν νομίζω ότι θα δεχόμουνα SQL επάνω στο Internet, και αν κάτι τέτοιο ήταν αναγκαίο θα προτειμούσα το VPN, γιατί όποιος φυλάει τα ρούχα του έχει τα μισά, τουλάχιστον! Το πιο απλό VPN είναι το dynamic VPN - RAS server σε windows server, με static Internet IP, πίσω από φτηνό router που όμως κάνει routing στο εύρος των IPs που έχεις. Δεν χρειάζεται κάτι φοβερό εκτός από το κόστος των 8 IPs που θα είναι το έξτρα κόστος.

Σαν άμεσο μέτρο, θα σύστινα να φύγει η πόρτα του SQL Server άμεσα από το 1433 - φαντάζομαι ότι ο Αντώνης τώρα βαθμολογεί - και να πάει σε ένα τυχαίο νούμερο, όπως συνηθίζεται με τον SQL Server 2008 R2. Από εκεί και πέρα υπάρχουν τόσα πράγματα: certificates, web services...

George J.

Απ: Ερώτηση προς web devs

dimos.homatas — Fri, 18 Feb 2011 21:59:29 GMT

Είναι dynamic τα ip και δεν μπορώ να εφαρμόσω τέτοιον κανόνα! Το θέμα είναι ότι η αρχιτεκτονική είναι τέτοια, που εκ των πραγμάτων επιτρέπονται τέτοιου είδους απόπειρες, και όσα IDS/IDP είδα πάνε μέχρι το connection flooding επίπεδο και μέχρι εκεί. Σε application level δεν υπάρχει κάτι τέτοιο. Θα σας ρωτήσω για το Windows Filtering Platform κάποια στιγμή, όχι τώρα όμως

Και τα σχετικά λινκς:

Χάκερ από την Κίνα «εισέβαλαν σε πετρελαϊκές εταιρείες και στην Ελλάδα»

Μέσω κινεζικής εταιρείας η κυβερνοκατασκοπία κατά επιχειρήσεων και στην Ελλάδα

Απλά να επισημάνω ότι δεν είμαστε πετρελαϊκή... την πέφτανε αδιακρίτως, και μάλλον στα πλαίσια της επίθεσης "Night Dragon" (σχετικό λινκ από έρευνα της McAfee)

Αν και δεν είδα να λέει ο McAfee για brute force / invalid sa κλπ

Απ: Ερώτηση προς web devs

cap — Fri, 18 Feb 2011 21:47:02 GMT

Μπορείς να κάνεις link το σχετικό άρθρο στο in.gr, γιατί θα ήταν χρήσιμο να το στείλω σε κάποιους; :)

Απ: Ερώτηση προς web devs

cap — Fri, 18 Feb 2011 21:45:05 GMT

Μπορώ να σκεφτώ κάτι πολύ απλό που πιθανώς δεν επαρκεί / δεν κάνει apply σε όλες τις περιπτώσεις: Αν οι εισερχόμενες συνδέσεις προέρχονται από static και γνωστά ips, ρυθμίσεις στο firewall ωστε να επιτρέπεται εισερχόμενη σύνδεση στο port που χρησιμοποιεί ο sql server (1433 default ή custom καθορισμένο) μόνο από αυτά τα ips.

Ερώτηση προς web devs

dimos.homatas — Fri, 18 Feb 2011 21:13:22 GMT

Καλησπέρα σας,

πρόσφατα προέκυψαν κάποια θέματα ασφαλείας με brute force επιθέσεις σε έκθετους sql servers στο δίκτυο. Δεν ξέρω εάν παρακολουθήσατε το θέμα, υπήρχε κάλυψη τουλάχιστον από το in.gr . Στην δικιά μας εταιρία γινόταν περίπου πριν τα Χριστούγεννα. Αυτό που ανέφερε το in.gr είναι ότι από πολλές εταιρίες σήκωσαν τις βάσεις.

Στην δική μας περίπτωση οι επίδοξοι (Κινέζοι btw) εισβολείς απεκρούσθησαν με ένα προγραμματάκι που έφτιαξα και δημιουργεί αυτόματα IPSec rules (έχει ως trigger τα αποτυχημένα login στον sql server).

ΔΥΣΤΥΧΩΣ, ο sql server κάθεται πάνω σε ένα static ip και επιτρέπει εισερχόμενες συνδέσεις. Δεν μπορώ να το αλλάξω αυτό, καθώς έτσι παίρνουν data και το web site αλλά και τα εξωτερικά client του custom erp μας.

Το ερώτημα είναι το εξής: όταν αναπτύσσετε ένα web site το οποίο πρέπει να διαβάσει data από κάποια πηγή μέσα στην εταιρία, αλλά το web site είναι έξω, πως το υλοποιείτε λαμβάνοντας υπ'όψιν το προυπάρχον θέμα ασφάλειας που σας ανέφερα;

Πέρα από την χρήση ενός VPN, δεν μπορώ να σκεφτώ κάτι άλλο. Έψαξα και από sql server πλευρά, αλλά δεν είδα κάτι εξειδικευμένο (δεν ξέρω εάν ο 2008 έχει κάτι σχετικό που δεν έχει ο 2005).

Ευχαριστώ