היי

יש לי מחשב שנמצא בתוך ה DMZ, ועוד מחשב הנמצא בתוך ה LAN
אין שום אפשרות גישה מה DMZ - החוצה ל LAN
אך יש אפשרות לפתוח תקשורת מה LAN ל DMZ

על ה DMZ יש לי אתר שמבצע פעולה כל שהיא + בסיס נתונים
בזמן ביצוע הפעולה, אני רוצה לעדכן נתונים ב DB שנמצא בתוך ה LAN

אני מחפש פיתרון עם דגש על אבטחה.
חשבתי על VPN\SSH .. או MSMQ של מיקרוסופט
DATA POWER באמצע הוא גם פיתרון, אך יקר בטירוף ... אז יורד בשלב זה

פיתרונות אפליקטיביים כל שהם יתקבלו בברכה אך לא פוסל גם תשתיתיים.

תודה רבה.

לא הבנתי.
ברגע שיש לך ssh אתה יכול לעשות מלא מלא דברים מגניבים -
https://www.google.co.il/search?q=SSH+tunneling

או שאולי מבחינת אבטחה אתה מפחד מה nsa
https://www.google.co.il/search?q=nsa+ssh

אלו היו רק הצעות ... רציתי לשמוע עוד דעות\הצעות

לא צריך חרבושים מיותרים , תחום אבטחת המידע מלא בטרולים שלא מבינים דבר באבטחה .

מה שאתה צריך זה לעשות את הדברים נכון ,


בצד של השרת WEB
כלומר , את השרת של האתר (apache\nginx להגדיר נכון )
את האתר לא לאפשר גישה לתקיות לא רצויות .
שהאתר יהיה בנוי נכון (שלא יאפשר להריץ xss\csrf\injetion)
תתפלא כמה אפשר לפרוץ לאתרים בטכנולוגיות php\javaEE , הבאג ההבטחתי הגדול ביותר זה מתכנת לא טוב , הבאג השני בהבטחה זה הגדרות לא נכונות ב apache .


פורטים
תבדוק שאין פורטים פתוחים סתם (שאין אפליקציות שעובדות ברקע),
(אין צורך ב firewall)
אתה רק צריך לבדוק איזה אפליקציות פותחות פורטים ולבטל את מה שפותח פרצות
תנטרל את התהליכים המיותרים ב init
מיותרות ונטרל .
בכלים הרגילים של לינוקס כמו nmap אפשר לסתום כל חור אבטחה
(ללא צורך ב firewall מעולם החלונות)



ssh
בנוסף לזה חוץ מנושא האתר עצמו שרץ על המחשב .
אתה יכול להתקין ssh , תגדיר אותו נכון , אל תאפשר מתשמש root
(ממשתמש רגיל עם su אפשר לקבל גישת root מבלי להוריד את רמת ההבטחה)
https://wiki.archlinux.org/index.php/Secure_Shell
אין שום בעיה של אבטחה .
אם אתה מוטרד אפשר להתמש ב keygen של מפתחות rsa
או להחליף סיסמה כל כמה זמן .
בחירת סיסמה הכוללת מספרים ואותיות שונות על מנת למנוע brute force .
(רק האפשרות לא לאפשר כניסה של root תקטין brute force בצורה דרמטית כי הפורץ חייב לדעת מה שם המשתמש )

חוץ מנושא גישה לתקיות לא רצויות בשרת web עצמו , אתה צריך למנוע גישה למסד נתונים באופן ישיר .

כלומר שהאתר יהיה פתוח רק ב port 80 או 8080 בראוטר .
שמשתמש מבחוץ לא מסוגל לגשת ל db ב lan דרך האינטרנט


אם האתר כתוב ב php לדוגמה
, אתה צריך למנוע מהמשתמש להזריק קוד xss שעשוי לבצע injection של sql למסד.

סתם דוגמה :
אם משתמש מכניס נתונים בטופס אתה צריך למנוע ממנו להכניס בטופס קוד html
(הסבר בעברית שהמשתמש ממלא בטופס נתונים רלווינטים )

לדוגמה שם פרטי : חייב להיות שם ושלא מסוגל לרשום בשדה שם לדוגמה
admin'union select 1,2,3

את זה אתה יכול לעשות עם validation לפני הכנסת הנתונים למסד
לדוגמה ב mysql\mysqli\pdo (בהנחה שהאתר כתוב ב php)

אתה יכול לכתוב פונקציה שלפני הכנסת הנתונים למסד לדוגמה מסננת tag טאגים
שלא ירשמו לך המשתמשים בנתונים

<script> או קוד html
.

אני לא יודע באיזה שפה רשמת את האתר עצמו שמכניס נתונים למסד .
אתה יכול להשתמש ב token שב login של כל משתמש יפעל token בעל תוקף לזמן מסויים כך שמשתמש לגיטימי יש תוקף קצוב ולא איזה bot מכניס לך נתונים למסד.

תסרוק את כתובת ה ip החיצוני (זאת שנמצאת מחוץ לנתב )
ותבדוק מה רואים מבחוץ

מבחוץ אמורים לראות רק את ה port של שרת ה web
אם רואים מבחוץ את ה פורט של ה sql אתה צריך לנטרל את הניתוב של הפורט הזה מתוך הנתב עצמו שלא יבצע dmz \nat forwarding לאותו פורט .

עוד רעיון .

אם השרת sql נמצא ברשת פנימית .
שרת ה web נמצא ב dmz .

הכי נכון זה להתקין על כל מחשב כרטיס רשת נוסף
לקשר את שני המחשבים ביניהם על רשת נפרדת שתפקידה רק מעבר נתונים בין שרת ה web לבסיס מידע .


שרת ה web יהיה פתוח לבחוץ דרך ה dmz ,
שני השרתים מעבירים מידע ביניהם בין ה web לבסיס מידע ואין זליגה של מידע אחוצה

זה מצריך רק חשיבה נוספת , להקים רשת lan נפרדת על תשתית נפרדת זה דבר יחסית זול .


יש מתכנתים טובים אבל לא מבינים בתשתיות ומכיוון שכך חסכון בעוד תשתית עולה ביקר בהבטחה
קו רשת עם נתב נוסף (שלא מחובר לאינטרנט רק מעביר מידע פנימי)
זה דבר מאוד זול .

Anonymous :

לא צריך חרבושים מיותרים , תחום אבטחת המידע מלא בטרולים שלא מבינים דבר באבטחה .

לגמרי

ציטוט:

או להחליף סיסמה כל כמה זמן

Password rules: Change them every 25 years Published: 2009-11-02 :

קוד: There are four basic ways for a bad guy to get your password: (a) Ask for it. So-called "Phishing" and "Social Engineering" attacks still work, and always will (b) Try dictionary words at the login prompt in the hope to get lucky ("Brute Force") (c) Obtain the encryped/hashed password somehow, and crack it (d) Leech the password off your computer with keylogger malware None of these four scenarios becomes less likely if you change your password every 90 days.

לא יודע אם ציינו, אפשרות נוספת היא Reverse SSH Tunnel עם Port forwarding כאשר כותבים לפורט מהקצה השני.

מצטער, קצת פיספסתי את המטרה ...

אני לא מנסה לאבטח את הרשת או את האתר, אני מנסה לחשוב על רעיון, כיצד להטמיע משהו בתוך רשתות קיימות (בנקים, אונ' וכדו) מבלי לעשות שום שינוי ברשת שלהם ..
השאלה שלי עדיין עומדת בעינייה
האם יש אפשרות לעדכן את בסיס הנתונים שנמצא בתוך ה DMZ מבלי לפתוח פורטים אל רשת ה LAN.

הצד השני מאופשר, יש אפשרות להגיע מה LAN אל ה DMZ, לא להיפך
SSH ו VPN אלו פיתרונות אפשריים .. מחפש עוד רעיונות

למשל: שימוש ב msmqueue, שליחה של הודעות מה DMZ לתור וקריאה שלהם בכל כמה שניות מהצד השני ....

עוד רעיונות יתקבלו בברכה
לחלופין, תוכנה כל שהיא שמממשת תור ומסוגלת לקבל הודעות\קבצים\XML

אם יש לך אפשרות לגשת מהמחשב באירגון אל ה- dmz באמצעות ssh או דומיו אתה יכול להקים tunnel מהרבה מאוד סוגים.

באמצעות ssh אפשר לבצע ssh tunnel, אבל אתה יכול גם להתקין open vpn (או כל כלי אחר) ואז באמצעות כתובת ip "וירטואלית" להעביר מה שאתה רוצה.

1) מדוע ההתעקשות על תור?
2) בכל מקרה איזה שהוא פורט חייב להיות פתוח בין הLAN לDMZ (וההפך כמו שהצעתי בהתחלה עם הtunneling)
השאלה הגדולה היא מי יוזם את העדכון של ה LAN , ועד כמה חשוב לך עדכון בזמן אמת.
* הדבר הכי פשוט לעשות זה להציק מה LAN לDB של DMZ בפרקי זמן מסוימים לגבי דלתאות.
* או שתפתח פורט עם tunneling ותוסיף באותה פעולה של עדכון הDMZ - עדכון של הLAN
* או שבמקום פניה ישירות לDB (שתי ההצעות האחרונות) תפעיל web service שיפנה לdb.


בכל אופן אם אתה מתעקש על תורים - יש שניים אשר שמעתי עליהם בלבד ולא יותר מזה :
http://gearman.org/
https://activemq.apache.org/

חברים, תודה רבה, עזרתם לי מאוד !