/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
SQL Forspørgsler fra DMZ Server til LAN Se~
Fra : Jesper Andersen


Dato : 01-12-03 15:26

Hejsa...
Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
side, og en Apache Webserver kørende på mit DMZ.

Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
det mht min firewall.

I øjeblikket er alt trafik fra DMZ til LAN lukket.
Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
uden at det giver for mange sikkerheds huller ???

Hvis jeg åbner for en TCP/IP port er der i realiteten et stort hul,
ikke sandt ?

Hogen der har en god ide ?


Jesper Andersen

 
 
Thomas Bøjstrup Joha~ (01-12-2003)
Kommentar
Fra : Thomas Bøjstrup Joha~


Dato : 01-12-03 17:05

hvad med at lade din web og sql server blive på det lukke lan også bruge en
omvent proxy

http://www.isaserver.org/tutorials/A_Web_Site_Using_ISA_Server_Part_1_Preparing_To_Publish_Your_Site.html

også skal du jo kun have port 80 eller 443(ssl) åben i mellem DMZ og LAN

bare et forslag
Thomas Bøjstrup Johansen


> Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
> side, og en Apache Webserver kørende på mit DMZ.
>
> Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
> opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
> det mht min firewall.
>
> I øjeblikket er alt trafik fra DMZ til LAN lukket.
> Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
> uden at det giver for mange sikkerheds huller ???



Karsten Svenningsen (01-12-2003)
Kommentar
Fra : Karsten Svenningsen


Dato : 01-12-03 23:51

Problemet med en reverse proxy, er at den ikke hjælper på de sårbarheder
webserveren har (Selv om den er patchet til op over begge ører, så dukker
der tilstadighed sårbarheder op), og får man kontrol med Webserveren på
lan'et, så er butikken reelt åbent.



"Thomas Bøjstrup Johansen" <tooms@post1.tele.dk> wrote in message
news:BEJyb.4734$sj.2703@news.get2net.dk...
hvad med at lade din web og sql server blive på det lukke lan også bruge en
omvent proxy

http://www.isaserver.org/tutorials/A_Web_Site_Using_ISA_Server_Part_1_Preparing_To_Publish_Your_Site.html

også skal du jo kun have port 80 eller 443(ssl) åben i mellem DMZ og LAN

bare et forslag
Thomas Bøjstrup Johansen


> Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
> side, og en Apache Webserver kørende på mit DMZ.
>
> Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
> opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
> det mht min firewall.
>
> I øjeblikket er alt trafik fra DMZ til LAN lukket.
> Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
> uden at det giver for mange sikkerheds huller ???




Trygleren [9000] (02-12-2003)
Kommentar
Fra : Trygleren [9000]


Dato : 02-12-03 00:08

> Hvis jeg åbner for en TCP/IP port er der i realiteten et stort hul,
> ikke sandt ?
> Hogen der har en god ide ?

Min router har noget der hedder Port Triggering. Det betyder i alt sin
enkelthed, at når noget trafik sker på den beskyttede side på en bestemt
udgående port, så bliver en anden selvvalgt port åbent i et predefineret
tidsrum(eller så længe regelmæssig trafik er til stede). Derefter lukkes
porten automatisk igen.
Hvis din webside er placeret på samme side som SQL-serveren, så burde det
være en smal sag at sætte op.

--

"Sic gorgiamus allos subjectatos nunc"
Med venlig hilsen
Lars 'Trygleren' Winther
www.hesteskelet.dk -- Diametralsk modsætning ophæver tyngdeloven med krav om
forlig


Jesper Andersen (02-12-2003)
Kommentar
Fra : Jesper Andersen


Dato : 02-12-03 09:43

Tak for jeres forslag, men at flytte Web serveren ind på indersiden
synes jeg umiddelbart ikke er nogen god ide.

Der må da være en løsning på sådan et problem, der er da mange
virksomheder der har online opslag af lagerstatus. Hvordan mon de har
sikret sig om angreb osv ? og hvordan har de strikket netværket sammen
?

Mvh
Jesper Andersen

On Mon, 01 Dec 2003 15:25:33 +0100, Jesper Andersen
<jaREMOVE@palby.dk> wrote:

>Hejsa...
>Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
>side, og en Apache Webserver kørende på mit DMZ.
>
>Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
>opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
>det mht min firewall.
>
>I øjeblikket er alt trafik fra DMZ til LAN lukket.
>Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
>uden at det giver for mange sikkerheds huller ???
>
>Hvis jeg åbner for en TCP/IP port er der i realiteten et stort hul,
>ikke sandt ?
>
>Hogen der har en god ide ?
>
>
>Jesper Andersen


Søren Dalby Bruun (02-12-2003)
Kommentar
Fra : Søren Dalby Bruun


Dato : 02-12-03 14:00

Jeg har haft dette op og vende med "experter" og den rigtige måde at udføre
dette på, er ved at have en spejlet sql server på ydersiden.


Mvh
Søren



"Jesper Andersen" <jaREMOVE@palby.dk> skrev i en meddelelse
news:00kosvkc9lu1askr7jcipu1bl8cttapdjc@4ax.com...
> Tak for jeres forslag, men at flytte Web serveren ind på indersiden
> synes jeg umiddelbart ikke er nogen god ide.
>
> Der må da være en løsning på sådan et problem, der er da mange
> virksomheder der har online opslag af lagerstatus. Hvordan mon de har
> sikret sig om angreb osv ? og hvordan har de strikket netværket sammen
> ?
>
> Mvh
> Jesper Andersen
>
> On Mon, 01 Dec 2003 15:25:33 +0100, Jesper Andersen
> <jaREMOVE@palby.dk> wrote:
>
> >Hejsa...
> >Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
> >side, og en Apache Webserver kørende på mit DMZ.
> >
> >Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
> >opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
> >det mht min firewall.
> >
> >I øjeblikket er alt trafik fra DMZ til LAN lukket.
> >Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
> >uden at det giver for mange sikkerheds huller ???
> >
> >Hvis jeg åbner for en TCP/IP port er der i realiteten et stort hul,
> >ikke sandt ?
> >
> >Hogen der har en god ide ?
> >
> >
> >Jesper Andersen
>



Jan Bachman (02-12-2003)
Kommentar
Fra : Jan Bachman


Dato : 02-12-03 18:07

>I øjeblikket er alt trafik fra DMZ til LAN lukket.
>Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
>uden at det giver for mange sikkerheds huller ???

>Hogen der har en god ide ?

Hvad med et netkort mere i din webserver, der går til LAN, hvor det
første forbliver i DMZ.

/Jan

Lars Knudsen (07-12-2003)
Kommentar
Fra : Lars Knudsen


Dato : 07-12-03 20:46

Hej Jesper,

Jesper Andersen <jaREMOVE@palby.dk> wrote in
news:1ljmsvk1vftnuk38m2rhfjevae6s9minjp@4ax.com:



> Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
> side, og en Apache Webserver kørende på mit DMZ.
> Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
> opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
> det mht min firewall.
> I øjeblikket er alt trafik fra DMZ til LAN lukket.
> Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
> uden at det giver for mange sikkerheds huller ???
> Hvis jeg åbner for en TCP/IP port er der i realiteten et stort hul,
> ikke sandt ?
> Hogen der har en god ide ?


Tjaeh - du kan åbne for den port som din SQL server nu anvender, og så
filterere så det udelukkende er en maskine med din Apache server's lokale IP
adresse der bliver sluppet igennem.

Men selvfølgelig - hvis "nogen" får fat i din Apache - vil man så kunne
forespørge på SQL'en. Det stiller så krav til at du har sikret den med gode
passwords, disable den normale "SA" bruger, osv.

Jeg har kørt med et setup som dette i flere år uden problemer. Men det var
heller ikke følsomme oplysninger, der lå på maskinen.

Men naturligvis kan det gøres mere sikkert med en spejlet SQL server eller
noget anden ballade - det er vel altsammen også et spørgsmål om at opveje
omkostninger til at etablere sådan en løsning vs den risiko du vurderer der
er plus hvad risiko der er hvis nogen rent faktisk får eksempelvis slettet
hele din SQL database eller løber med data fra den.

** Lars

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408946
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste