No pertenezco al campo de IS y quiero preguntar: ¿podemos concluir que el filtrado del puerto 3306 y el no filtrado en los momentos de necesidad es la mejor defensa contra la piratería de DB?
Supongamos que no filtro el puerto durante un total de 2 a 3 horas en un año, solo para hacer algunos cambios en la base de datos ( digamos, con Workbench , o de una forma un poco menos segura, PHPmyadmin) y luego vuelva a filtrarlo durante unos largos meses.
En mi caso, por ejemplo, no puedo usar una lista blanca de IP (principalmente debido a restricciones de viaje), por lo que parece ser la mejor solución que tengo en este momento.
Podemos decir que siempre que se filtre el puerto 3306 (o un puerto sustituto), estoy totalmente protegido de BFA o de inyecciones de SQL en la base de datos (dado que el Firewall no tiene violaciones) a menos que alguien frene en la propia PC. y haciendo cambiado desde allí?
Actualización: parece que tuve una falla en la pregunta:
El fraseo original de la pregunta está arriba y algunas respuestas lo tienen, pero parece que confundí tanto el acceso a la base de datos en curso a través del puerto 3306, con el acceso internall desde PHPmyadmin (PMA), también el problema de los BFA, con el problema de las inyecciones de SQL.
Enfatizaré el tema de BFA a continuación:
Sé que incluso si filtraría el puerto con CSF y no lo filtraría más adelante : por un lado, seguiría expuesto a las detonaciones de puertos (que es un caso por sí solo) y, por otro lado, aún podría usar PMA desde la URL, algo que podría asegurar de una de las siguientes 2 formas (o una combinación de ellas):
-
Instalando y desinstalando PMA cada vez, de forma automática con un script que contiene un tiempo de espera de desinstalación, después de 2 horas.
-
Iniciar sesión en PMA en https (tls).