Filtrado del puerto 3306 y apertura solo en momentos de necesidad: ¿la mejor defensa contra el hackeo de DB? (la pregunta tuvo una actualización importante)

Navega tus respuestas
2

No pertenezco al campo de IS y quiero preguntar: ¿podemos concluir que el filtrado del puerto 3306 y el no filtrado en los momentos de necesidad es la mejor defensa contra la piratería de DB?

Supongamos que no filtro el puerto durante un total de 2 a 3 horas en un año, solo para hacer algunos cambios en la base de datos ( digamos, con Workbench , o de una forma un poco menos segura, PHPmyadmin) y luego vuelva a filtrarlo durante unos largos meses.

En mi caso, por ejemplo, no puedo usar una lista blanca de IP (principalmente debido a restricciones de viaje), por lo que parece ser la mejor solución que tengo en este momento.

Podemos decir que siempre que se filtre el puerto 3306 (o un puerto sustituto), estoy totalmente protegido de BFA o de inyecciones de SQL en la base de datos (dado que el Firewall no tiene violaciones) a menos que alguien frene en la propia PC. y haciendo cambiado desde allí?

Actualización: parece que tuve una falla en la pregunta:

El fraseo original de la pregunta está arriba y algunas respuestas lo tienen, pero parece que confundí tanto el acceso a la base de datos en curso a través del puerto 3306, con el acceso internall desde PHPmyadmin (PMA), también el problema de los BFA, con el problema de las inyecciones de SQL.

Enfatizaré el tema de BFA a continuación:

Sé que incluso si filtraría el puerto con CSF y no lo filtraría más adelante : por un lado, seguiría expuesto a las detonaciones de puertos (que es un caso por sí solo) y, por otro lado, aún podría usar PMA desde la URL, algo que podría asegurar de una de las siguientes 2 formas (o una combinación de ellas):

  1. Instalando y desinstalando PMA cada vez, de forma automática con un script que contiene un tiempo de espera de desinstalación, después de 2 horas.

  2. Iniciar sesión en PMA en https (tls).

pregunta JohnDoea 23.12.2016 - 10:27
fuente

2 respuestas

1

La defensa principal en la administración de bases de datos es configurar una autenticación de base de datos sólida. Su conexión a la base de datos debe estar encriptada (por ejemplo, SSH, TLS, VPN) y la base de datos debe autenticarlo con una contraseña segura y preferiblemente con un certificado de cliente.

La defensa de la base de datos periférica es proteger el acceso mediante VPN, Firewall, listas blancas de IP.

Si usa Workbench o PHPMyAdmin tiene poco que ver con la seguridad del acceso a su base de datos. Ambos pueden configurarse para una seguridad sólida, y ambos pueden arruinarte.

    
respondido por el Lie Ryan 23.12.2016 - 13:28
fuente
4

tl; dr : Absolutamente no.

Una persona tarda menos de 3 horas en destruir completamente tu base de datos. Lo diré nuevamente: su idea en su forma actual es una práctica terrible, y NO es un sustituto del saneamiento de entrada

~~ Incluso si hubieras dicho "Pondremos la base de datos detrás de un firewall y las IP de la lista blanca, podría haber sido una mejor idea. ~~ - Veo que has actualizado tu publicación y no puedo hacer esto.

Aquí hay un par de razones por las que siento que esto no es viable:

Escenario : soy una persona desagradable que observa tu red en busca de cualquier tipo de debilidad. Soy muy, muy paciente.

Qué sucede: usted menciona que no puede usar una lista blanca de IP. Esto significa que ahora puedo atacar su servidor de muchas maneras y no preocuparme por tener que falsificar mi ubicación. ¿Cómo lo haría?

  • Configure una secuencia de comandos para analizar su sitio cada, digamos, hora: solo intente resolver / phpmyadmin y observe si se resuelve. Si lo hace, comienzo mi fuerza bruta inteligente. No muy limpio y muy ruidoso, pero bueno, casi siempre funciona.

  • Ninguna de sus soluciones actuales me impedirá realmente romper su sitio en las operaciones diarias. La inyección de SQL no solo se realiza en una página, funcionará en cualquier lugar de su sitio donde no se haya molestado en desinfectar sus entradas y están llamando o empujando datos a su base de datos. Comenzaré a atacar metódicamente cada una de estas áreas a lo largo del año.

Esto debería darte una buena idea de por qué esto no es viable.

2nd tl; dr : No lo hagas.

    
respondido por el thel3l 23.12.2016 - 10:33
fuente

Lea otras preguntas en las etiquetas

Nmap filtrado o cerrado ¿Es posible obtener una inyección SQL sin que vuelva a aparecer un error?