Acceso seguro a una aplicación desde Internet [cerrado]

Navega tus respuestas
-1

Tengo una aplicación que necesita conectarse a la base de datos principal. Quiero que esta aplicación sea accesible desde fuera de la red de la empresa. Creo que la mejor manera es instalar la aplicación en una máquina virtual de SQL Server 2012 con solo esta aplicación y hacer que esta aplicación sea visible desde Internet.

La idea es configurar de alguna manera el firewall para permitir que solo algunas direcciones MAC y nombres de PC (si se pudiera agregar más seguridad) puedan conectarse a través de un puerto y luego ejecutar la aplicación.

No sé qué tan seguro sería o cómo hacerlo. ¿Es esta una forma adecuada de hacer esto o hay una mejor manera?

    
pregunta U. Busto 19.03.2018 - 11:18
fuente

2 respuestas

1

Por favor, vea mi comentario, pero espero que esto le brinde una respuesta para que pueda comenzar en la dirección correcta. Primero, asegurar una aplicación en primer lugar no es fácil. Asegurar una aplicación que está abierta a Internet tiene los mismos principios, pero es más difícil y sin duda lo expone más. Primero me preguntaría si necesita esta aplicación abierta a una red externa. Si lo haces, te recomendaría que busques ayuda de alguien porque es una tarea grande y tienes datos persistentes almacenados en una base de datos.

Para explicar por qué su esquema actual es inseguro, le ofreceré una analogía. Restringir el acceso a través de una dirección Mac es lo mismo que restringir los automóviles (a través de su placa de matrícula) a una comunidad cerrada. Claro, usted tiene algún control de acceso, pero para mí es bastante fácil falsificar una placa de matrícula y darle una bofetada en mi auto para pasar su filtro de mac addr. La idea es tener múltiples capas de defensa. En esta analogía, mi casa (dentro de la comunidad cerrada) es su aplicación. En primer lugar, la comunidad cerrada restringe a los usuarios en función de un campo más general (dirección IP) comúnmente denominado lista blanca. Esto se puede omitir para que la siguiente capa sea su control de acceso de usuario verdadero (también conocido como el bloqueo de la puerta de su casa). Cada usuario tiene un nombre de usuario y una contraseña para poder rastrear cualquier cosa que hagan y vincularlos. Si no tienen un nombre de usuario y contraseña, obviamente no pueden obtener acceso a su casa o aplicación en esta analogía. Una vez que pasan la cerradura de la puerta de su casa, ciertos usuarios pueden estar restringidos y solo pueden acceder a ciertas habitaciones de la casa con sus credenciales. Puedes ver cómo esto se complica.

La idea general es crear múltiples niveles de defensa para que un atacante tenga que trabajar muy duro y "ganar" varias veces antes de acceder a cualquier cosa. Como siempre, esto depende de cuán sensible sea la aplicación. Cuanto más sensibles son los datos, más controles se colocan. Lea acerca de cómo desarrollar un modelo de amenaza antes de comenzar. ¡La mejor de las suertes!

    
respondido por el pm1391 19.03.2018 - 13:58
fuente
0

La seguridad siempre debe implementarse en capas

Primero considere el control de acceso perimetral. Aislamiento de la red a través de una combinación de una VLAN aislada de acceso público también conocida como DMZ con ACL estrictas para controlar las rutas de ingreso y egreso a dicho segmento de red.

A continuación, considere el uso de túneles basados en TLS o SSH para la aplicación expuesta para proteger los datos en tránsito y la autenticación / autorización de dicha aplicación.

La defensa en profundidad es siempre un enfoque en capas para proteger lo que está en tránsito y lo que está en reposo.

    
respondido por el jas- 20.03.2018 - 12:15
fuente

Lea otras preguntas en las etiquetas

¿Qué ocurrirá cuando todos los cambios de IPv4 a IPv6? [cerrado] ¿Por qué la cantidad de paquetes recibidos sería mayor que la cantidad de paquetes enviados? [cerrado]