---

Hejsa...
Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
side, og en Apache Webserver kørende på mit DMZ.

Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
det mht min firewall.

I øjeblikket er alt trafik fra DMZ til LAN lukket.
Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
uden at det giver for mange sikkerheds huller ???

Hvis jeg åbner for en TCP/IP port er der i realiteten et stort hul,
ikke sandt ?

Hogen der har en god ide ?


Jesper Andersen

---

hvad med at lade din web og sql server blive på det lukke lan også bruge en
omvent proxy

http://www.isaserver.org/tutorials/A_Web_Site_Using_ISA_Server_Part_1_Preparing_To_Publish_Your_Site.html

også skal du jo kun have port 80 eller 443(ssl) åben i mellem DMZ og LAN

bare et forslag
Thomas Bøjstrup Johansen


> Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
> side, og en Apache Webserver kørende på mit DMZ.
>
> Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
> opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
> det mht min firewall.
>
> I øjeblikket er alt trafik fra DMZ til LAN lukket.
> Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
> uden at det giver for mange sikkerheds huller ???

---

Problemet med en reverse proxy, er at den ikke hjælper på de sårbarheder
webserveren har (Selv om den er patchet til op over begge ører, så dukker
der tilstadighed sårbarheder op), og får man kontrol med Webserveren på
lan'et, så er butikken reelt åbent.



"Thomas Bøjstrup Johansen" <tooms@post1.tele.dk> wrote in message
news:BEJyb.4734$sj.2703@news.get2net.dk...
hvad med at lade din web og sql server blive på det lukke lan også bruge en
omvent proxy

http://www.isaserver.org/tutorials/A_Web_Site_Using_ISA_Server_Part_1_Preparing_To_Publish_Your_Site.html

også skal du jo kun have port 80 eller 443(ssl) åben i mellem DMZ og LAN

bare et forslag
Thomas Bøjstrup Johansen


> Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
> side, og en Apache Webserver kørende på mit DMZ.
>
> Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
> opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
> det mht min firewall.
>
> I øjeblikket er alt trafik fra DMZ til LAN lukket.
> Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
> uden at det giver for mange sikkerheds huller ???

---

> Hvis jeg åbner for en TCP/IP port er der i realiteten et stort hul,
> ikke sandt ?
> Hogen der har en god ide ?

Min router har noget der hedder Port Triggering. Det betyder i alt sin
enkelthed, at når noget trafik sker på den beskyttede side på en bestemt
udgående port, så bliver en anden selvvalgt port åbent i et predefineret
tidsrum(eller så længe regelmæssig trafik er til stede). Derefter lukkes
porten automatisk igen.
Hvis din webside er placeret på samme side som SQL-serveren, så burde det
være en smal sag at sætte op.

--

"Sic gorgiamus allos subjectatos nunc"
Med venlig hilsen
Lars 'Trygleren' Winther
www.hesteskelet.dk -- Diametralsk modsætning ophæver tyngdeloven med krav om
forlig

---

Tak for jeres forslag, men at flytte Web serveren ind på indersiden
synes jeg umiddelbart ikke er nogen god ide.

Der må da være en løsning på sådan et problem, der er da mange
virksomheder der har online opslag af lagerstatus. Hvordan mon de har
sikret sig om angreb osv ? og hvordan har de strikket netværket sammen
?

Mvh
Jesper Andersen

On Mon, 01 Dec 2003 15:25:33 +0100, Jesper Andersen
<jaREMOVE@palby.dk> wrote:

>Hejsa...
>Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
>side, og en Apache Webserver kørende på mit DMZ.
>
>Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
>opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
>det mht min firewall.
>
>I øjeblikket er alt trafik fra DMZ til LAN lukket.
>Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
>uden at det giver for mange sikkerheds huller ???
>
>Hvis jeg åbner for en TCP/IP port er der i realiteten et stort hul,
>ikke sandt ?
>
>Hogen der har en god ide ?
>
>
>Jesper Andersen

---

Jeg har haft dette op og vende med "experter" og den rigtige måde at udføre
dette på, er ved at have en spejlet sql server på ydersiden.


Mvh
Søren



"Jesper Andersen" <jaREMOVE@palby.dk> skrev i en meddelelse
news:00kosvkc9lu1askr7jcipu1bl8cttapdjc@4ax.com...
> Tak for jeres forslag, men at flytte Web serveren ind på indersiden
> synes jeg umiddelbart ikke er nogen god ide.
>
> Der må da være en løsning på sådan et problem, der er da mange
> virksomheder der har online opslag af lagerstatus. Hvordan mon de har
> sikret sig om angreb osv ? og hvordan har de strikket netværket sammen
> ?
>
> Mvh
> Jesper Andersen
>
> On Mon, 01 Dec 2003 15:25:33 +0100, Jesper Andersen
> <jaREMOVE@palby.dk> wrote:
>
> >Hejsa...
> >Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
> >side, og en Apache Webserver kørende på mit DMZ.
> >
> >Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
> >opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
> >det mht min firewall.
> >
> >I øjeblikket er alt trafik fra DMZ til LAN lukket.
> >Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
> >uden at det giver for mange sikkerheds huller ???
> >
> >Hvis jeg åbner for en TCP/IP port er der i realiteten et stort hul,
> >ikke sandt ?
> >
> >Hogen der har en god ide ?
> >
> >
> >Jesper Andersen
>

---

>I øjeblikket er alt trafik fra DMZ til LAN lukket.
>Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
>uden at det giver for mange sikkerheds huller ???

>Hogen der har en god ide ?

Hvad med et netkort mere i din webserver, der går til LAN, hvor det
første forbliver i DMZ.

/Jan

---

Hej Jesper,

Jesper Andersen <jaREMOVE@palby.dk> wrote in
news:1ljmsvk1vftnuk38m2rhfjevae6s9minjp@4ax.com:



> Jeg har en MS SQL Server kørende med Concorde XAL kørende på min Lan
> side, og en Apache Webserver kørende på mit DMZ.
> Nu vil jeg gerne have kodet en side, hvor der er mulighed for at lave
> opslag i et lagerkartotek, men mit problem er hvordan jeg skal handle
> det mht min firewall.
> I øjeblikket er alt trafik fra DMZ til LAN lukket.
> Hvordan kan man lave så man kan trække oplysninger fra sin SQL server,
> uden at det giver for mange sikkerheds huller ???
> Hvis jeg åbner for en TCP/IP port er der i realiteten et stort hul,
> ikke sandt ?
> Hogen der har en god ide ?


Tjaeh - du kan åbne for den port som din SQL server nu anvender, og så
filterere så det udelukkende er en maskine med din Apache server's lokale IP
adresse der bliver sluppet igennem.

Men selvfølgelig - hvis "nogen" får fat i din Apache - vil man så kunne
forespørge på SQL'en. Det stiller så krav til at du har sikret den med gode
passwords, disable den normale "SA" bruger, osv.

Jeg har kørt med et setup som dette i flere år uden problemer. Men det var
heller ikke følsomme oplysninger, der lå på maskinen.

Men naturligvis kan det gøres mere sikkert med en spejlet SQL server eller
noget anden ballade - det er vel altsammen også et spørgsmål om at opveje
omkostninger til at etablere sådan en løsning vs den risiko du vurderer der
er plus hvad risiko der er hvis nogen rent faktisk får eksempelvis slettet
hele din SQL database eller løber med data fra den.

** Lars