Windows Server in DMZ

[Ravinger]

А что такое реверсивный прокси? И чем он поможет в этом случае? каким угрозам он противостоит?
Речь не только о вебсервисах. Я бы на асп ещё всякое мог делать

Ну в смысле поставить в ДМЗ северок небольшой, на нем скомпилировать например апач с параноидальным подходом, сделать реверс-прокси конфигурацию, пусть принимает запросы и диспетчирует их, только правильные, на тот же Виндоуз-сервер, но стоящий в МЗ. Все риск будет пониже, чем целый Виндоуз-сервер под обстрел подставлять. Или мне так только кажется.

[revelador]

а вместо кина исходники убунты проверяет

Оpen source - это не для админа, а для того, чтобы любой желающий смог бы проанализировать код и сообщить о проблемах, возможно до того, как хакнут.

Но настолько ли это важно, когда зарегистрировашись и зайдя на сайт крупной компании из Инета простейшим подбором УРЛа можно получить список дилеров с конфиденциальными данными.

К тому же, MS, Apple, Google или др. К сожалению сегодня выигрывает тот, кто добавляет всё новые и новые фичи и релизы, а безопасность стоит на втором месте.

[Джимми]

А что такое реверсивный прокси? И чем он поможет в этом случае? каким угрозам он противостоит?
Речь не только о вебсервисах. Я бы на асп ещё всякое мог делать

Ну в смысле поставить в ДМЗ северок небольшой, на нем скомпилировать например апач с параноидальным подходом, сделать реверс-прокси конфигурацию, пусть принимает запросы и диспетчирует их, только правильные, на тот же Виндоуз-сервер, но стоящий в МЗ. Все риск будет пониже, чем целый Виндоуз-сервер под обстрел подставлять. Или мне так только кажется.

А что тогда файервол делает? Я всегда думал, что именно так он должен работать. Или мне так казалось?
А подобные движения с апатчем сложно осуществить? Может в нём мод какой-то есть, который в нормальном сервере позволит дальше запросы диспечировать. Т.е. доставить в существующий вебсервер, чтоб он дальше на асп в мз перекидывал. Может кто-то так делал?
Но в чём защита тогда?
Т.е. если бояться, что через поломку асп приложения (хотя его ещё сломать надо) грозные хакеры возьмут под контроль вин сервер, то тогда он должен быть именно в дмз. Чтоб исключить шаренье по внутренней сети и копирование фсяких секретов. Это как раз и есть назначение дмз. Или мне так только кажется.
А чего ещё можно бояться?

[Джимми]

Но настолько ли это важно, когда зарегистрировашись и зайдя на сайт крупной компании из Инета простейшим подбором УРЛа можно получить список дилеров с конфиденциальными данными.

Но зато этот сайт на самом безопасном линуксе стоит

[Guest]

А что тогда файервол делает? Я всегда думал, что именно так он должен работать. Или мне так казалось?

файрволл обычно более "тупой" чем апач. ну т.е пропускает все что HTTP и все что идет на порт 80 на определенном IP
Апачу можно настроить "пропускай только URL который имеют вот такой специфический паттерн"

[Guest]

Зоопарк у линукс серверов почище чем у Виндовс

это как раз неправда.
Везде OpenSSH и тот же Аpache, во всех линуксах. различия в процедурах установки и небольшие различия в расположении конфиг файлов. это гораздо меньшие различия чем между WinXP и каким нибудь Windows сервер 2008

[Ravinger]

А что тогда файервол делает? Я всегда думал, что именно так он должен работать. Или мне так казалось?
А подобные движения с апатчем сложно осуществить? Может в нём мод какой-то есть, который в нормальном сервере позволит дальше запросы диспечировать. Т.е. доставить в существующий вебсервер, чтоб он дальше на асп в мз перекидывал. Может кто-то так делал?
Но в чём защита тогда?
Т.е. если бояться, что через поломку асп приложения (хотя его ещё сломать надо) грозные хакеры возьмут под контроль вин сервер, то тогда он должен быть именно в дмз. Чтоб исключить шаренье по внутренней сети и копирование фсяких секретов. Это как раз и есть назначение дмз. Или мне так только кажется.
А чего ещё можно бояться?

Файрвол обычно ограничивает доступ к порту, содержание он не особенно смотрит, если не задать подобное. Рпроксик же возьмет на себя запросы и сам будет посылать запросы дальше, согласно сценарию. Не знаю чем поможет в реальности, не в курсе как взламывают Виндоузные машины, но, как аргумент для ввода этого экзота в обращение, безопасниками вполне может быть принят. Вопрос же начальный был об этом?
Мод какой-то есть, не помню, сам реверсные прокси уже года с два не собирал, даже несколько, называются "mod_proxy*". Можно наверняка и подгрузить просто, сам привык когда-то их вкомпилирывать, потому и написал о своем опыте.

[Vlad]

Получается, что угрозы общие для всех, типа эскюель инджекшн, но если грохнули какую-то джумлу то почему-то не кричат на каждом углу, что пхп одна сплошная дырка.

Всего лет десять назад IIS даже не надо было особо ломать. При default настройках сервера после ввода опрелелённой строки в URL можно было просто напросто лазить по всей файловой системе компа. И это был далеко не единственный подарок хакерам от сами знаете кого. "Ложки конечно потом нашли, но осадок остался"

[Guest]

Джимми, короче это вопрос ответственности.

ваше IT нах не хочет отвечать за безопасность Win сервера, им линуксов хватает (их можно понять)
скажи что будешь сам админить Win сервер и сам за него отвечать.

[Джимми]

Джимми, короче это вопрос ответственности.

ваше IT нах не хочет отвечать за безопасность Win сервера, им линуксов хватает (их можно понять)
скажи что будешь сам админить Win сервер и сам за него отвечать.

Я что больной на голову. я только раненый
Ты знаешь сколько добрых дел у меня уже не остались безнаказанными