Ну в смысле поставить в ДМЗ северок небольшой, на нем скомпилировать например апач с параноидальным подходом, сделать реверс-прокси конфигурацию, пусть принимает запросы и диспетчирует их, только правильные, на тот же Виндоуз-сервер, но стоящий в МЗ. Все риск будет пониже, чем целый Виндоуз-сервер под обстрел подставлять. Или мне так только кажется.Джимми wrote: А что такое реверсивный прокси? И чем он поможет в этом случае? каким угрозам он противостоит?
Речь не только о вебсервисах. Я бы на асп ещё всякое мог делать
Windows Server in DMZ
Moderator: Little Muk
Re: Windows Server in DMZ
Re: Windows Server in DMZ
Оpen source - это не для админа, а для того, чтобы любой желающий смог бы проанализировать код и сообщить о проблемах, возможно до того, как хакнут.а вместо кина исходники убунты проверяет
Но настолько ли это важно, когда зарегистрировашись и зайдя на сайт крупной компании из Инета простейшим подбором УРЛа можно получить список дилеров с конфиденциальными данными.
К тому же, MS, Apple, Google или др. К сожалению сегодня выигрывает тот, кто добавляет всё новые и новые фичи и релизы, а безопасность стоит на втором месте.
Re: Windows Server in DMZ
А что тогда файервол делает? Я всегда думал, что именно так он должен работать. Или мне так казалось?Ravinger wrote:Ну в смысле поставить в ДМЗ северок небольшой, на нем скомпилировать например апач с параноидальным подходом, сделать реверс-прокси конфигурацию, пусть принимает запросы и диспетчирует их, только правильные, на тот же Виндоуз-сервер, но стоящий в МЗ. Все риск будет пониже, чем целый Виндоуз-сервер под обстрел подставлять. Или мне так только кажется.Джимми wrote: А что такое реверсивный прокси? И чем он поможет в этом случае? каким угрозам он противостоит?
Речь не только о вебсервисах. Я бы на асп ещё всякое мог делать
А подобные движения с апатчем сложно осуществить? Может в нём мод какой-то есть, который в нормальном сервере позволит дальше запросы диспечировать. Т.е. доставить в существующий вебсервер, чтоб он дальше на асп в мз перекидывал. Может кто-то так делал?
Но в чём защита тогда?
Т.е. если бояться, что через поломку асп приложения (хотя его ещё сломать надо) грозные хакеры возьмут под контроль вин сервер, то тогда он должен быть именно в дмз. Чтоб исключить шаренье по внутренней сети и копирование фсяких секретов. Это как раз и есть назначение дмз. Или мне так только кажется.
А чего ещё можно бояться?
потому что Джим каждое утро делает зарядку
Re: Windows Server in DMZ
Но зато этот сайт на самом безопасном линуксе стоитrevelador wrote: Но настолько ли это важно, когда зарегистрировашись и зайдя на сайт крупной компании из Инета простейшим подбором УРЛа можно получить список дилеров с конфиденциальными данными.
потому что Джим каждое утро делает зарядку
Re: Windows Server in DMZ
файрволл обычно более "тупой" чем апач. ну т.е пропускает все что HTTP и все что идет на порт 80 на определенном IPА что тогда файервол делает? Я всегда думал, что именно так он должен работать. Или мне так казалось?
Апачу можно настроить "пропускай только URL который имеют вот такой специфический паттерн"
Re: Windows Server in DMZ
это как раз неправда.Джимми wrote:Зоопарк у линукс серверов почище чем у Виндовс
Везде OpenSSH и тот же Аpache, во всех линуксах. различия в процедурах установки и небольшие различия в расположении конфиг файлов. это гораздо меньшие различия чем между WinXP и каким нибудь Windows сервер 2008
Re: Windows Server in DMZ
Файрвол обычно ограничивает доступ к порту, содержание он не особенно смотрит, если не задать подобное. Рпроксик же возьмет на себя запросы и сам будет посылать запросы дальше, согласно сценарию. Не знаю чем поможет в реальности, не в курсе как взламывают Виндоузные машины, но, как аргумент для ввода этого экзота в обращение, безопасниками вполне может быть принят. Вопрос же начальный был об этом?Джимми wrote: А что тогда файервол делает? Я всегда думал, что именно так он должен работать. Или мне так казалось?
А подобные движения с апатчем сложно осуществить? Может в нём мод какой-то есть, который в нормальном сервере позволит дальше запросы диспечировать. Т.е. доставить в существующий вебсервер, чтоб он дальше на асп в мз перекидывал. Может кто-то так делал?
Но в чём защита тогда?
Т.е. если бояться, что через поломку асп приложения (хотя его ещё сломать надо) грозные хакеры возьмут под контроль вин сервер, то тогда он должен быть именно в дмз. Чтоб исключить шаренье по внутренней сети и копирование фсяких секретов. Это как раз и есть назначение дмз. Или мне так только кажется.
А чего ещё можно бояться?
Мод какой-то есть, не помню, сам реверсные прокси уже года с два не собирал, даже несколько, называются "mod_proxy*". Можно наверняка и подгрузить просто, сам привык когда-то их вкомпилирывать, потому и написал о своем опыте.
Re: Windows Server in DMZ
Всего лет десять назад IIS даже не надо было особо ломать. При default настройках сервера после ввода опрелелённой строки в URL можно было просто напросто лазить по всей файловой системе компа. И это был далеко не единственный подарок хакерам от сами знаете кого. "Ложки конечно потом нашли, но осадок остался"Джимми wrote:Получается, что угрозы общие для всех, типа эскюель инджекшн, но если грохнули какую-то джумлу то почему-то не кричат на каждом углу, что пхп одна сплошная дырка.
Re: Windows Server in DMZ
Джимми, короче это вопрос ответственности.
ваше IT нах не хочет отвечать за безопасность Win сервера, им линуксов хватает (их можно понять)
скажи что будешь сам админить Win сервер и сам за него отвечать.
ваше IT нах не хочет отвечать за безопасность Win сервера, им линуксов хватает (их можно понять)
скажи что будешь сам админить Win сервер и сам за него отвечать.
Re: Windows Server in DMZ
Я что больной на голову.Гость wrote:Джимми, короче это вопрос ответственности.
ваше IT нах не хочет отвечать за безопасность Win сервера, им линуксов хватает (их можно понять)
скажи что будешь сам админить Win сервер и сам за него отвечать.
Ты знаешь сколько добрых дел у меня уже не остались безнаказанными
потому что Джим каждое утро делает зарядку