Non sono del settore IS e voglio chiederlo: possiamo concludere che il filtraggio della porta 3306 e il solo unfiltering nei momenti di bisogno è la difesa definitiva da DB hacking?
Supponiamo di svuotare la porta per 2-3 ore in un anno, solo per apportare alcune modifiche al DB ( dire, con Workbench , o in un modo un po 'meno sicuro, PHPmyadmin) e quindi filtrare di nuovo per alcuni lunghi mesi.
Nel mio caso, ad esempio, non posso utilizzare una whitelist IP (principalmente a causa di restrizioni di viaggio), quindi mi sembra la soluzione migliore che ho al momento.
Possiamo dire che finché la porta 3306 (o una porta sostitutiva) viene filtrata, sono completamente protetto dai BFA o dalle iniezioni SQL sul DB (dato che il Firewall non ha violazioni) a meno che qualcuno non freni nel PC stesso e facendo cambiato da lì?
Aggiornamento - Mi sembra di aver avuto un difetto nella domanda:
Il fraseggio originale della domanda è sopra e alcuni rispondono, ma sembra che abbia confuso l'accesso al DB in corso tramite la porta 3306, con l'accesso interntal da PHPmyadmin (PMA), come pure il problema dei BFA, con il problema delle iniezioni SQL.
Sottolineerò il problema di BFA di seguito:
So che, anche se filtrerei la porta con CSF e non la sviterei più in seguito - che da una mano, sarei ancora esposto al knock-out della porta (che è un caso da solo) , e dall'altra parte, sarebbe ancora in grado di utilizzare PMA dall'URL, qualcosa che potrei proteggere in uno dei seguenti due modi (o una combinazione di essi):
-
Installazione e disinstallazione di PMA ogni volta di nuovo, in modo automatico con uno script che contiene il timeout di disinstallazione, dopo 2 ore.
-
Accesso a PMA in https (tls).