Considerazioni sulla sicurezza durante l'apertura della porta per un servizio?

Naviga le tue risposte
0

Mi piacerebbe ospitare un servizio (scritto in C# ) sul mio server e permetterne l'accesso dall'esterno della rete.

So che ho bisogno di aprire una porta nel firewall affinché funzioni, e sono riuscito a farlo, ma non ho idea di quanto sia sicuro.

Qualcuno è in grado di consigliare quali precauzioni di base dovrebbero essere prese, o indicarmi una risorsa che potrebbe aiutare?

Alcuni dettagli di base:

  • Windows Server 2012
  • Servizio WCF C #
  • Ospitato su IIS
  • Database di accesso MS
  • No SSL - Non sono riuscito a farlo funzionare, ma i dati inviati non sono sensibili, quindi penso che dovrebbe andare bene?

Ho preso alcune precauzioni nel servizio stesso, ad esempio ho parametrizzato query / inserimenti di database e dovrei essere in grado di chiedere all'utente di includere una sorta di nome utente / password nel loro messaggio.

Ho anche notato che in Windows Firewall esiste un'opzione Only allow connections from these computers in Remote Computers durante la creazione di una regola. Quanto è affidabile questo?

Apprezzo molto l'aiuto dato che non ho idea di dove cominciare con questo!

    
posta Bassie 08.06.2017 - 14:54
fonte

1 risposta

1

I have taken some precautions in the service itself, for example I have parameterised database queries/inserts and I should be able to ask the user to include some sort of username/password in their message.

Se stai chiedendo loro di passare un nome utente e / o una password di sorta attraverso il servizio che idealmente vuole essere eseguito su HTTPS.

I also noticed that in windows firewall there is a Only allow connections from these computers option under Remote Computers when creating a rule. How reliable is this?

Personalmente aderirei alle restrizioni IP se si tratta di un servizio pubblico. Puoi scegliere tra whitelist o black list IP. La lista bianca è ovviamente più sicura.

Much appreciate any help at all as I have no idea where to start with this!

Vorrei assicurarmi di testare il tuo servizio (applicazione) prima di pubblicarlo. Mi hai detto che hai fatto una certa protezione contro l'input dell'utente, ma passerei un po 'di tempo a provarlo nel modo più dettagliato possibile - idealmente chiedi a una terza parte di aiutarti, potrebbero individuare le cose che hai perso. Ad esempio, assicurati che l'autenticazione che stai utilizzando sia strong e che l'applicazione non contenga errori che potrebbero consentire a un utente malintenzionato di eludere il controllo degli accessi. per esempio. Verifica che tutti i percorsi di servizio richiedano l'autenticazione corretta e registra i tentativi riusciti e falliti in modo da poter vedere quale tipo di attacchi vengono tentati.

Per quanto riguarda la sicurezza del server, dovrebbero essere usati i normali meccanismi di protezione:

  • Modifica le password predefinite per il server / i servizi
  • Scegli password complesse
  • Verifica che solo le porte aperte siano esposte, chiudi le porte e i servizi che non sono necessari
  • Installa un buon AV
  • Regola regolarmente il sistema operativo e tutte le applicazioni
  • Rivaluta regolarmente quanto sopra per assicurarti che nulla sia cambiato e abbia esposto per sbaglio il tuo server e / o la tua applicazione.
risposta data 08.06.2017 - 15:10
fonte

Leggi altre domande sui tag

Aggiunge o antepone un salt a una password? [duplicare] Qual è la strategia comune per l'emissione di richieste OCSP