30/10/2009, 08:49
| |||
| |||
 Seguridad en servidor Hola a todos... mi consulta tiene que ver con lo siguiente, a ver como me explico: tengo un servidor postgres escuchando cualquier direccion de ip, el puerto de acceso a la base de datos está habilitado gracias a crear una excepción en el firewall de windows, ip fija, el router redirecciona la entrada por ese puerto a la maquina servidor, y con un programa cliente me conecto a esa ip desde cualquier lugar con internet. la pregunta es: ¿cómo mejoro la seguridad de este sistema? todas las respuestas son bienvenidas y desde ya gracias  |
|
01/11/2009, 05:15
| ||||
| ||||
| Respuesta: Seguridad en servidor Yo haría un tunel con directivas IPSEC, Open SSH etc. Eso garantiza el trafico cifrado y la identidad de quien se conecta. Además me aseguraría que la aplicación no permite inyectar código SQL en los campos de los formularios. Deshabilitaría todos los servicios windows no necesarios y usaría un fw que no fuese el de windows. Yo he tenido durante años un servidor WEB usando SQL server en un escenario como el que tu cuentas. Usaba un firewall de inspección de estado que se llamaba 8Signs (antes Conseal). Nunca lo zumbaron, y mira que había noches que iban a por el. Suerte Hooker |
|
02/11/2009, 08:48
| |||
| |||
| Respuesta: Seguridad en servidor Gracias HookerSP Pero me queda la duda de cómo hacer un tunel con directivas IPSEC, Open SSH etc. ¿Es muy complicado? Además ¿cómo haría para evitar que inyecten código SQL en mi formulario?  Gracias desde ya!! saludos  |
|
03/11/2009, 06:14
| ||||
| ||||
| Respuesta: Seguridad en servidor Cita:
Iniciado por nfnick  Gracias HookerSP Pero me queda la duda de cómo hacer un tunel con directivas IPSEC, Open SSH etc. ¿Es muy complicado? Además ¿cómo haría para evitar que inyecten código SQL en mi formulario? Gracias desde ya!! saludos Bueno, es que esa es la parte que te tienes que currar tu. Open SSH es muy sencillo, hay una version para windows creo recordar. Basicamente el programa emite un certificado que luego se presenta para hacer el tunel. En Google hay cientos de miles de páginas que hablan de IPSEC y te dan una guia de cómo se hace paso a paso. Yo recuerdo que en la knowledge base de Miscrosoft había documentos muy buenos en castellano. Para evitar la inyección SQL hay que filtrar lo que te ponen en el formulario antes de hacer la query a la base de datos. Mi consejo es que te hagas una rutina EN EL LADO DEL SERVIDOR (ASP, PHP), NUNCA EN EL LADO DEL CLiENTE (Javascript, Vbscript) donde te asegures que los unicos caracteres que han colocado son letras y números. Insisto que esta validación no la hagas en el lado del cliente porque es facil de saltar. Saludos Hooker |
