Для удобства я установил правила брандмауэра на сервере Windows 2008 R2 одного из наших клиентов, чтобы он открыт для всего входящего трафика, всего порта и всех программ, но настройки области ограничивают его одним конкретным удаленным IP-адресом - наш. Причина в том, что мы получаем удаленный доступ к базе данных и другим программам.
Вопрос: это такая настройка рискованно? Следует ли мне прилагать усилия к созданию отдельных правил для определенных портов и программ в дополнение к нашему фиксированному IP-адресу?
Как разработчику мне трудно оценить опасность подмены IP-адреса и любых других методов взлома, которые могут использовать эту настройку.
В общем, чем меньше площадь атакуемой поверхности, тем лучше. Вы на правильном пути, ограничив это определенным IP-адресом источника. Следуя принципу наименьших привилегий, вы должны запретить все порты назначения и открывать только те, которые вам действительно нужны. Тогда вам придется взвесить стоимость администрирования и риск. Риск будет зависеть от нескольких вещей, таких как насколько конфиденциальны данные, к которым вы обращаетесь, если сервер скомпрометирован, каковы количественные потери и т. Д.
При этом гораздо более вероятно, что злоумышленник воспользуется уязвимостью на сервере клиента изнутри своей собственной сети, чем если бы он совершил атаку посредника и захватил ваши учетные данные, конфиденциальный материал БД и т. Д. Подмена IP-адреса в практическом применении здесь не вызовет особого беспокойства. Обычно он используется для сканирования сети или для кадрирования другой машины / IP. Становится чрезвычайно сложно подделать IP-адрес и выполнить какие-либо функции при использовании протоколов, требующих установки сеанса между источником и местом назначения. Возможно, но маловероятно. (см. отравление arp или dns)
Другой более вероятный вектор атаки (на БД) может заключаться в том, что ваша собственная машина / сеть скомпрометирована, и злоумышленник может развернуться оттуда и поразить машину БД. Конечно, на этом этапе у вас будут большие проблемы. ;) Надеюсь, что это помогает немного.
Это ненужный риск. Большая часть доступа к базе данных может осуществляться с помощью проверки подлинности сертификата. «Другие программы» слишком расплывчато. Означает ли это, что вам необходимо пройти аутентификацию на удаленном компьютере с Windows через Интернет? Похоже, VPN был бы полезен. В наши дни мне кажется маловероятным, что две организации в Интернете не будут иметь брандмауэры, способные устанавливать между собой соединение IPSEC VPN.
Учитывая ваше объяснение сценария, я бы сказал, ограничьте доступ к одному IP (общедоступному IP-адресу вашего брандмауэра) и управляйте тем, кому разрешено обращаться к различным службам сервера через этот общедоступный IP-адрес через правила вашего брандмауэра.
Пока ваш IP-адрес статический, все будет в порядке.