MySQL: apertura porta sul web e sicurezza

[aasmdaa]

Ciao,

ho un server in housing (protetto da un firewall hardware esterno) sul quale gira MySQL. Al momento per collegarmi utilizzo su alcuni pc in diverse sedi un software (MyEtunnel) che crea un tunnel SSH e poi mi collego sulla porta locale forwardata di tale tunnel.

Ora se io volessi evitare tale tunnel per motivi prestazionali ad esempio se volessi aprire la porta 3306 per collegarmi direttamente, dal punto di vista della sicurezza sarei a un buon livello se:

1) nel firewall acconsento al passaggio della 3306 solo agli IP fissi delle varie sedi
2) nel database imposto che l'utente ha accesso solo a determinate tabelle in lettura e scrittura

Grazie
ciao

[philbert]

Originariamente inviato da aasmdaa
Ciao,

ho un server in housing (protetto da un firewall hardware esterno) sul quale gira MySQL. Al momento per collegarmi utilizzo su alcuni pc in diverse sedi un software (MyEtunnel) che crea un tunnel SSH e poi mi collego sulla porta locale forwardata di tale tunnel.

Ora se io volessi evitare tale tunnel per motivi prestazionali ad esempio se volessi aprire la porta 3306 per collegarmi direttamente, dal punto di vista della sicurezza sarei a un buon livello se:

1) nel firewall acconsento al passaggio della 3306 solo agli IP fissi delle varie sedi
IP spoofing
2) nel database imposto che l'utente ha accesso solo a determinate tabelle in lettura e scrittura
http://it.wikipedia.org/wiki/Privilege_escalation

Grazie
ciao

Tutto dipende da:
a) qual è il tuo concetto di "buon livello" di sicurezza
b) quanto sono sensibili i tuoi dati


In ogni caso:
1) nel firewall acconsento al passaggio della 3306 solo agli IP fissi delle varie sedi
è attaccabile con un IP Spoofing (http://it.wikipedia.org/wiki/IP_spoofing)

2) nel database imposto che l'utente ha accesso solo a determinate tabelle in lettura e scrittura
è sempre possibile che qualcuno trovi il modo per un Vertical Privilage Escalation (http://it.wikipedia.org/wiki/Privilege_escalation)...dipende da come hai configurato MySql

Ad ogni modo se hai cali prestazionali mostruosi con SSH e se non hai dati particolarmente sensibili (cioè non tratti carte di credito, conto correnti, raccolta di credenziali, progetti industriali ecc.) allora può andare bene quello che hai pensato...

... in più per sicurezza aggiungerei al firewall un controllo anche sul MAC dei computer che usi effettivamente per connetterti dalle varie sedi (ok esiste anche il MAC Spoofing ma non affatto banale e a quel punto significa che chi ti attacca non lo fa per caso/noia ma sta andando a cercare dati ben precisi sul tuo db)

[aasmdaa]

a) per buon livello intendo che il rischio di fuga di dati sia molto basso (non mi aspetto un attacco tipo alla Nasa in quanto non so a quanti possano interessari tali dati, però voglio garantire un certo livello di sicurezza che sia difficile da penetrare)
b) sono dati di utenti (nome, cognome, cell, dati del conto corrente) e relativi servizi registrati, oltre ai dati contabili dell'azienda relativi a tale servizi

Non ho cali di prestazione mostruosi, però nelle ultime 2 settimane spesso il tunnel si connette/disconnette. Ho fatto delle verifiche ed il problema è la stabilità della connessione ADSL (molti ping vengono persi).
Dato che la T*** se ne lava le mani volevo trovare un modo alternativo di connessione (anche se dubito che possa cambiare di molto la situazione).

Non ho trovato il MAC filter su tale firewall (Zywall 2). Sembra sia disponibile solo sulla WLAN. Nemmeno sul content filter ho capito come potrei inserirlo.

Diciamo che comunque voglio trovare un giusto equilibrio tra sicurezza (per me sempre importante) e funzionalità.

Grazie comunque dei chiarimenti, sei stato molto preciso.

[aasmdaa]

In particolare mi interessa capire se sia meglio tra le 2 soluzioni (che al momento sono le uniche che ho a disposizione) in quanto a sicurezza e prestazioni:

1) Tunnel SSH e connessione del software sulla porta forwardata
2) Soluzione con IP filter

Se mantengo la prima potrei anche aggiungere la seconda filtrando gli IP delle sedi per la porta SSH in modo da aggiungere un ulteriore controllo (sicurezza a buccia di cipolla).

[philbert]

Originariamente inviato da aasmdaa
In particolare mi interessa capire se sia meglio tra le 2 soluzioni (che al momento sono le uniche che ho a disposizione) in quanto a sicurezza e prestazioni:

1) Tunnel SSH e connessione del software sulla porta forwardata
2) Soluzione con IP filter

Se mantengo la prima potrei anche aggiungere la seconda filtrando gli IP delle sedi per la porta SSH in modo da aggiungere un ulteriore controllo (sicurezza a buccia di cipolla).

il tunnel SSH è più sicuro, sopratutto se cambi perodicamente la chiave
se vuoi maggior sicurezza fai giustamente quello che hai detto, filtrare gli IP per la porta SSH

affidarsi solo al IP filter è molto meno sicuro perché l'IP Spoofing è una tecnica ben consolidata che una attacante ben motivato e attrezzato può mettere in atto con non discrete probabilità di successo

poi in una situazione di rete normale non dovresti avere cali di prestazione

[aasmdaa]

Perfetto sei stato chiarissimo.
Userò SSH + filtri.