Sicherheitsfrage

Sicherheitsfrage

am 07.01.2006 23:23:25 von irian

Hallöchen,

wir haben hier zwei getrennte Server, nennen wie sie mal A und B. Auf dem
Webserver A läuft unter anderem eine MySQL-Datenbank, die bisher keinen
direkten Kontakt nach draußen hatte.

Nun überlege ich, wie "gefährlich" es wäre, mit MySQL-Bordmitteln einer
einzelne, feste IP (eben Server B) den Zugriff (mit Pwd, klar) zu erlauben.

Natürlich, jeder der dazwischen hängt kann die Daten mitlesen, aber wie ist
die sonstige Sicherheit insb. in Hinblick auf DOS-Attacken zu bewerten?

Ob die ganze Sache SINN macht, insb. in Hinblick auf Performance, etc. ist
natürlich eine ganz andere Frage, die Alternative - ne eigene DB auf Server
B aufzusetzen - würde (leider) dazu führen, dass die Sache nicht mehr ganz
so "nahtlos" wäre...

Gruß,

Flo

Re: Sicherheitsfrage

am 08.01.2006 00:46:00 von Dirk Brosowski

Flo 'Irian' Schaetz schrieb:
> Hallöchen,
>
> wir haben hier zwei getrennte Server, nennen wie sie mal A und B. Auf dem
> Webserver A läuft unter anderem eine MySQL-Datenbank, die bisher keinen
> direkten Kontakt nach draußen hatte.
>
> Nun überlege ich, wie "gefährlich" es wäre, mit MySQL-Bordmitteln einer
> einzelne, feste IP (eben Server B) den Zugriff (mit Pwd, klar) zu erlauben.
>
> Natürlich, jeder der dazwischen hängt kann die Daten mitlesen, aber wie ist
> die sonstige Sicherheit insb. in Hinblick auf DOS-Attacken zu bewerten?
>
> Ob die ganze Sache SINN macht, insb. in Hinblick auf Performance, etc. ist
> natürlich eine ganz andere Frage, die Alternative - ne eigene DB auf Server
> B aufzusetzen - würde (leider) dazu führen, dass die Sache nicht mehr ganz
> so "nahtlos" wäre...

Du kannst zur Absicherung eine SSL-Verschlüsselung einsetzen. Besser
wäre natürlich ein Tunnel oder zumindestens eine sinnvolle
firewall-Konfiguration, welche nur auf dem Port den Traffic von der IP
akzeptiert. Gegen DOS-Attacken kannst du nicht viel machen, ausser den
Port zu wechseln und damit den Angreifern ein kleines Problem bescheren.

Aber besser ist es, das auf Betriebssystemebene zu machen oder machen zu
lassen. Das sollte eigentlich kein Problem sein.

grüße

Dirk