iT邦幫忙

0

公司要直接用app從外部連線主機,請求好方法

公司用了一套erp系統,這幾天才知道之前有請廠商開發app,要直接從手機可以拋資料到SQL的資料庫,前一家公司只要是對外的都會直接跟內部隔離,但是今天廠商說要開放1433port,而且內部員工也要使用,無法隔離,但是我覺得這樣風險太大了。公司現在主機放在另外一家公司,有forti的防火牆在外面,目前主機是放在dmz區,下禮拜會移回來我們公司,也會有防火牆,請問各位前輩有什麼好辦法。感謝

看更多先前的討論...收起先前的討論...
備份再備份
slime iT邦大師 1 級 ‧ 2019-04-09 08:28:06 檢舉
如果要寫入主機的資料, 建議不要直接寫入, 透過一台暫存主機, 特別是可能被亂寫資料.
marius iT邦新手 4 級 ‧ 2019-04-09 08:30:42 檢舉
ERP沒API?
手機現在都是用Json互傳資料~
沒再用1433port來直接連資料庫了~
這廠商感覺有點弱?
froce iT邦高手 1 級 ‧ 2019-04-09 09:48:47 檢舉
1433...這廠商該打屁股吧。
沒web api也不能直接用DB開放去給人打吧。
Homura iT邦高手 2 級 ‧ 2019-04-09 10:15:18 檢舉
可怕的廠商@@
haoming iT邦好手 1 級 ‧ 2019-04-09 11:23:57 檢舉
直接 打 1433省事吧, 成本壓太低了 就把 資安放鬆一點點
比較常見的做法是公司有專屬的平板或手機,上面預裝了app可以連公司內部DB的,如果同事的私人手機都可以連公司DB,那真的很恐怖。先不說同事手機有沒有更新韌體,連是不是同事的手機正在連DB你都無從判斷,恐怖極了。更別說Client SSL cert, software token, two-factor auth等等的驗證技術了......
ta456 iT邦新手 5 級 ‧ 2019-04-09 16:06:22 檢舉
後來廠商說會架一個iis請我們到時候開port或用vpn連線進來,謝謝大家
天底下沒有兩全其美的方法,要方便,肯定犧牲安全性,要安全性,肯定不方便,如何衡量其方便性/安全性/預算,先想好才不會白作工
slime iT邦大師 1 級 ‧ 2019-04-10 08:22:23 檢舉
參考:

https://tw.appledaily.com/new/realtime/20190311/1531225/
6
raytracy
iT邦大神 1 級 ‧ 2019-04-09 10:01:46
最佳解答

建議公布廠商名稱, 以拯救芸芸眾生, 避免大家往後踩雷...

開 1433 去 Internet 用? 就算在內網, 也不應該把 port 1433 直接給 Client 端連線, 中間至少要經過一台 Application Server 或 Middleware Server 來處理....

現在企業連內網都危機重重了, 大家都在喊: 內網即威脅; SQL 還敢這樣開? 這是個完全沒資安概念的軟體架構設計, 還以為是學生在學校寫作業嗎?...這廠商蠢到極點了...

目前唯一能解的:
請在所有手機上安裝 VPN, 啟動 VPN 之後進內網再連線...

真好~我也是這樣想的。
再多建議一條 >> 綁手機MAC,forti防火牆可以實現。
未被指定(不安全)的手機連不上VPN,這樣更可靠一點。

2
小魚
iT邦高手 1 級 ‧ 2019-04-09 07:55:11

手機通常不會直接操作資料庫,
而是透過API去操作資料庫...

ta456 iT邦新手 5 級 ‧ 2019-04-09 07:58:10 檢舉

對,就是要在手機上用app直接丟資料給主機

小魚 iT邦高手 1 級 ‧ 2019-04-09 08:05:33 檢舉

透過API來處理,
所以你的API要做一些認證,
確定是你的手機傳過來的資料.

1
浩瀚星空
iT邦高手 1 級 ‧ 2019-04-09 09:06:44

正常是需要寫一個api來處理,不要讓app能直接去動到資料庫。
廠商要求開放1433port就是想要直接能連結資料庫處理。這樣的風險太大。

1
純真的人
iT邦高手 1 級 ‧ 2019-04-09 09:48:43

公司用了一套erp系統,這幾天才知道之前有請廠商開發app,要直接從手機可以拋資料到SQL的資料庫

我猜你們應該連ERP系統不會改吧?
才委外廠商開發APP
但問題是廠商只會做APP又不會改你們的ERP做API介面
一般來說ERP系統的API要自己做,再由廠商串接手機~
或者ERP及APP都是由廠商來做整合.../images/emoticon/emoticon10.gif

1
海綿寶寶
iT邦超人 1 級 ‧ 2019-04-09 10:06:42

好方法就是
內部使用 1433 port
對外換個 port (例如:2266)

如此一來
1.app 的程式只要加個 port (1433連不到就改連 2266)
2.ERP 程式不用改(或加 API)
3.你只要弄個 port mapping (1433<->2266)

皆大歡喜

選我正解

0
mytiny
iT邦大師 1 級 ‧ 2019-04-10 00:18:29

幾個重點趕緊提醒一下,希望還來得及

  1. 無論如何,把ERP主機要接到貴公司Fortigate上,並另設一個網段
  2. 所有內網連到ERP主機,一定要先經過防毒與IPS先檢核
  3. 一定不可以將主機直接Mapping對外,轉service port也不行

以上其他建議請參照raytracy大大之解答
不要怪ERP系統商,因為他們多半只管系統,資安不是他們強項

0
echochio
iT邦研究生 5 級 ‧ 2019-04-10 05:25:48
   開1433 哈哈,就是給人家打,大門都了,沒人打才怪
   將API 改port , 在主機或forti 開轉port 就好了 ,問題是 API 廠商會改嗎?
 開VPN 是一定要的,有forti 開VPN 不難吧
  隨便在windows 架個SSR Server VPN 不就搞定了
    開IIS 被打只是剛好吧
0
yesongow
iT邦大師 1 級 ‧ 2019-04-10 12:12:19

這廠商是不是除了開1433 Port之外,還要在APP裡,綁上sa的密碼,對不對?

0
solortw
iT邦見習生 0 級 ‧ 2019-04-10 22:13:26

防火牆設WAN來源IP只能連1433就可以。
沒固定IP就只能VPN。
直接開放1433就等於開放大家來連。

我要發表回答

立即登入回答