| 

.NET C# Java Javascript Exception

5
Ich überlege mir grad eine Anwendungsarchitektur um für einen Anwendungsfall alle Sicherheitsaspekte zu berücksichtigen. Dazu soll es einen Anwendungsserver geben, der saämtliche Anfragen an die Datenbank übernimmt und steuert. Um diese Anwendung aber auch außerhalb des gesicherten Firmennetzes/VPN nutzen kann, hab ich überlegt einen Port am Server zu öffnen.

Welche Sicherrelevanten Szenarien muss ich dabei berücksichtigen? Was könnte sich ein 'Hacker' es sich zu nutzen machen, um Informationen zu erhalten? Gibt es Whitepapers die auf dieses Theme näher eingehen?
News:
19.07.2011
MyKey0815 1,6k 2 9
1 Antwort
7
Da deine Frage sehr allgemein gehalten ist, fällt es mir schwer, eine gezielte Antwort zu liefern. Verstehe ich es richtig, dass der Server aus dem Internet erreichbar ist und man somit _nicht_ im Firmen-VPN sein muss? Das würde dann folgendem Aufbau entsprechen:


In solch einem Szenario kann im Internet "alles passieren". An dieser Stelle sollte auf jeden Fall verschlüsselt werden, https bietet sich hier an. Neben Man-In-The-Middle-Attacken kann noch eine ganze Menge mehr passieren. Was ich Dir empfehlen kann, ist Dir die Ressourcen von OWASP (Attacken, Top10-Gefahren) anzuschauen. Dort werden sehr viele Mögliche Angriffsvektoren besprochen. Ich möchte jetzt nicht alle aufzählen, aber um einige zu nennen:

  • Embedded Malicious Code: In den Anfragen könnte Code verborgen sein, der dann beispielsweise eine Shell auf deinem Server aufmacht.
  • Security Misconfiguration: Default-Passwörter, unzureichende Rechtevergabe, Error-Handling: Keine Stacktraces, etc.
  • Insufficient Transport Layer Protection: Nicht alle Ressourcen werden verschlüsselt übertragen.


Auf der Seite werden neben den eigentlichen Problem auch Wege zum Erkennen und Beheben der Probleme aufgezeigt. Das Durchgehen aller Angriffsvektoren bedeutet einen großen Zeitaufwand, tut man dies aber gewissenhaft, sollte die Sicherheit des Systems auf einem hohen Niveau liegen.
19.07.2011
wlami 736 2 8
Danke für deinen Betrag. Das war genau das, was ich gesucht habe.
MyKey0815 19.07.2011

Stelle deine .net-Frage jetzt!