2.8 - Firewall - MongoDB
Visão Geral
Em sistemas Windows Server, o nestsh programa fornece métodos para gerenciar o Firewall do Windows.
Essas regras de firewall permitem que os administradores controlem quais hosts podem se conectar ao sistema e limitam a exposição ao risco limitando os hosts que podem se conectar a um sistema.
O Firewall processa as regras em uma ordem determinada pelo tipo de regra e analisada na seguinte ordem:
- Windows Service Hardening
- Connection security rules
- Authenticated Bypass Rules
- Block Rules
- Allow Rules
- Default Rules
Por padrão, a política no Firewall do Windows permite todas as conexões de saída e bloqueia todas as conexões de entrada.
A tabela a seguir lista as portas TCP padrão usadas pelo MongoDB:
Porta Padrão | Tipo | Descricao |
27017 | TCP | A PORTA PADRÃO PARA MONGOD E MONGOS INSTÂNCIAS. VOCE PODE ALTERAR ESTA PORTA COM PORT OU --PORT. |
27018 | TCP | A PORTA PADRÃO PARA MONGOD EXECUCAO COM --SHARDSVR OPCAO DE LINHA DE COMANDO OU O SHARDSVR VALOR DA CLUSTERROLE CONFIGURACAO EM UM ARQUIVO DE CONFIGURACAO. |
27019 | TCP | A PORTA PADRÃO PARA MONGOD EXECUCAO COM --CONFIGDSVR OPCAO DE LINHA DE COMANDO OU O CONFIGDSVR VALOR DA CLUSTERROLE CONFIGURACAO EM UM ARQUIVO DE CONFIGURACAO. |
| 27020 | TCP | A PORTA PADRÃO DA QUAL MONGOCRYPTD ESCUTA AS MENSAGENS. MONGOCRYPTD É INSTALADO COM MONGODB ENTERPRISE SERVER (VERSAO 4.2-POSTERIOR) E UPORTA OPERACOES DE CRIPTOGRAFIA AUTOMATICAS. |
Existem vários padrões para configurar o Firewall para uso com implantações do MongoDB, para mais informações, clique aqui.
Para gerenciar e manter as configurações do firewall existem várias operações básicas utilizando arquivos netsh, mesmo usando os front-ends da GUI para gerenciar o Firewall do Windows , todas as funcionalidades principais são acessíveis a partir do netsh.
Abaixo veremos alguns comandos de configuração do firewal do windows.
Essa regra permite que todo o tráfego de entrada para port
27017, o que permite que o servidor de aplicativos se conecte à exeinstância.
netsh advfirewall firewall add rule name="Open mongod port 27017" dir=in action=allow protocol=TCP localport=27017
O Firewall do Windows também permite habilitar o acesso à rede para um aplicativo inteiro em vez de uma porta específica;
netsh advfirewall firewall add rule name="Allowing mongod" dir=in action=allow program=" C:\Program Files\MongoDB\Server\3.4\bin\mongod.exe"
netsh advfirewall firewall add rule name="Allowing mongos" dir=in action=allow program=" C:\Program Files\MongoDB\Server\3.4\bin\mongos.exe"
Excluir todas as regras de firewall do Windows:
netsh advfirewall firewall delete rule name="Open mongod port 27017" protocol=tcp localport=27017
netsh advfirewall firewall delete rule name="Open mongod shard port 27018" protocol=tcp localport=27018
Listar todas as regras de firewall do Windows
netsh advfirewall firewall show rule name=all
Redefinir o Firewall do Windows
netsh advfirewall reset
Regras de Backup e Restauração do Firewall do Windows
Para simplificar a administração de uma coleção maior de sistemas, você pode exportar ou importar regras de firewall de diferentes servidores através do seguinte comando:
netsh advfirewall export "C:\temp\MongoDBfw.wfw"
Substitua
"C:\temp\MongoDBfw.wfw"por um caminho de sua escolha. Você pode usar um comando no seguinte formulário para importar um arquivo criado usando esta operação:netsh advfirewall import "C:\temp\MongoDBfw.wfw"
Segue abaixo dicas para manter sua instância MongoDB e seus dados seguros e protegidos de pessoas indesejadas:
1 - Habilite a autenticação
adicionando as seguintes linhas do arquivo de configuração
Security:
Authentication: on
2 - Crie uma senha forte - desta forma impedirá que pessoas indesejadas acessem utilizando senhas padroes de facil acesso, uma vez que o banco nao oferece uma opcao de bloqueio para varias tentativas, a senha fraca pode ser descoberta facilmente deixando a porta aberta para invasores.
3 - Defina os administradores do banco de dados - configure rol de usuário específico, limitando o usuário é possível reduzir o risco de uma violação de conta causando desastre no banco.
4 - Habilite o arquivo de chave de replicação - o arquivo habilitara automaticamente autenticação e garantira que apenas os host que tem um privilégio do arquivo de chave possam ingressar no conjunto de réplicas. Habilitando o
arquivo de chave também garante que a replicação stream seja criptografada
fornecendo uma camada extra de proteção.
5 - Programe Backups recentes - caso um hacker ignore sua segurança e remova os seus dados, use seus registros(backup para fazer uma recuperação pontual.
6 - Configure a porta mãe - trata-se de um arquivo de configuração que quando implantado você pode alterar
facilmente dificultando acessos indesejáveis.
7 - Se armazenamento de dados do MongoDB residir no mesmo provedor
de hospedagem que seu aplicativo, é mais do que provável que você não precisa
habilitar o acesso público, você pode fazer isso facilmente vinculado IP do
host do arquivo de configuração.
8 - Certifique-se de que a funções do
firewall/grupos de seguranças estão hospedados na nuvem e também que estejam habilitados em
seus servidores, desta forma garantirá que os invasores externos permaneçam fora.
9 - Para manter os dados protegidos, teste as ligações externas é possível dizer que na linha de comando para tentar
ligar ao seu host poderá também instalar o nmap no host e testa-lo contra seu
hosts para verificar portas abertas e sua autenticação.
10 - Passe por todos os seus bancos, verifique entre eles que nenhum usuário tenha privilégios excessivos, só você sabe quem deve
ter permissão para fazer o que e realizando esta auditoria, permitirá que você
veja se o banco está configurado corretamente.
Antivírus usuais do mercado:
- Norton 360 – Melhor antivírus, com taxas de detecção perfeitas e amplos recursos.
- TotalAV – Usa provedores de tecnologia existentes avançados para uma vantagem de alto desempenho, mas tem suporte lento ao cliente.
- Bitdefender – A melhor gama de recursos, mas tem dados limitados para sua VPN em quase todos os planos.
- McAfee – Uma VPN integrada super-rápida para conexões rápidas e seguras, mas só oferece suporte ao cliente por telefone.
- Panda – Recursos extras de alta qualidade, mas não oferece proteção contra Ransomware.
Para saber mais sobre como manter as configurações do firewall, clique aqui.
Related Articles
5.7 - Firewall - Elasticsearch
Configurando o Firewall Para uma implantação do Orchestrator que funcione corretamente, você deve garantir que todas as portas necessárias estejam abertas no seu firewall para permitir a comunicação entre todos os componentes, conforme exibido neste ...2 - MongoDB - Introdução
Banco de dados de documentos - Visão Geral Um registro no MongoDB é um documento, que é uma estrutura de dados composta de pares de campo e valor. Os documentos do banco são semelhantes aos objetos JSON. Os valores dos campos podem incluir outros ...2.3 - Instalar MongoDB Compass
Compass MongoDB O MongoDB Compass é uma GUI poderosa para consultar, agregar e analisar seus dados do MongoDB em um ambiente visual. O Compass é gratuito para uso e fonte disponível e pode ser executado no macOS, Windows e Linux. Características ...2.7 - Boas Práticas e Desempenho do MongoDB
Mais do que armazenar informações, o seu banco de dados é responsável por processá-las com rapidez, portanto é importante que ele conte com espaço de armazenamento e capacidade de processamento. Desempenho Com os seus documentos semelhantes a JSON, o ...3.4 - Firewall - Antivírus RabbitMQ
Como tornar o RabbitMQ seguro? Abordagens comuns para TLS para conexões de clientes com RabbitMQ. Para conexões de clientes, há duas abordagens comuns: Configure o RabbitMQ para lidar com conexões TLS. Use um proxy ou balanceador de carga (como ...