Acceso remoto al servidor MySQL

Hola:

primero que nada, quiero comentar que no sabía muy bien dónde meter este tema. Si no es aquí, ya me lo moveréis

Tengo que conectar un software entorno escritorio con una tienda virtual estándar (tipo oscommerce, open cart, etc.) que usa MySQL. Hasta aquí todo bien, PEro el problema es que me surgen dudas sobre la seguridad en hosting compartidos.

Lo más fácil y rápido es conectarse remotamente desde del software a la tienda, y ahí sincronizar datos. Además aprovechando que muchas empresas de hosting ofrecen la posibilidad de conectarse remotamente al sevidor mysql. pero ¿activar esta opción es muy insegura?

Ya que hace unas semanas tuve problemas de intentos de hackeos y me comentaron que si tenía habilitada la opción ésta, la deshabilitara por seguridad.

Hay otras alternativas, como subir ficheros csv por FTP y llamar a un PHP para que actualice (exportar datos), e ídem para la inversa (importar datos). Tampoco veo que esta opción sea super segura....

Las 2 tienen riesgos si no hay medidas suficientes.

¿Que opináis?

También había pensado en restringir las IP que se puedan conectar remotamente al servidor mysql. No sé si es posible. En caso afirmativo ¿hay empresas de Hosting que ofrezcan esto que comento?

Gracias de antemano.

No hay problemas de seguridad respecto a la conexión externa que hagas. Lo importante es que limites las conexiones desde localhost, es decir, desde el mismo servidor, y la IP de la tienda virtual desde donde se hará la conexión.

Por supuesto que es una opción ofrecida en la mayoría de la empresa de hosting, es una característica que incluye cPanel por ejemplo.

Gracias por tu opinión.

No hay riesgo. Solo pueden acceder con el usuario/password de tu db.
Además si aún queres mas seguridad, podes habilitar solo la Ip del servidor remoto para que se conecte.

Otro detalle que tienes que tener en cuenta es la IP. Dices que vas a conectarte desde un programa para escritorio, es decir que la conexión es bastante posible que entregue una dirección de IP dinámica y eso supondrá un problema para lo que quieres hacer dado que...

Si tu IP es dinámica eso quiere decir que cambiará cada vez que te conectes o desconectes de Internet. Y entendiendo que limitarás el acceso a ciertas IP's a tu servidor de hosting entonces con esta situación tendrás que colocar tu nueva IP en la configuración de tu servidor para que la acepte de ahora en más, puesto que sino será bloqueada por el firewall.

En este caso tienes una solución que no es así. Se trata de la opción % en servidores que estén usando cPanel. ¿De qué sirve esto? Sencillamente que puedes indicar que todo un determinado rango podrá acceder a tu servidor...
En este punto, por ejemplo, si tu IP siempre es 100.15.x.x y finalmente siempre varian "x" y "x" en sus respectivas localizaciones pero 100 y 15 se mantienen intactos (esto es por que tu ISP tiene un rango asignado) entonces podrías poner en la configuración:
100.15.%.%

¿Qué hará esta función? Simplemente que todo el rango 100.15.x.x podrá acceder al servidor. En este punto sería lógico pensar que esa es la solución al problema pero no lo es...
¿Por qué? Aplicando esa solución dejarías abierto la puerta a que cualquier persona dentro de ese rango pueda acceder al servidor... Seguramente no sepa tu contraseña, seguramente no sepa y así podemos seguir con infinitas posibilidades pero... es una puerta abierta que está allí. ¿Dificil de lograr acceso? Eso déjaselo al atacante, pero no le facilites la tarea.

Y qué tal creas una pequeña aplicación web que reciba las sentencias SQL quizás a través de SSL y las ejecute sobre la base de datos? Así te ahorrarias estar permitiendo acceso a cada una de las posibles Ips, simplemente, le dices al programa cliente que cuando el usuario solicite los datos, envie el Select a determinada dirección Ip del servidor.

No tengo idea de cuan descabellada sea mi idea, pero de algo puede servir.

Pero abriría la puerta a que cualquiera que conociera esa dirección desde donde ejecutar esa selección pudiera hacerlo...
Para eso una solución sería restringir la entrada a esa dirección con credenciales de acceso, usuario y contraseña respectivamente.

Igualmente pensandolo bien, no lograras aumentar la seguridad ni filtrando IPs ni con SSL.

Mediante cpanel o phpmyadmin podrian acceder igual a tu db con el usuario/password.

Bueno, también pueden ir a la casa y robarle la contraseña y entrarían igual. O podrían espiarle en la calle o en un medio de transporte.
Es posible, pero no vamos a ser tan alarmistas... Estamos tratando de evitar las cosas que son evitables, no podemos prevenir que una cosa como la que dijistes suceda.

Solo dije que NO HAY NADA QUE aumente/disminuya la seguridad si se habilita puerto remoto.

La unica solucion es usar un password seguro tanto en la DB como en el panel.

jeje, si fuera así no existirían los firewalls, por decirlo de forma sencilla y básica. Comprendo tu punto infracom, quizá no elegistes las palabras adecuadas y eso hace que lo que dijistes, tal como lo expresastes, demuestre que no es verdad.

hola

sé que no hay nada 100% infalible. Pero cuanto más dificil se lo pongamos, mejor.

Pero como os comenté, me dijeron eso de las conexiones remotas, y por eso me entraron dudas. Ya que al comentarme eso pensé que era algo mucho más inseguro de lo que podía pensar inicialmente.

Por ahora voy me decanto por lo de la conexión remota. Además, des del propio software se guardaran estos datos cifrados.

un saludo y gracias por las opiniones

El acceso remoto es igual de seguro que utilizar phpmyadmin.

y entonces cuando me pasó un intento de intrusión en mi sitio web ¿por qué me dijeron que deshabilitara las conexiones remotas para proteger la base de datos?

Eso es lo que no entiendo. Ya que por esa regla de tres también tendrían que haber recomendado cambiar los login del panel, bases de datos, etc....

A partir de ahí es cuando empecé a dudar de las conexiones remotas.

un saludo

Por que el acceso remoto es un puerto abierto. Y un puerto abierto, es, valga la redundancia, una puerta abierta.
¿Una puerta abierta? Sí, una puerta abierta a ataques, una puerta abierta a análisis, una puerta abierta a escaneos y múltiples posibilidades.

Cuando te recomendaron deshabilitar las conexiones remotas seguramente fue por que, posiblemente, creyeron que no estabas limitando desde provenían esas conexiones. Y, seguramente, si nunca tocastes esa opción la configuración por defecto sólo permitía conexiones remotas desde el mismo servidor y eso no era un riesgo.

No es un regla de tres... simplemente te dieron pautas de seguridad generales para tomar. Cambiar la contraseña también es una pauta de seguridad, utilizar contraseñas largas, con símbolos y caracteres, con ñ, y muchas más pautas de seguridad son comunes.

Lógicamente esas pautas de seguridad no están dirigidas a una circunstancia en especial, sino que se basan en reforzar la seguridad de un sistema.

Independientemente de ello tienes que tener en cuenta que no toda la seguridad está a tu cargo. Hay cosas de las que el usuario es responsable: mantener aplicaciones actualizadas para evitar posibles vulnerabilidades que pueden ser aprovechados por un atacante externo, cerciorarse por ejemplo de los límites que impone a las conexiones entrantes a la base de datos, entre otros factores.

Sin embargo el hecho de que tomes esas medidas no quiere decir que el sistema esté más seguro. Esas pautas evitarán en cierta manera que tus datos puedan ser expuestos a un posible atacante si es que decide atacarte a tí particularmente pero si el posible atacante se filtra a nivel de servidor entonces tiene todo el control y en ese caso no puedes hacer nada dado que no dispones del control de las medidas de seguridad que se deberían tomar y que por supuesto corresponden a tu proveedor de hosting.

En cuestiones de seguridad nada es seguro,

Yo desarrollo software y para agregar mayor seguridad uso SSL, password fuertes (no menos de 14 caracteres con números, letras y símbolos), cuando uso mysql y me conecto de forma remota restrinjo el rango de IPs que se pueden conectar a mi base de datos, no uso nombres comunes para los usuarios y bases de datos.