Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2 3   вперед  Ctrl      все
 безопасность при доступе к MSSQL через интернет  [new]
ultima
Member

Откуда: СПб
Сообщений: 121
Добрый день, нужен совет.
Нужно дать доступ фрилансеру (тестировщику) к базе MSSQL.
Админ предложил вариант через VPN (тут у меня пробел в знаниях), вернее он сегодня уже настроил (надо было срочно)
Вот такой (глупый) вопрос: разве доступ по VPN более безопаснее чем проброс портов.
Диапазон IP при пробросе лимитирован. По моему мнению доступ тоже идет по порту только мне MSSQL-ому а VPN (443 вроде). На шлюзе также сделан проброс. Есть доступ к машине по IP (значит есть возможность ломать пароль админа)
Весь день его уламывали сделать, хоть как-то, чтобы не срывать работу тестировщика. Он начинает воду лить что могут взломать.
А что мешает VPN взломать, аргументы "конструктивные", просто могут взломать и все (дословно писать не буду, смысла наверное нет).
9 ноя 15, 21:57    [18392198]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
ultima
Вот такой (глупый) вопрос: разве доступ по VPN более безопаснее чем проброс портов.
Безопасность определяется не технологией доступа, а наличием шифрования трафика.
В случае VPN такое шифрование можно обеспечить прозрачно для клиента и сервера.
9 ноя 15, 22:42    [18392337]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
felix_ff
Member

Откуда: Moscow
Сообщений: 1837
ultima,

вопросы обеспечения сетевой безопасности мало связанны с сервером управления базами данных.

Если хотите просветиться есть тематические сайты на данную тематику
10 ноя 15, 00:45    [18392758]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
ultima
Member

Откуда: СПб
Сообщений: 121
felix_ff,

согласен тут офтоп, не знаю где спросить
10 ноя 15, 05:22    [18392891]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31977
ultima
felix_ff,

согласен тут офтоп, не знаю где спросить
На этом сайте есть раздел "Администрирование ОС", там есть форум "Windows"

Наверное, лучше там спросить.
ultima
Вот такой (глупый) вопрос: разве доступ по VPN более безопаснее чем проброс портов.
Разумеется, шифрованный канал надёжнее какого то "проброса портов".
Проброс портов - это, как я понимаю, просто некое разрешение на доступ к порту? Любой пользователь интернета может прослушать канал, получить логин и пароль сиквела, и получает тот же доступ, как и ваш фрилансер (вангую, что это sa).
10 ноя 15, 09:01    [18393156]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
SQL2008
Member

Откуда: Москва
Сообщений: 4478
ultima
А что мешает VPN взломать, аргументы "конструктивные", просто могут взломать и все (дословно писать не буду, смысла наверное нет).

Взломать VPN может помешать недостаток времени на взлом.
Впрочем, если есть лишние пара десятков лет, то тогда ничего не мешает.
10 ноя 15, 10:36    [18393568]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31977
ultima
А что мешает VPN взломать, аргументы "конструктивные", просто могут взломать и все (дословно писать не буду, смысла наверное нет).
Какие у вас аргументы "конструктивные" :-) Слушайте админов, они же всё таки специалисты.

VPN не могут "взломать и все", он в общем разрабатывался для того, что бы нельзя было взломать. Это либо трудно, либо невозможно.

А без VPN вы просто открываете всю инфу, включая логины и пароли, передавая её по открытым каналам.

Это как если вы храните деньги в кошельке, либо оставляете их на столике в супермаркете, "что бы не таскать".
В первом случае вас могут ограбить, а во втором вы их потеряете 100%
10 ноя 15, 10:51    [18393657]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
alexeyvg, чтобы перехватить не шифрованные данные, нужно вклиниться между внешним ip, который смотрит в сеть провайдера и клиентом который эти данные получает, чисто теоретически в настоящий момент как это сделать?:)
10 ноя 15, 11:44    [18393938]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
WarAnt
Member

Откуда: Питер
Сообщений: 2423
EvilHomer
alexeyvg, чтобы перехватить не шифрованные данные, нужно вклиниться между внешним ip, который смотрит в сеть провайдера и клиентом который эти данные получает, чисто теоретически в настоящий момент как это сделать?:)


wireshark + зеркалированный порт свича, делов на пару минут вобщем.
10 ноя 15, 11:46    [18393945]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
WarAnt, хорошо, теперь практически?:)
10 ноя 15, 11:53    [18393974]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
WarAnt
Member

Откуда: Питер
Сообщений: 2423
EvilHomer
WarAnt, хорошо, теперь практически?:)

Что практически?
Подойти к свичу, настроить зеркальный порт, подключить ноут к зеркальному порту, поставить на ноут wireshark и запустить с нужным фильтром, это?
10 ноя 15, 12:00    [18394024]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 8823
Дык против админа нет защиты, известный факт.
10 ноя 15, 12:00    [18394032]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
WarAnt, имеется ввиду разрезать провод и воткнуть свичь, или можно использовать оборудование провайдера, или злоумышленник работник провайдера, да такое может быть, другого не дано, разве что троян. Провод пока режете и обжимаете время идет. Оборудование провайдера, туда еще попасть нужно как в случае и с проводом. А про работника провайдера, так и клиент может быть злоумышленником:) Вот практика. Я к тому, что нынче такие способы устарели.
10 ноя 15, 12:13    [18394100]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31977
EvilHomer
alexeyvg, чтобы перехватить не шифрованные данные, нужно вклиниться между внешним ip, который смотрит в сеть провайдера и клиентом который эти данные получает, чисто теоретически в настоящий момент как это сделать?:)
Ну, этот поток пакетов идёт через десятки-стони маршрутизаторов-коммутаторов, через множество точек обмена трафиком и датацентры.
Любой сниффер пакетов в любом из этих мест позволит получить эти данные.
EvilHomer
А про работника провайдера, так и клиент может быть злоумышленником:) Вот практика. Я к тому, что нынче такие способы устарели.
Мы говорим про безопасную передачу данных между 2мя сотрудниками фирмы.
Лояльность двух своих сотрудников обеспечить и проконтролировать проще, чем лояльность тысяч посторонних и незнакомых вам людей, которые будут иметь доступ к вашим данным. Вот практика.
Я уж не говорю о том, что лояльность сотрудников обеспечить будет сложнее, если ваши данные свободно передаются через интернет. Просто сразу продавай данные, они же открыты - факт их немедленного появления у заинтересованных сторон не бросит на сотрудников и тени подозрения.
10 ноя 15, 12:51    [18394319]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31977
EvilHomer
Я к тому, что нынче такие способы устарели.
Эээ, зачётная фраза! Устарел принцип шифруй данные при передаче по открытым сетям? :-)
Да достаточно попередавать открыто что то чувствительное (типа трафик банк-клиента), как вас сразу же взломают. Даже если верить провайдерам, конечные точки подключения часто делаются как сегмент локальной сети, в которой можно без напряга слушать чужой трафик. И без провайдеров будет кому перехватить данные.
10 ноя 15, 12:59    [18394383]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
alexeyvg, устарел способ перехвата трафика путем врезки в кабель. Я не говорю что шифровать не нужно, нужно понимать, что и для чего, а не параноидально шифровать данные. Приведу пример, мне нужно дать доступ к паре таблиц тестовой базы извне одной конторе, я создаю нового пользователя test, даю доступ только к 2-м таблицам. Пробрасываю 1 нужный порт, и разрешаю подключатся только с одного статического ip. Необходимо шифрование? НЕТ! Можно сделать, да. Кто скажет что необходимо, или нужно поднимать VPN, чуточку параноик:)
10 ноя 15, 13:20    [18394537]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
EvilHomer
Пробрасываю 1 нужный порт, и разрешаю подключатся только с одного статического ip. Необходимо шифрование? НЕТ!
Уволен за профнепригодность.
10 ноя 15, 13:31    [18394621]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
invm, обоснуй, риски, слабые места и т.д.
10 ноя 15, 13:34    [18394665]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
EvilHomer
invm, обоснуй, риски, слабые места и т.д.
Вы передаете конфиденциальные данные по публичным сетям в открытом виде.
И не хотите понимать, что они могут быть без труда перехвачены третьими лицами в любой промежуточной точке следования трафика.
10 ноя 15, 13:45    [18394741]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
WarAnt
Member

Откуда: Питер
Сообщений: 2423
EvilHomer
Вот практика. Я к тому, что нынче такие способы устарели.


Для кого устарели, для вас или для тех кто ими успешно пользуется?
Если способ позволяет получить нужные данные, его старость никого волновать не будет, его просто используют.
А открывая нешифрованное соединение, вы даёте шанс воспользоваться этим способом, вот и всё.
Всё остальное флуд и разговоры ниочем.
10 ноя 15, 13:48    [18394757]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 8823
EvilHomer,

есть такой метод взлома - подмена IP в пакетах.
10 ноя 15, 13:49    [18394761]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
invm, Конфиденциальные данные остались в 50% закрытых таблиц. Не уточнив что за данные передаются, можно говорить что они конфиденциальные? Додумывание - признак паранойи.
10 ноя 15, 13:55    [18394794]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
invm
Member

Откуда: Москва
Сообщений: 9836
EvilHomer
Не уточнив что за данные передаются, можно говорить что они конфиденциальные? Додумывание - признак паранойи.
Любые внутренние данные по определению конфиденциальны.
Даже если на текущий момент это не так, по каким-то причинам, завтра они уже могут стать конфиденциальными и никто не вспомнит, что передаются они в открытом виде.
А нежелание думать наперед и есть признак непрофессионализма.
10 ноя 15, 14:05    [18394847]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
Владислав Колосов
EvilHomer,

есть такой метод взлома - подмена IP в пакетах.


Есть такой метод атаки, бородатый:) IP Spoofing называется и применяется он в большинстве в качестве DDoS атаки.
Я бы лучше предложил ARP-spoofing, в конце 90-х начале 2000-х еще можно было пошалить внутри локалок провайдеров:)
10 ноя 15, 14:07    [18394862]     Ответить | Цитировать Сообщить модератору
 Re: безопасность при доступе к MSSQL через интернет  [new]
EvilHomer
Member

Откуда:
Сообщений: 189
invm
EvilHomer
Не уточнив что за данные передаются, можно говорить что они конфиденциальные? Додумывание - признак паранойи.
Любые внутренние данные по определению конфиденциальны.
Даже если на текущий момент это не так, по каким-то причинам, завтра они уже могут стать конфиденциальными и никто не вспомнит, что передаются они в открытом виде.
А нежелание думать наперед и есть признак непрофессионализма.

Не желание думать вообще, признак дебилизма. Представляешь сколько данных производства передается в открытый доступ и без ПК вообще, например сколько утилизировали вредных веществ, эти же данные хранится и в базе, и они не представляют ни какой ценности. Еще раз говорю, нужно понимать, что и для чего шифровать, а не лепить горбатого.
10 ноя 15, 14:16    [18394909]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2 3   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить