Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2 3 4   вперед  Ctrl      все
 Защита от маски-шоу и прочих  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5503
Блог
Часто возникает вопрос - а можно ли такскать базу на флешке?

При всем моем скептическом отношении к такой "защите бизнеса" (отсутствие доступа к БД может только незначительно сократить срок отсидки бухгалтера/директора, зато подставит под удар админа), тем не менее, регулярно приходится слышать такие "требования" заказчика.

Понятно, что самые простые решения - легкосъемные винты, либо сервер по WiFi или "в другом месте" по VPN, то есть - физическая недоступность баз. Но эти базы имеют обычно "большой объем" и в карман их спрятать непросто (человек с мобил-раком в руках на выходе с предприятия вызовет подозрения ОДНОЗНАЧНО :) ), а доступ к далекой базе по сетке не всегда осуществим.

Посему как вариант предлагаемого решения (понимаю, что это на 95% плацебо, но заказчику все равно может понравится) -

Создаем новую файл-группу, делаем ее "по умолчанию".
Все объекты, кроме системных соответственно, создаются в ней.
Файл-группу PRIMARY располагаем на FLASH-ке. (которая может быть вставлена даже не в сам сервер, а в отдельный комп, соответственно, доступ - по сети).
Если нужно "защитить бэкапы" - бэкапим ТОЛЬКО файл-группы, не являющиеся PRIMARY (естественно, что нужно иметь бэкапы PRIMARY после изменения метаданных/добавления юзеров, эти бэкапы делаются на ту же или другую флешку)

В итоге - на "тормознутой" флешке располагаются только метаданные, имеющие небольшой объем, которые все равно должны быть закешированы. То есть производительность не должна вроде "просесть".
В итоге - без данных, расположенных на флешке, база будет практически невосстановима, в архивах - их то же нет.
В случае, когда "все плохо", флешка просто выдергивается из компа.
На нее же (если объем позволит) можно периодически сливать полный бэкап - чтобы можно было восстановить данные после полной их недоступности в других местах.

Покритикуем? :)

ЗЫ Еще раз скажу - я не считаю необходимым решать вопрос безопасности бизнеса ТАКИМ образом - лучше уж платить налоги и спать спокойно, но это паранойя заказчика, да и маски бывают разные. Интерес скорее академический.
19 фев 07, 11:16    [3803838]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Гавриленко Сергей Алексеевич
Member

Откуда:
Сообщений: 37254
Имхо, задача не имеет решение, вернее, смысла решать ее нет. Бо сам же админ выложит все пароли, явки и нехватающие файлы БД. Только немедлееное и полное уничтожение данных, но. Но админ и про бэкапы все расскажет, когда ему сроком пригрозят.
19 фев 07, 11:21    [3803862]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Observer123
Member

Откуда: Болгария
Сообщений: 390
"Если в жинзни любиш риск,
сформатируй жесткий диск"
19 фев 07, 11:21    [3803865]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5503
Блог
Гавриленко Сергей Алексеевич
Имхо, задача не имеет решение, вернее, смысла решать ее нет. Бо сам же админ выложит все пароли, явки и нехватающие файлы БД. Только немедлееное и полное уничтожение данных, но. Но админ и про бэкапы все расскажет, когда ему сроком пригрозят.
Я же не спорю! Админу нужно очень сильно тупить, чтобы пытаться скрыть что-то! ;)

НО! Вроде бы такое решение позволяет как раз часть ответственности админа отдать "ответственному за флешку". То есть админ знает и расскажет и отдаст ВСЕ, но доступ к структуре данных он дать не может - "структуру увез" генеральный на Канары. Или секретарь генерального - не принципиально.

То есть "директор" доволен - он может привести систему в неработоспособное состояние и без него это состояние никто не восстановит. И админ доволен - он может рассказать налоговой/ФСБ/бандитам все, не боясь потом "мести" со стороны работодателя.

В общем, жду ТЕХНОЛОГИЧЕСКОЙ критики - "организационно-провавая" сторона вопроса сомнительна - это и так уже ясно.
19 фев 07, 11:31    [3803937]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3422
Одним из лучших способов честно уйти в несознанку является вынос серверов в заграничный colocation. Хостера, разумеется, следует выбирать не на территории ближнего зарубежья. Правда, тут же добавляются всевозможного рода проблемы со связью, но с другой стороны админ остается полностью чист: какой-такой сервак, ничего не знаю. А, этот сервак. Ну да, существует такой - пингуется, типа. Только вот админю его не я, и у меня туда даже гостевого доступа нет. Вроде как брали на аутсорс, но я точно не в курсе, вы спросите у шефа...

Если не будут применять полиграф, пентотал натрия или ректальную термографию, то админу даже особо выдумывать ничего не придется. Проверяли, работает.
19 фев 07, 11:53    [3804125]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих( типа Касчей БезсмертныЙ)  [new]
Observer123
Member

Откуда: Болгария
Сообщений: 390
DeColo®es
отдать "ответственному за флешку".


а можно круче:
Стоит прога на сматфоне
по Wi-FI подключается
access позволяется
(и обратно)
19 фев 07, 12:00    [3804185]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
pr0ger
Member

Откуда: Москва
Сообщений: 1933
В такой схеме данные остаются на сервере, текстовые данные можно и просто в файле посмотреть(адреса, пароли, явки)
Более эффективно, но и подороже, БД разместить на зашифрованных партициях, бэкапы на шифрованной ленте. Ключи, коды для расшифровки у руководства, причем для расшифровки требуется несколько ключей, которые находятся у нескольких человек. Нажатие кнопки, в т.ч. удаленно (радио, vpn и т.д.), или перезагрузка сервера(бэкапера) и диски видны в системе как неформатированные
От админа в такой ситуации зависит мало, соответственно, применения паяльника для анального зондирования админа неэффективно.
Выбор средств довольно широкий, мы делали подобную схему на http://www.securit.ru/products/
19 фев 07, 12:03    [3804200]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
locky
Member

Откуда: Харьков, Украина
Сообщений: 62034

А какой у флэшки ресурс по циклам записи?
А то ведь если небольшой - то за пару дней накроется она тазом медным...

Posted via ActualForum NNTP Server 1.4

19 фев 07, 12:03    [3804203]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5503
Блог
Ennor Tiegael
Если не будут применять полиграф, пентотал натрия или ректальную термографию, то админу даже особо выдумывать ничего не придется. Проверяли, работает.
Админ хочет лично убедится, применяет ли налоговая паяльники? Конечно, не применяет. Налоговая. Бандиты - применяют что-то из этой отрасли. Налоговая может применить передачу документов в прокуратуру со статьей "противодействие следствию/соучастие в сокрытии". У нас силовикам не всегда нужны прямые доказательства вины - достаточно косвенных. Директора школы судят за то, что в явном виде доказать почти невозможно - установить, сознательно ли он брул контрафакт можно только с его личных слов.
И будет админ сидеть за то, что получая зарплату такую же, как у коллег в "белом" бизнесе (но в конверте), укрывал темные делишки "хозяев", которые-то как раз на предприятии числятся только акционерами и никакой ответственности нести не будут вообще.

А то, что "сервер за бугром" кого-то остановило - значит не сильно-то и надо было раскапывать. Хорошие спецы могут и без серверов вообще накопать достаточно материала для российского суда. И пусть накапывают - налоги платить НУЖНО. :)

В любом случае, вопрос НЕ В ЭТОМ. Есть задача - обеспечить зависимость доступа к данным внутри базы от воли "директора", а не админа. Причем эту волю он должен иметь возможность осуществить легко, без применения специальных технических знаний и беготни к серверной.
19 фев 07, 12:13    [3804283]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5503
Блог
locky

А какой у флэшки ресурс по циклам записи?
А то ведь если небольшой - то за пару дней накроется она тазом медным...
Вот это уже ближе "к телу". :)
Вроде бы в системные таблицы БАЗЫ особо ничего не пишется в процессе обычной работы?

Да и можно применить не флешку, а что-нибудь типа микро HDD в формате CF?
19 фев 07, 12:18    [3804313]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5503
Блог
pr0ger
В такой схеме данные остаются на сервере, текстовые данные можно и просто в файле посмотреть(адреса, пароли, явки)
Как правило, интересует просто объем продаж. :)
А если есть некая "ключевая" инфа типа "базы клиентов" - небольшую ключевую часть ее тоже можно хранить на той же "флешке", разобраться только с ресурсом на запись и все дела.

pr0ger
Более эффективно, но и подороже, БД разместить на зашифрованных партициях,
Это-то все понятно, но действительно дороже - в большинстве все это обеспечивать просто некому - хорошо, если администратор вообще есть. :) Как правило, знаний "местных" админов хватает на перезаправку картриджей и настройку NAT по материалам журналов "Хакер" и FAQ из инета. :)
19 фев 07, 12:27    [3804378]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3422
DeColo®es
У нас силовикам не всегда нужны прямые доказательства вины - достаточно косвенных.
Да им и косвенные не всегда требуются. "Ты виноват лишь тем, что хочется мне кушать"
DeColo®es
В любом случае, вопрос НЕ В ЭТОМ. Есть задача - обеспечить зависимость доступа к данным внутри базы от воли "директора", а не админа. Причем эту волю он должен иметь возможность осуществить легко, без применения специальных технических знаний и беготни к серверной.
Зайти на веб-интерфейс шлюза и открыть/закрыть канал. Пара кликов мышкой в браузере.

Хотя, конечно, аппаратное шифрование разделов диска на лету по составным ключам - выглядит более привлекательным.
19 фев 07, 12:28    [3804387]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Observer123
Member

Откуда: Болгария
Сообщений: 390
другой вариант - криптирование транзакций в real time.(строго не ГОСТ-овским
алгоритмом), а прога на смартфоне удалено ключ подает (.NEt mobile edition)
либо сразу http://www.microsoft.com/sql/editions/sqlmobile/default.mspx
19 фев 07, 12:30    [3804400]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
barsukof
Member

Откуда: из теплой сибири
Сообщений: 231
locky

А какой у флэшки ресурс по циклам записи?
А то ведь если небольшой - то за пару дней накроется она тазом медным...
Posted via ActualForum NNTP Server 1.4

Сыплются родимые за милую душу, причем чем больше объем, тем выше вероятность "посыпания" - теория вероятности аднака.
19 фев 07, 12:51    [3804526]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
dr-Wicked
Member

Откуда: Киев
Сообщений: 670
А почему ответственный такой хилый?
Их обычно покупают на килограммы (по 150 в минимальной поставке)
Вынимает веники из корзины - и вперёд.
А форматирование - плохой выход. На самом деле его нет. Эти чёртовы журналируемые системы так просто не пришибить. Теория говорит - только физическое уничтожение жёсткого диска помогает.
Regards
dr-Wicked
19 фев 07, 13:28    [3804745]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Guest1234567
Guest
У нас аналогичная проблема.
Используем Zserver.
19 фев 07, 14:42    [3805230]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5503
Блог
DeColo®es
Вроде бы в системные таблицы БАЗЫ особо ничего не пишется в процессе обычной работы?
Вспомнил. Пишется. sysindexes, будь она неладна. :)
То есть для такого решения именно флешка не пойдет - нужно либо выносить другие, не менее важные данные в отдельную ФГ (но редко меняющиеся), либо - использовать "отчуждаемый" HDD.
Хотя можно попробовать сделать 2 файла в PRIMARY ФГ и один из них - расположить на флеш.
19 фев 07, 15:32    [3805625]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
karpov-vn
Member

Откуда: http://www.unitechsar.ru
Сообщений: 174
DeColo®es
[quot Гавриленко Сергей Алексеевич] ... И админ доволен - он может рассказать налоговой/ФСБ/бандитам все, не боясь потом "мести" со стороны работодателя.

А зачем брать админа в разработку ? Он мелкая сошка и мало знает. Но расскажет все, это его гражданский долг. В том числе и про способы нарушения закона.
19 фев 07, 17:54    [3806922]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5503
Блог
karpov-vn
А зачем брать админа в разработку ?
1) Он мелкая сошка и мало знает.
2) Но расскажет все, это его гражданский долг. В том числе и про способы нарушения закона.


1 - неверный посыл. Админ знает больше, чем простые пользователи. Ему ведомо, где лежат документы, базы и т.д.
Если на предприятии используются "скрытые от админа" данные, он тоже про это знает - как минимум от "сторонних разработчиков" он получил инструкции, что прописывать на новых компьютерах, чего не трогать и знает, как эти разработчики выглядят и через кого выходят на админа. Уж наверняка он знает, по какому каналу связи (проводок в стену с надписью "тронешь - увольнение" канал VPN на ноуте директора и компов бухгалтерии и т.д.) идет доступ к этим данным.

А на самом деле, он знает зачастую намного больше, чем все руководство вместе взятое. :) И грамотная с ним беседа может сильно облегчить работу силовых структур.

2 - да, это его долг, и если он не совсем дурак, то он не только не будет сопротивляться, но еще и ПОМОЖЕТ, рассказав то, о чем не спрашивают напрямую.
19 фев 07, 18:31    [3807110]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Мнение
Guest
Только следует иметь в виде следующее...

Есть замечательная системная таблица - dbo.sysindexes.
Для каждого индекса в ней есть физическая ссылка на root-страницу этого индекса.

Поэтому backup системных таблиц только после изменения структры - НЕ достаточно. Его надо делать вместе с backup'ом основных данных (т.к., например, дефрагментация индексов может привести к перемещению этой станицы и следовательно к изменению системной таблицы dbo.sysindexes)...
19 фев 07, 19:21    [3807303]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
OldNov
Member

Откуда:
Сообщений: 247
проектировать приложение соответствующим образом. То есть важные данные шифровать ассиметричным алгоритмом с помощью udf, и в таблицах храним только зашифрованные данные. Пишем udf на C#, компилируем в виде сборки, выгружаем на сервер, даем ему право EXTERNAL ACCESS. Все ключи держим на флэшке. При первом запросе данных процедура обратиться к флэшке, считает ключи, далее флэшку можно изъять. В случае прихода гостей выдергивание флэшки и магический SHUTDOWN NOWAIT делает вашу базу useless. Количество чтений на флэшке не ограничено :-).

Таким же образом защищают данные от просмотра их sysadmin-ами.
19 фев 07, 20:40    [3807477]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
GreenSunrise
Member

Откуда:
Сообщений: 12310
OldNov
важные данные шифровать ассиметричным алгоритмом с помощью udf, и в таблицах храним только зашифрованные данные.

Если данных немного и скорость работы с ними некритична. В противном случае поиск превращается в слайд-шоу, поскольку для любого условия к каждой строке в таблице будет применена функция, да еще с расшифровкой, что само по себе очень небыстро. Асимметричное шифрование достаточно медленное.

То есть пароли-явки шифровать - это еще куда ни шло, а вот продажи (о которых упоминалось в топике) - это будет тормозуха та еще.
19 фев 07, 21:53    [3807614]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5503
Блог
GreenSunrise
То есть пароли-явки шифровать - это еще куда ни шло, а вот продажи (о которых упоминалось в топике) - это будет тормозуха та еще.
Ага. Кстати, можно использовать простейшее шифрование уровня диска, которое "встроено" во многие флешки. А если вместо флешки использовать внешние маленькие HDD на USB, то и проблема с многократной записью теряет актуальность, да и места для бэкапа файл-группы навалом.

Вчера попробовал - разместил PRIMARY FG на флеш, БД оставалась работоспособной после жесткого отключения флешки. Писать - не пробовал, а читались данные нормально. Никаких глюков, связанных с запуском сервера без доступа к девайсу (кроме того, что база недоступна) - не обнаружено База реанимировалась просто подключением устройства и перезапуском сервера.
DBCC TRACE(18xx) второй раз вводить не пришлось, в командную строку ключ не прописывал, инстанс работал под LOCAL SYSTEM.
20 фев 07, 14:05    [3810296]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Korotenko Vladimir
Member

Откуда:
Сообщений: 3
По моему не рационально надеяться на флешку.
Лучше использовать что то типа PGP whole disk encription & Alladin key/ Windows
GEOM / FreeBsd
и любой метод для экстренного отключения сервера который доступен для вас
20 фев 07, 17:44    [3812143]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5503
Блог
Korotenko Vladimir
По моему не рационально надеяться на флешку.
Лучше использовать что то типа PGP whole disk encription & Alladin key/ Windows
GEOM / FreeBsd
и любой метод для экстренного отключения сервера который доступен для вас
Задача - использовать наименьшее количество ресурсов при "внедрении".
К тому же, нужно расположить "ключевой ресурс" не на сервере, а удаленно, чтобы для отключения/включения не нужно было бы подходить к серверу физически.

Если на предприятии 10 рабочих мест, то все манипуляции (при каждом включении как минимум вводить пароль через что-то типа Remote Admin) будет именно директор или секретарь, не выделять же на это отдельного сотрудника или службу безопасности. :) К тому же невозможно будет "безвозвратно" привести базу в нерабочее состояние - говорить, что "забыл" пароль - не стоит, не поверят. :) А вот сказать, что секретарь строго по инструкции при появлении на предприятии вооруженных лиц стукнул со всей дури специальным молотком по флешке/внешнему HDD - вполне можно. Зачем - боимся рейдеров, пока вы удостоверение ему не показали - это назвать противодействием следствию нельзя. Ну и т.д.
20 фев 07, 17:55    [3812226]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2 3 4   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить