Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 насчет безопасности SQL  [new]
Tolyantii
Member

Откуда:
Сообщений: 22
есть программа которая работает с бд sql. Включая сниффер в tds7 login packet передается логин и пароль пользователя. Злоумышленник зная этот пароль может спокойно подключиться к моему бд. От этого можно поставить защиту в виде сертификата или в 2005, 2008 поставить функцию енкриптед. Но, что, если злоумышленник скопирует эту программу и в своих условиях (для этого нужно 2а компа, на одном ставим sql server 2000 и коннектимся к нему через другой комп) подстроит программу. Тогда получается опять же получает через tds 7 login packet - логин и пароль.

теперь вопрос, как сделать защиту? какие есть варианты? Насчет ограничения прав это невозможно, насчет ограничения доступа к программе и к самому серверу, тоже невозможно.
26 авг 09, 03:49    [7579990]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
Использовать, например, авторизацию Windows, когда в TDS паетах не передается ни логин, ни пароль.

автор
Но, что, если злоумышленник скопирует эту программу и в своих условиях (для этого нужно 2а компа, на одном ставим sql server 2000 и коннектимся к нему через другой комп) подстроит программу. Тогда получается опять же получает через tds 7 login packet - логин и пароль.


Что, простите, он "подстроит"?! SSL будет вскрывать? Ну, ну...


ЗЫ. Параноя???
26 авг 09, 08:27    [7580106]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Tolyantii
Member

Откуда:
Сообщений: 22
не паранойя. сам логически подумай программа работает с sql сервером (этот сервер имеет свой айпи адрес) в программу вшит этот айпи адрес. делаем локалку из 2х компов прописываем айпи адреса и всё. логин пароль у них. ещё раз грю это не паронойя. тем более уже были предицинденты.
26 авг 09, 08:53    [7580133]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
Логин\пароль зашит в программу что-ли?
26 авг 09, 09:32    [7580226]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Tolyantii
Member

Откуда:
Сообщений: 22
да
26 авг 09, 09:55    [7580305]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
Tolyantii
да


Это просто здорово!!! Сами себе устроили засаду и теперь пытаемся с ней бороться.

ЗЫ. Что ж Вы там пытаетесь скрыть то? Точнее, кому захочеться проделывать все эти действия, чтоб получить логин\пароль?!
26 авг 09, 10:01    [7580330]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
aleks2
Guest
Tolyantii
есть программа которая работает с бд sql. Включая сниффер в tds7 login packet передается логин и пароль пользователя. Злоумышленник зная этот пароль может спокойно подключиться к моему бд. От этого можно поставить защиту в виде сертификата или в 2005, 2008 поставить функцию енкриптед. Но, что, если злоумышленник скопирует эту программу и в своих условиях (для этого нужно 2а компа, на одном ставим sql server 2000 и коннектимся к нему через другой комп) подстроит программу. Тогда получается опять же получает через tds 7 login packet - логин и пароль.

теперь вопрос, как сделать защиту? какие есть варианты? Насчет ограничения прав это невозможно, насчет ограничения доступа к программе и к самому серверу, тоже невозможно.


IPSec - шифрованный доступ к серверу спасет отца русской демократии и положит сервер... ну пару лишних процессоров не помешает. Крайне желателен домен.
26 авг 09, 10:12    [7580381]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Tolyantii
Member

Откуда:
Сообщений: 22
pkarklin,

тому кто заинтересован в этом. я же конкретно спросил, что мне нужно. зачем офтопом заниматься.
26 авг 09, 10:13    [7580387]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Tolyantii
Member

Откуда:
Сообщений: 22
aleks2,

для чего ipsec и домен?
26 авг 09, 10:14    [7580393]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
Tolyantii
pkarklin,

тому кто заинтересован в этом. я же конкретно спросил, что мне нужно. зачем офтопом заниматься.


Давайте право решать, оффтоп или нет, оставим модератору. В любом случае "затраты" на обеспечение "безопасности" не должны превышать "стоимость" самой информации.

Что "Вам нужно" в Вашей постановки задачи только средствами сервера не решаемо, ибо выбранный Вами способ обеспечения безопасности (логин\пароль зашитый в программу) и есть "камень предкновения".

Более того, даже если Вы каким-либо образом "защитите" трафик все равно останеться возможность "взломать" пароль непосредственно на сервере.

Раз Вы так легко рассуждаете о том, что "злоумышленник скопирует эту программу и в своих условиях", то тут про сниферы даже смешно рассуждать, ибо получив доступ к бд они обсолютно не нужны.

ЗЫ. Не туда роете, IMHO.
26 авг 09, 10:22    [7580440]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Tolyantii
Member

Откуда:
Сообщений: 22
pkarklin,

мда. затраты и всё прочее это уже мои заботы. я конкретно спросил какие есть варианты защиты. если тебе они известны, то напиши, а если нет, то зачем флудить про всякие деньги и камни.
27 авг 09, 05:21    [7584546]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Tolyantii
Member

Откуда:
Сообщений: 22
а возможно ли осуществить идентификацию sql сервера? пример: программа коннектится к sql делает запрос "ты тот sql который мне нужен" sql отвечает "да тот" или "нет".
27 авг 09, 05:43    [7584557]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Deff
Member

Откуда: Пермь
Сообщений: 18323
Tolyantii
а возможно ли осуществить идентификацию sql сервера? пример: программа коннектится к sql делает запрос "ты тот sql который мне нужен" sql отвечает "да тот" или "нет".
Как это поможет защитить данные на сервере?
Если у злоумышлиника есть логин и пароль - считайте у него есть вся ваша база данных, а больше ему ничего не надо.
27 авг 09, 07:47    [7584641]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
aleks2
Guest
Tolyantii
aleks2,

для чего ipsec?

Ты ж паришься за перехват пароля в сети, IPSec обеспечивает ШИФРОВАНИЕ трафика между компами => невозможность перехвата пароля.

Tolyantii
aleks2,

для чего домен?

В домене проще бодаться с IPSec.
27 авг 09, 07:56    [7584648]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
Tolyantii
мда. затраты и всё прочее это уже мои заботы. я конкретно спросил какие есть варианты защиты. если тебе они известны, то напиши, а если нет, то зачем флудить про всякие деньги и камни.


По-моему, я более чем достаточно описАл возможные "варианты" и их "последствия". А Вы как бы и не слышите, или не хотите слушать.
27 авг 09, 08:15    [7584682]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
Tolyantii
а возможно ли осуществить идентификацию sql сервера? пример: программа коннектится к sql делает запрос "ты тот sql который мне нужен" sql отвечает "да тот" или "нет".


Етить, колотить... Защищать то что будем, клиентское приложение, базу данных, данные в ней, другое?! Любой Ваш самописный "идентификатор" на стороне сервера его админ обойдет\с имитирует как два пальца об асфальт.
27 авг 09, 08:18    [7584690]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Tolyantii
Member

Откуда:
Сообщений: 22
pkarklin,

получается защиты не существует?
27 авг 09, 10:34    [7585182]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Glory
Member

Откуда:
Сообщений: 104760
Tolyantii
pkarklin,

получается защиты не существует?

От злоумышленника с паролем администратора - не существует
От злоумышленника со стороны - существует.
27 авг 09, 10:37    [7585207]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
Tolyantii
получается защиты не существует?


Понимаете, говорить о какой-либо защите можно\нужно в комплексе, а не так, чтобы защитить логин\пароль.

ЗЫ. Что хоти защищать так я и не понял.
27 авг 09, 10:37    [7585208]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Tolyantii
Member

Откуда:
Сообщений: 22
защищать всё. что бы злоумышленник не получил логин и пароль передавыемый tds пакетом.
27 авг 09, 11:17    [7585490]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Glory
Member

Откуда:
Сообщений: 104760
Tolyantii
защищать всё. что бы злоумышленник не получил логин и пароль передавыемый tds пакетом.

Ну так что вам мешает шифровать траффик между клиентом и сервером ?
27 авг 09, 11:22    [7585525]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
Glory
Tolyantii
защищать всё. что бы злоумышленник не получил логин и пароль передавыемый tds пакетом.

Ну так что вам мешает шифровать траффик между клиентом и сервером ?


Щаз автор пойдет по второму кругу. Это было ему предложено сразу.
27 авг 09, 11:24    [7585541]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Tolyantii
Member

Откуда:
Сообщений: 22
pkarklin,

ну так, я же написал, почему шифрование трафика не есть выход из этой ситуации.
27 авг 09, 11:27    [7585555]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
Tolyantii
ну так, я же написал, почему шифрование трафика не есть выход из этой ситуации.


И я уже писал, что если злоумышленник имеет доступ и к клиенту и к серверу, ведь только при этом можно:

автор
делаем локалку из 2х компов прописываем айпи адреса и всё. логин пароль у них. ещё раз грю это не паронойя. тем более уже были предицинденты.


То все остальные способы защиты от лукавого.
27 авг 09, 11:29    [7585570]     Ответить | Цитировать Сообщить модератору
 Re: насчет безопасности SQL  [new]
Glory
Member

Откуда:
Сообщений: 104760
Tolyantii
pkarklin,

ну так, я же написал, почему шифрование трафика не есть выход из этой ситуации.

Потому что злоумышленник таки админ и может делать все, что захочет, с клиентом, сервером и сетью ? И вы пытаетесь скрыть от него вшитый в текст приложение пароль коннекта ?
27 авг 09, 11:31    [7585578]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить