databáze, naslouchani na venkovnim rozhrani

To je ponekud naivni predstava ... kazda aplikace dostupna zvenci zvysuje moznost napadeni serveru, takze proto co nejmene. Je nejaky duvod neco takoveho delat?

20.10.2010 15:20 chinook | skóre: 28
Rozbalit Rozbalit vše Re: databáze, naslouchani na venkovnim rozhrani

Mam naprogramovanou aplikaci, ktera pristupuje do databaze a potrebuju mit pristup z cele CR. V databazi jsou docela dulezita data. Jsou dve varianty.

Aplikace je pod windows, takze bud rozbeham PC s windows, ktere bude v siti s DB serverem a uzivatele se vzdalene pripoji k windows a nebo si uzivatele stahnou aplikaci a ta se pripoji k DB. Vpn jsem zavrhl, protoze to bezny uzivatel asi pouzivat nebude.

Napada nekoho jak to resit?

20.10.2010 15:26 Opin Dog
Rozbalit Rozbalit vše Re: databáze, naslouchani na venkovnim rozhrani

Jedno z rieseni je aj taketo: Sprav si univerzalny webservice, do ktoreho posles SQL a sluzba toto SQL vykona... Vyhnes sa priamemu pripojeniu na SQL a pouzijes bezpecnost tykajucu sa webu a WS

Rychlosti a transakcii sa neboj, ide to svizne ..

20.10.2010 15:26 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: databáze, naslouchani na venkovnim rozhrani

No, když už je to takhle tak alespoň používej SSL spojení na DB. Když to jdou důležitá data.

Heron

20.10.2010 15:54 podlesh | skóre: 38 | Freiburg im Breisgau
Rozbalit Rozbalit vše Re: databáze, naslouchani na venkovnim rozhrani

Zpřístupnit databázi na veřejném portu je samozřejmě možné a bude to fungovat, nicméně komunikační protokoly jsou navrženy pro použití v LAN:

Většinou nepodporují šifrování, takže lze data (a dokonce i hesla) snadno odposlouchávat. Lze řešit pomocí SSL tunelu, ale to už se trochu komplikuje. Obě strany by navíc měly ověřovat certifikáty, jinak hrozí MITM.
Komunikace je docela neefektivní, přenáší se zbytečné velké objemy dat a zbytečně mnoho se čeká. Výsledkem je, že při omezeném datovém toku a hlavně při horší latenci se aplikace neúnosně zpomalí.

Problém se zabezpečením lze řešit přes VPN. Problém s efektivitou komunikačního protokolu lze částečně řešit pečlivým návrhem aplikace.

Většinou tyto služby z venku viditelné nejsou a nechápu proč.

Třeba proto, že z venku nejsou potřeba býti dostupné.

Nebo je nějaký důvod nespouštět to na internetu?

To je špatně položená otázka. Základní bezpečnost se řeší tak, se vše vypne a to co je skutečně potřeba, se zapne. Z hlediska FW je tedy výchozí stav "nepropustím vůbec nic" a pro povolení komunikace musí být pádný důvod (třeba ten, že se na tu službu chce někdo připojovat).

Heron

Většinou tyto služby nejsou zvenku viditelné proto, že to není potřeba. Pokud to ve vašem případě potřebujete, je logické o zpřístupnění do celého internetu uvažovat. Počítejte ale s tím, že běžně není komunikace klienta s databází šifrovaná (takže půjde odposlechnout přihlašovací údaje i přenášená data), a že provoz v internetu není zrovna to, na co by byly databáze navrhovány a testovány – takže je menší pravděpodobnost, že někdo odhalí třeba chybu v implementaci síťového protokolu , nebo se asi databáze moc dobře nevypořádá s DoS útokem.

Dotaz: databáze, naslouchani na venkovnim rozhrani

Odpovědi