AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

Verbindungsdaten verstecken

Ein Thema von Privateer3000 · begonnen am 22. Nov 2012 · letzter Beitrag vom 25. Nov 2012
Antwort Antwort
Seite 3 von 3     123
Morphie

Registriert seit: 27. Apr 2008
Ort: Rahden
630 Beiträge
 
#21

AW: Verbindungsdaten verstecken

  Alt 24. Nov 2012, 16:07
Mit Wireshark den Netzwerktraffic mitgeschnitten...
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#22

AW: Verbindungsdaten verstecken

  Alt 25. Nov 2012, 08:55

Gerade noch mal nachgesehen (Firebird 2.5, aktuelle .NET Provider)
Code:
...
0070   04 55 54 46 38 39 04 0f 00 00 00 1c 06 53 59 53  .UTF89.......SYS
0080   44 42 41 1d 09 6d 61 73 74 65 72 6b 65 79 47 04  DBA..masterkeyG.
...
Man sieht, dass SYSDBA und masterkey schön lesbar im Protokoll stehen. (Ich habe das mit der Standardkonfig getestet)

Oha!


Ich hatte mich auf diesen Artikel "verlassen":


Password hashes used in Firebird 1.5


Zitat:
"When I listen my network traffic (e.g. with wireshark) I see that after the
username a password hash follows. This password hash consists of 11 charakters."
Es scheint also einen Weg zu geben (oder in 1.5 gegeben zu haben?), Passwort-Hashes statt Klartext zu verwenden.

Auf dieser Seite - Details of the Security Changes in Firebird 2.0 - werden für Firebird 1.5 clientseitig erzeugte Passwort Hashes erwäht - aber auch eine Änderung in 2.0, nach der die Hashes serverseitig (!) erzeugt werden. Nun klingt "serverseitige Hash-Erzeugung" wirklich so, als ob der Client dem Server ein Klartext-Passwort schickt und der Server es hasht (und den Hash in der security2.fdb speichert).

Damit wäre Firebird für Einsatz über unsichere Verbindungen (ohne VPN) eigentlich unbrauchbar...

p.s. auch innerhalb VPN besteht natürlich das gleiche Problem, sicher ist das Passwort nur zwischen den Netzen, denn beim VPN-Partner dann ist es es wieder unverschlüsselt.
Michael Justin

Geändert von mjustin (25. Nov 2012 um 10:59 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Privateer3000
Privateer3000

Registriert seit: 10. Jun 2002
Ort: Jena
1.128 Beiträge
 
Delphi 10.4 Sydney
 
#23

AW: Verbindungsdaten verstecken

  Alt 25. Nov 2012, 09:08
Aprospos,
ich hatte überlegt über ein VPN (per OpenVPN)
zu verbinden.
Hat da jemand Erfahrungen? Wie siehts mit der Geschwindigkeit aus?

Unser Server (IPFire) wird von 3 Standorten angesprochen und hat
eine funktionierende VPN, die ich allerdings noch nicht eingesetzt habe.
Der Firebird steht in der grünen Zone und versorgt die Standorte mit Logdaten.
Das wäre ein Plus wenn dies auch noch über VPN geschehen würde.

Die Verbindungsdaten würde sonst ja auch unverschlüsselt übertragen
und alle anderen im grünen Netz könnten mitlauschen.
Kennt sich jemand damit aus?
Peter
+++Versuch es nicht mit Gewalt + Nimm einen größeren Hammer! +++
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#24

AW: Verbindungsdaten verstecken

  Alt 25. Nov 2012, 09:15
Bei einem VPN brauchst du nichts wirklich "benutzen".

Das entfernte Netz ist unter einem bestimmten IP-Bereich ansprechbar und dort sollte auch dein Server zu finden sein. Aso einfach nur die IP Adresse angeben und schon läuft alles via VPN.

Bei geschickter (VPN-)Konfiguration sind alle Geräte durch ihre lokale IP Adresse von allen Standorten erreichbar.

EDIT

Oder verbinden sich die Standorte noch nicht über VPN?
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)

Geändert von Sir Rufo (25. Nov 2012 um 09:18 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Privateer3000
Privateer3000

Registriert seit: 10. Jun 2002
Ort: Jena
1.128 Beiträge
 
Delphi 10.4 Sydney
 
#25

AW: Verbindungsdaten verstecken

  Alt 25. Nov 2012, 10:09
Der jeweilige Client nutzt dann die
OpenVPN Software zum verbinden.
Mit der Konfig des IPFire und dessen
VPN muss ich mich erst beschäftigen.
Das geht erst wieder morgen
Mit diesem übersetzen auf die interne IP das
habe ich schon irgendwo gesehen.

Was ich mich grad frage, was in den Firebird
verbindungsdaten eingegeben werden muss.
Dieses Thema ist für mich völlig neu.

Denn was nützt die programminter Verschlüsselung
der Firebirddaten wenn's dann unverschlüsselt über
das Netz geht...
Peter
+++Versuch es nicht mit Gewalt + Nimm einen größeren Hammer! +++
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#26

AW: Verbindungsdaten verstecken

  Alt 25. Nov 2012, 10:21
In einem Firmenumfeld würde ich immer für die Anbindung von Standorten Router benutzen, die eine Verbindung per VPN zur Zentrale herstellen.

Das ist von der Wartung und Handhabung ungemein simpler und sicherer zudem (VPN Zugangsdaten liegen auf dem Router und nicht auf den Clients).

Die tatsächlichen Anwendungsserver würde ich auch immer vom VPN Handling trennen.
Denn für VPN brauche ich ja auch zunächst einen unverschlüsselten Zugang.

Somit besteht die Gefahr der Kompromittierung und das möchte ich auf dem Server mit den Daten möglichst gering halten.
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#27

AW: Verbindungsdaten verstecken

  Alt 25. Nov 2012, 11:01

Die Verbindungsdaten würde sonst ja auch unverschlüsselt übertragen
und alle anderen im grünen Netz könnten mitlauschen.
p.s. auch innerhalb des gesamten VPN besteht natürlich das gleiche Problem, sicher ist das Passwort nur zwischen den Netzen, denn beim VPN-Partner ist es es wieder unverschlüsselt.
Michael Justin
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#28

AW: Verbindungsdaten verstecken

  Alt 25. Nov 2012, 11:23

Die Verbindungsdaten würde sonst ja auch unverschlüsselt übertragen
und alle anderen im grünen Netz könnten mitlauschen.
p.s. auch innerhalb des gesamten VPN besteht natürlich das gleiche Problem, sicher ist das Passwort nur zwischen den Netzen, denn beim VPN-Partner ist es es wieder unverschlüsselt.
Das ist aber weniger kritisch, denn man ist ja unter sich
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)
  Mit Zitat antworten Zitat
Benutzerbild von Privateer3000
Privateer3000

Registriert seit: 10. Jun 2002
Ort: Jena
1.128 Beiträge
 
Delphi 10.4 Sydney
 
#29

AW: Verbindungsdaten verstecken

  Alt 25. Nov 2012, 18:11
Sicher, aber man hat die Wahl ob
ich Netz-zu-Netz, Client-zu-Netz oder
Client-zu-Client tunnele. Soweit meine Infos reichen.
Wie gesagt ich steh noch am Anfang mit diesem Thema.
Aber ich könnte den Firebird direkt ansprechen ohne dass dieser
im restlichen Netz mitgelauscht wird.
Obendrein ermöglicht der IPFire 4 Netze im LAN
so kann ein Server ein eigenes Netz haben (DMZ).

Aber zum Thema zurück.
Wenn ich nun die Verbindungsdaten, die ich in einer verschlüsselten
Datei stehen habe, von der Anwendung in ein Stream geladen werden
und dort entschlüsselt werden, können diese dann auch noch ausgelesen werden (Debugger)?
Im Schema ca. so
Code:
Anwendungstart -> a.LoadToStream(cryptetfile) -> decrypt(cryptetfile)
b.LoadfromStream(var)->b.password ---> Close (a.free)
so ungefähr vllt. sieht etwas wirr aus.
Peter
+++Versuch es nicht mit Gewalt + Nimm einen größeren Hammer! +++

Geändert von Privateer3000 (25. Nov 2012 um 18:13 Uhr)
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:00 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz