Delphi-PRAXiS - Verbindungsdaten verstecken

Seite 3 von 3

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)

- - Verbindungsdaten verstecken (https://www.delphipraxis.net/171749-verbindungsdaten-verstecken.html)

AW: Verbindungsdaten verstecken

Mit Wireshark den Netzwerktraffic mitgeschnitten...

AW: Verbindungsdaten verstecken

Zitat:

Zitat von Morphie (Beitrag 1192577)

Gerade noch mal nachgesehen (Firebird 2.5, aktuelle .NET Provider)

Code:

			...

0070   04 55 54 46 38 39 04 0f 00 00 00 1c 06 53 59 53  .UTF89.......SYS

0080   44 42 41 1d 09 6d 61 73 74 65 72 6b 65 79 47 04  DBA..masterkeyG.

...

Man sieht, dass SYSDBA und masterkey schön lesbar im Protokoll stehen. (Ich habe das mit der Standardkonfig getestet)

Oha!

Ich hatte mich auf diesen Artikel "verlassen":

Password hashes used in Firebird 1.5

Zitat:

"When I listen my network traffic (e.g. with wireshark) I see that after the
username a password hash follows. This password hash consists of 11 charakters."

Es scheint also einen Weg zu geben (oder in 1.5 gegeben zu haben?), Passwort-Hashes statt Klartext zu verwenden.

Auf dieser Seite -

Details of the Security Changes in Firebird 2.0 - werden für Firebird 1.5 clientseitig erzeugte Passwort Hashes erwäht - aber auch eine Änderung in 2.0, nach der die Hashes serverseitig (!) erzeugt werden. Nun klingt "serverseitige Hash-Erzeugung" wirklich so, als ob der Client dem Server ein Klartext-Passwort schickt und der Server es hasht (und den Hash in der security2.fdb speichert).

Damit wäre Firebird für Einsatz über unsichere Verbindungen (ohne VPN) eigentlich unbrauchbar...

p.s. auch innerhalb VPN besteht natürlich das gleiche Problem, sicher ist das Passwort nur zwischen den Netzen, denn beim VPN-Partner dann ist es es wieder unverschlüsselt.

AW: Verbindungsdaten verstecken

Aprospos,
ich hatte überlegt über ein VPN (per OpenVPN)
zu verbinden.
Hat da jemand Erfahrungen? Wie siehts mit der Geschwindigkeit aus?

Unser Server (IPFire) wird von 3 Standorten angesprochen und hat
eine funktionierende VPN, die ich allerdings noch nicht eingesetzt habe.
Der Firebird steht in der grünen Zone und versorgt die Standorte mit Logdaten.
Das wäre ein Plus wenn dies auch noch über VPN geschehen würde.

Die Verbindungsdaten würde sonst ja auch unverschlüsselt übertragen
und alle anderen im grünen Netz könnten mitlauschen.
Kennt sich jemand damit aus?

AW: Verbindungsdaten verstecken

Bei einem VPN brauchst du nichts wirklich "benutzen".

Das entfernte Netz ist unter einem bestimmten IP-Bereich ansprechbar und dort sollte auch dein Server zu finden sein. Aso einfach nur die IP Adresse angeben und schon läuft alles via VPN.

Bei geschickter (VPN-)Konfiguration sind alle Geräte durch ihre lokale IP Adresse von allen Standorten erreichbar.

EDIT

Oder verbinden sich die Standorte noch nicht über VPN?

AW: Verbindungsdaten verstecken

Der jeweilige Client nutzt dann die
OpenVPN Software zum verbinden.
Mit der Konfig des IPFire und dessen
VPN muss ich mich erst beschäftigen.
Das geht erst wieder morgen :)
Mit diesem übersetzen auf die interne IP das
habe ich schon irgendwo gesehen.

Was ich mich grad frage, was in den Firebird
verbindungsdaten eingegeben werden muss.
Dieses Thema ist für mich völlig neu.

Denn was nützt die programminter Verschlüsselung
der Firebirddaten wenn's dann unverschlüsselt über
das Netz geht...

AW: Verbindungsdaten verstecken

In einem Firmenumfeld würde ich immer für die Anbindung von Standorten Router benutzen, die eine Verbindung per VPN zur Zentrale herstellen.

Das ist von der Wartung und Handhabung ungemein simpler und sicherer zudem (VPN Zugangsdaten liegen auf dem Router und nicht auf den Clients).

Die tatsächlichen Anwendungsserver würde ich auch immer vom VPN Handling trennen.
Denn für VPN brauche ich ja auch zunächst einen unverschlüsselten Zugang.

Somit besteht die Gefahr der Kompromittierung und das möchte ich auf dem Server mit den Daten möglichst gering halten.

AW: Verbindungsdaten verstecken

Zitat:

Zitat von Privateer3000 (Beitrag 1192815)

Die Verbindungsdaten würde sonst ja auch unverschlüsselt übertragen
und alle anderen im grünen Netz könnten mitlauschen.

p.s. auch innerhalb des gesamten VPN besteht natürlich das gleiche Problem, sicher ist das Passwort nur zwischen den Netzen, denn beim VPN-Partner ist es es wieder unverschlüsselt.

AW: Verbindungsdaten verstecken

Zitat:

Zitat von mjustin (Beitrag 1192827)

Zitat:

Zitat von Privateer3000 (Beitrag 1192815)

Die Verbindungsdaten würde sonst ja auch unverschlüsselt übertragen
und alle anderen im grünen Netz könnten mitlauschen.

p.s. auch innerhalb des gesamten VPN besteht natürlich das gleiche Problem, sicher ist das Passwort nur zwischen den Netzen, denn beim VPN-Partner ist es es wieder unverschlüsselt.

Das ist aber weniger kritisch, denn man ist ja unter sich ;)

AW: Verbindungsdaten verstecken

Sicher, aber man hat die Wahl ob
ich Netz-zu-Netz, Client-zu-Netz oder
Client-zu-Client tunnele. Soweit meine Infos reichen.
Wie gesagt ich steh noch am Anfang mit diesem Thema.
Aber ich könnte den Firebird direkt ansprechen ohne dass dieser
im restlichen Netz mitgelauscht wird.
Obendrein ermöglicht der IPFire 4 Netze im LAN
so kann ein Server ein eigenes Netz haben (DMZ).

Aber zum Thema zurück.
Wenn ich nun die Verbindungsdaten, die ich in einer verschlüsselten
Datei stehen habe, von der Anwendung in ein Stream geladen werden
und dort entschlüsselt werden, können diese dann auch noch ausgelesen werden (Debugger)?
Im Schema ca. so

Code:

			Anwendungstart -> a.LoadToStream(cryptetfile) -> decrypt(cryptetfile)

b.LoadfromStream(var)->b.password ---> Close (a.free)

so ungefähr vllt. sieht etwas wirr aus.

Seite 3 von 3