Re: ist das eine gute Idee?
- From: Oliver Schad <o.schad@xxxxxx>
- Date: Thu, 13 Oct 2005 16:44:42 +0200
helmut woess wrote:
> Aber nun zu meinem Problem: ich habe da ein Programm geschrieben, wo die
> Clients über das Internet auf den SQL-Server zugreifen. Im Moment verwende
> ich dazu einen Server mit Win2000 und Outpost als Firewall drauf.
Also: Du hast einen SQL-Server, der bei dir steht und da sollen nur
bestimmte Clients drauf zugreifen können. Ist das so erstmal richtig?
Sieh dir übrigens mal http://linkblock.de an.
> Mein Router, an dem das Ganze hängt, ist vom Provider (entsprechend
> konfiguriert), da kann ich mal nix machen weil passwortgeschützt.
Ist dir die Konfiguration bekannt? Garantiert dein Provider, dass der
entsprechend deiner Sicherheitsbedürfnisse konfiguriert ist?
> Outpost ist so konfiguriert, das ich alles verboten habe und dann nur
> Kombinationen aus IP-Adresse und SQL-Server freigegeben habe.
PFWs sind in der Regel Mist. So, wie du Outpost betreibst, scheint mir
das aber einigermaßen sinnvoll. Du meinst Kombination aus IP-Adresse der
Clients und TCP-Port des SQL-Servers hast du freigegeben? Schonmal einen
Portscan gemacht? Solltest du.
IP-Adressen taugen als Authentifzierungsmerkmal nicht wirklich, du
solltest über Alternativen nachdenken.
Beispielsweise ein VPN oder so etwas wie stunnel.
> Nachdem auf dem Server ansonsten gar nichts gemacht wird (kein surfen,
> keine Mails, rein nichts außer Datenbank) halte ich das als Laie mal für
> relativ sicher.
Wichtig ist, welche Dienste öffentlich erreichbar sind und wie diese
Dienste konfiguriert sind. Auf 'ner Konsole "netstat -an" machen und
zudem einen Portscan von außen, siehe http://linkblock.de. Über Clients
kann man sein System kompromittieren, ja, aber über Dienste geht das
genauso gut.
> Und da ich von Linux&Co null Ahnung habe, war das im Moment
> mal der einzig mögliche Weg in der mir zur Verfügung stehenden Zeit.
Linux ist auch nicht unbedingt besser. Es geht um die Anforderungen und
die konkrete Konfiguration.
> Ich würde ja nicht mal was dran ändern wollen, käme jetzt nicht die
> Anforderung, auch Clients mit interner Adresse zuzulassen, die an einem
> ebenfalls vom Provider vorgegebenen Modem hängen. Der Client hat dann eine
> 192.168.x.x, die natürlich für mich unbrauchbar ist. Und dessen Modems
> arbeiten mit dynamischen IP's. Also kann ich das nicht fix definieren.
Du suchst VPN (z.B. OpenVPN) oder stunnel.
> Meine Idee war nun wie folgt:
> Ich schreibe einen "Listener", der an einem bestimmten Port, sagen wir mal
> 7000 (und der wird im Outpost für alle IP's freigegeben), nur horcht und
> gesendete Daten entgegennimmt aber nie antwortet. Der Client draußen hat
Du holst dir unnötig schlecht getestete Komplexität ins Haus. Nimm
Standardlösungen (VPN, verschlüsselter Tunnel), die sich bewährt haben.
mfg
Oli
.
- Follow-Ups:
- Re: ist das eine gute Idee?
- From: helmut woess
- Re: ist das eine gute Idee?
- References:
- ist das eine gute Idee?
- From: helmut woess
- ist das eine gute Idee?
- Prev by Date: Re: ist das eine gute Idee?
- Next by Date: Re: ist das eine gute Idee?
- Previous by thread: Re: ist das eine gute Idee?
- Next by thread: Re: ist das eine gute Idee?
- Index(es):
Relevant Pages
|
