[room] доступ к БД из вне - секюрность

[room] доступ к БД из вне - секюрность

[Serge]

Возникла такая проблемма:
Есть  распределенная БД. Контент в этой БД очЕнь важный.
Нужно реализовать доступ к этой БД из вне, одновременно обезпечивая 
безопасность контента от деструктивных действий (несанкционированного 
доступа).
Вопрос:
1) Какими средствами можно организовать доступ к БД из вне
(пока в голову приходит организовать какой то web интерфейс)
2) Какими средствами можно реализовать защиту контента БД при доступе из вне

Может быть кто то реализовывал что то подобное. Мне интерестно будет услышать 
любое Ваше мнение и рекомендации по моему вопросу.
Заранее благодарен за ответ.	

Re: [room] доступ к БД из вне - секюрность

[Dmitriy L. Kruglikov]

На календаре было: Четверг, 19 Апрель 2007 года,
Serge писал(а) в сообщении: 

S == Serge

S> Нужно реализовать доступ к этой БД из вне, одновременно обезпечивая 
S> безопасность контента от деструктивных действий (несанкционированного 
S> доступа).
Только идеи...
Первое, что приходит в голову - проброс порта сервера БД поверх SSH.
Второе - организация VPN.

Более четких рекомендаций дать не могу, так как не тестировал.



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Поджечь дом, чтобы поджарить себе яичницу, - в характере эгоиста.
		-- Ф.Бэкон

Re: [room] доступ к БД из вне - секюрность

[Maxim Tyurin]

Serge writes:

> Возникла такая проблемма:
> Есть  распределенная БД. Контент в этой БД очЕнь важный.
> Нужно реализовать доступ к этой БД из вне, одновременно обезпечивая 
> безопасность контента от деструктивных действий (несанкционированного 
> доступа).
> Вопрос:
> 1) Какими средствами можно организовать доступ к БД из вне
> (пока в голову приходит организовать какой то web интерфейс)
> 2) Какими средствами можно реализовать защиту контента БД при доступе из вне
>
> Может быть кто то реализовывал что то подобное. Мне интерестно будет услышать 
> любое Ваше мнение и рекомендации по моему вопросу.
> Заранее благодарен за ответ.	

Если web-морды хватит то использовать ее.
В самой web-морде и сделать проверки на деструктивные действия.
Если не хватит - тогда писать трехзвенку. У себя держать сервер
приложений который работает с базой и обслуживает запросы клиентов.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [room] доступ к БД из вне - секюрность

[Serge]

> Если web-морды хватит то использовать ее.
> В самой web-морде и сделать проверки на деструктивные действия.
> Если не хватит - тогда писать трехзвенку. У себя держать сервер
> приложений который работает с базой и обслуживает запросы клиентов.
в принципе web морды хватит. Только на что обращать внимание при проверки на 
диструктивные действия?
Если я прикручу SSL + сертификаты можно ли мне сказать с уверенностью что 
данные защищены из инета?
есть ли в природе примеры реализация такого?

Re: [room] доступ к БД из вне - секюрность

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 812 bytes --]

Serge пишет:
>> Если web-морды хватит то использовать ее.
>> В самой web-морде и сделать проверки на деструктивные действия.
>> Если не хватит - тогда писать трехзвенку. У себя держать сервер
>> приложений который работает с базой и обслуживает запросы клиентов.
> в принципе web морды хватит. Только на что обращать внимание при проверки на 
> диструктивные действия?
> Если я прикручу SSL + сертификаты можно ли мне сказать с уверенностью что 
> данные защищены из инета?

  Нет.

  Надо ещё гарантировать что все запросы пользователей корректны: есть
целый класс атак, позволяющий получить доступ к содержимому БД спомощью
ввода  не совсем корректных данных в веб форму. (Классика жанра --
применение "'".)

> есть ли в природе примеры реализация такого?

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [room] доступ к БД из вне - секюрность

[Денис Смирнов]

On Thu, Apr 19, 2007 at 10:32:35AM +0300, Serge wrote:

S> Если я прикручу SSL + сертификаты можно ли мне сказать с уверенностью что 
S> данные защищены из инета?

С полной уверенностью это можно будет сказать после того как сервер будет
выключен :(

S> есть ли в природе примеры реализация такого?

Почти любой web-проект в той или иной степени реализует именно это.
Основное пожелание -- для web-интерфейса использовать perl с его DBI
вместо PHP. Если нет хороших навыков в написании секьюрного кода, то по
крайней мере часть уязвимостей это срежет. Но в любом случае необходимо
все данные переданые пользователем проверять на корректность и
допустимость.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
<Fred^> но вот свистеть на 9600 ща уже разучились...
<Fred^> не тот админ пошел... :)

Re: [room] доступ к БД из вне - секюрность

[Anton Gorlov]

Serge пишет:

> 1) Какими средствами можно организовать доступ к БД из вне
> (пока в голову приходит организовать какой то web интерфейс)
> 2) Какими средствами можно реализовать защиту контента БД при доступе из вне
> Может быть кто то реализовывал что то подобное. Мне интерестно будет услышать 
> любое Ваше мнение и рекомендации по моему вопросу.
> Заранее благодарен за ответ.	

ipsec или прочие впн.

-- 
   np: silence

Re: [room] доступ к БД из вне - секюрность

[Eugene Prokopiev]

Serge пишет:
> Возникла такая проблемма:
> Есть  распределенная БД. Контент в этой БД очЕнь важный.
> Нужно реализовать доступ к этой БД из вне, одновременно обезпечивая 
> безопасность контента от деструктивных действий (несанкционированного 
> доступа).
> Вопрос:
> 1) Какими средствами можно организовать доступ к БД из вне
> (пока в голову приходит организовать какой то web интерфейс)
> 2) Какими средствами можно реализовать защиту контента БД при доступе из вне
> 
> Может быть кто то реализовывал что то подобное. Мне интерестно будет услышать 
> любое Ваше мнение и рекомендации по моему вопросу.
> Заранее благодарен за ответ.	

Пользователи БД знают, что такое SQL? ;)

Если нет (либо это знание им не нужно), то писать/использовать 
какую-либо морду к БД (не обязательно web) необходимо в любом случае, 
даже если удаленного доступа не предполагается. Если морда все-таки web, 
достаточно будет ssl + нормально ее написать, защитившись от sql 
injection и т.д. Если не web, то нормально писать нужно все равно, но 
шифровать придется левыми средствами (ssh, vpn, ...)

Если пользователи знают о SQL, то нужно попробовать использовать 
средства СУБД (например, многие умеют ssl), а если не выйдет, то 
использовать левые средства.

-- 
С уважением, Прокопьев Евгений