Izolacija povezane mreze

CD*, karkoli drugega ne bo preprečilo prenosa ostalih podatkov. Če pa ni potrebna takšna varnost pa dober požarni zid.

*Sem že napisal USB ključ vendar bi lahko z njim vnesel tudi kakšen "nezaželen program", ki bi pobral ostale datoteke, CD pa vedno vzameš svež in je 100% varno

Gre samo branje iz baze ali tudi pisanje v bazo?

V zaprti mreži bi lahko naprogramiral tako, da ko pride do spremembe v bazi, relevantne podatke iz baze "porineš" (push) na nek strežnik, ki je izven omrežja. In do tistega zunanjega strežniki dostopajo tisti, ki bi radi te podatke.

To je za branje. Za pisanje pa podobno, da pobiraš (pull) podatke (taske) iz zunanjega strežnika in potem izvedeš tiste taske na notranjem strežniku.

Na omrežju omejiš source/destination IP, port, TCP med strežnikoma. Komunikacijo zakriptiraš s certifikatoma, ki jih generiraš po enega na vsakem od strežnikov.

Enega dela ne razumem. Ce imas port in IP ali lahko omejis tako, da deluje samo sinhronizacija baze in da je ostalo absolutno onemogoceno?

Primarna naloga je, da sistem ostane izoliran in ne, da podatki ostanejo skriti.

@Baja, se mi je vedno zdelo, da je na koncu tako, da moras narediti vmes nekaj kreativnega, kar ni noben standard.

Na najbolj preprostem nivoju vzameš switch in nabiješ nekaj ACL-ov, da dovoliš le dostop na TCP portu X z IP naslovov A,B in C, pa še to lahko omejiš na nek poseben VLAN, na katerem se nahajajo zgolj 'pooblaščenci'.

Malo višje gor (več fleksibilnosti) lahko filtriraš promet na požarni pregradi. Tu lahko tudi uporabljaš prepoznavo aplikacij, da res zgolj SQL ali karkoli že uporabljaš za tisto bazo spustiš skozi. Namesto da si fiksno vezan na IP naslov uporabnika, potem lahko uporabiš avtentikacijo, tako da je 'kapetan' vedno 'kapetan', ne glede na to, na katerem računalniku se prijavi v omrežje.

Dodatno lahko že z IPS nadziraš, da nebi slučajno kdo poskušal zlorabiti neko znano ranljivost.

Še korak višje pa bi bil nek poseben proxy/ALG ki bi zahtevke dostopa do baze preverjal še vsebinsko. Ne vem pa, ali kaj takega obstaja za SQL zahtevke (bi moral kakšen SQL razvijalec povedat).

No, na koncu pa še lahko vse metode kombiniraš in spentljaš z večstopenjsko avtentikacijo za dostop do omrežja (ločeno od baze in avtentikacije na njej).

Ampak mislim da je to potem že počasi tako pretiravanje, ki ti lahko okrni zanesljivost/dostopnost do baze, kar na koncu lahko negativno vpliva na razpoložljivost sistema in varnost. Zato moraš vedno dobro pretehtat, koliko kompliciranja še ima smisel.

Včasih je bolje manj zakomplicirat dostop, zato pa toliko bolj nadzorovat dostope. Tu pa potem spet lahko greš do skrajnosti in vpelješ analitiko 'obnašanja' in zaženeš alarm, če se nekdo prijavi v času, ko 'kapetan' običajno spi in ni prijavljen v sistem.

A v končni fazi dvomim, da boš redko kje naletel na tako 'zakomplicirano' zgodbo. Analitika 'obnašanja' se precej reklamira v rešitvah za bančništvo, kjer se celo že tako daleč reklamirajo, da naj niti nebi potreboval gesla, dokler se obnašaš tako, kot se vedno obnašaš (hitrost premikanja miške, klikanja, kje 'parkiraš' miko, kako tipkaš, katere reči običajno po vrsti pogledaš,....). Skratka naredijo 'prstni odtis' tvojega obnašanja. Dokaj občutljiv podatek, če mene vprašaš, ker obnašanje tudi teško spremeniš.

llc je 10. mar 2020 ob 15:06 izjavil:

To kar iščeš je Podatkovna dioda, ni pa poceni...

'Dioda' je enosmerna zadeva... on pa bi rad tudi dostopal do podatkov, ne pa jih zgolj pretakal v zaščiteno območje!