» »

Izolacija povezane mreze

Izolacija povezane mreze

TheBlueOne ::

Tako v teoriji me zanima nekaj, kar ni popolnoma moje podrocje. Torej situacija je sledeca:

Imas omrezje, ki mora biti cim bolj izolirano. Recimo, da ima omrezje tudi svoj interni streznik. Iz omrezja pa moras dobiti samo podatke iz neke baze podatkov. Katera resitev omrezje najbolj izolira in omogoca samo ta prenos podatkov.

Matevz96 ::

CD*, karkoli drugega ne bo preprečilo prenosa ostalih podatkov. Če pa ni potrebna takšna varnost pa dober požarni zid.

*Sem že napisal USB ključ vendar bi lahko z njim vnesel tudi kakšen "nezaželen program", ki bi pobral ostale datoteke, CD pa vedno vzameš svež in je 100% varno
#hooldthedoor

TheBlueOne ::

USBji seveda onemogoceni, kakor tudi CDji. Uporabniki na mrezi niti ne morejo spisati programov. Ta mreza bi rada bila popolnoma izolirana. Edini prenos podatko je lahko preko baze podatkov, ki je na strezniku v izolirani mrezi. Seveda samo v naprej doloceni deli baz podatkov, ne vse pocez...

To so v grobem predpostavke. Zanimajo me teoreticne moznosti za kaj takega. Recimo, da se gre za nek vojaski sistem, ki ga uporabljajo, recimo, da je bojna ladja, ki jo sistem upravlja. Sistem pa ima bazo podatkov, ki mora biti delo dostopna navzven za kapitana in generale.

Zgodovina sprememb…

b3D_950 ::

Gre samo branje iz baze ali tudi pisanje v bazo?
Zdaj ko je mir, jemo samo krompir.

TheBlueOne ::

b3D_950 je izjavil:

Gre samo branje iz baze ali tudi pisanje v bazo?


Samo branje, bi me pa zanimalo, ce pisanje naredi veliko razliko.

HotBurek ::

V zaprti mreži bi lahko naprogramiral tako, da ko pride do spremembe v bazi, relevantne podatke iz baze "porineš" (push) na nek strežnik, ki je izven omrežja. In do tistega zunanjega strežniki dostopajo tisti, ki bi radi te podatke.

To je za branje. Za pisanje pa podobno, da pobiraš (pull) podatke (taske) iz zunanjega strežnika in potem izvedeš tiste taske na notranjem strežniku.

Na omrežju omejiš source/destination IP, port, TCP med strežnikoma. Komunikacijo zakriptiraš s certifikatoma, ki jih generiraš po enega na vsakem od strežnikov.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

Baja ::

teoretično, blokiraš ves IN/OUT promet, dovoliš samo eni mašini da pošilja podatke ven (na določen IP naslov)

lahko ločiš tudi fizično, podatke pa pošiljaš v morsejevi abecedi preko ledice na kamero v drugem omrezju. malo za šalo malo za res :P

TheBlueOne ::

Enega dela ne razumem. Ce imas port in IP ali lahko omejis tako, da deluje samo sinhronizacija baze in da je ostalo absolutno onemogoceno?

Primarna naloga je, da sistem ostane izoliran in ne, da podatki ostanejo skriti.

@Baja, se mi je vedno zdelo, da je na koncu tako, da moras narediti vmes nekaj kreativnega, kar ni noben standard.

Zgodovina sprememb…

  • predlagalo izbris: HotBurek ()

HotBurek ::

Po pomoti sem pritisnal na ikono "koš", zdej pa ne vem kako to skenslam. Se pardoniram...

Ja, firewall-i omogočajo konfiguracijo do te mere, da je omogočena samo komunikacija med dvema IPjema, na točno določenem portu, in protokolu (TCP).

Je pa res, da moraš tu še poskrbet, da ko enkrat prideš do baze, da pravilno nastaviš pravice, s katerim omejiš uporabnika, da bi poleg branja določenih podatkov omogočal še kaj drugega.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

SeMiNeSanja ::

Na najbolj preprostem nivoju vzameš switch in nabiješ nekaj ACL-ov, da dovoliš le dostop na TCP portu X z IP naslovov A,B in C, pa še to lahko omejiš na nek poseben VLAN, na katerem se nahajajo zgolj 'pooblaščenci'.

Malo višje gor (več fleksibilnosti) lahko filtriraš promet na požarni pregradi. Tu lahko tudi uporabljaš prepoznavo aplikacij, da res zgolj SQL ali karkoli že uporabljaš za tisto bazo spustiš skozi. Namesto da si fiksno vezan na IP naslov uporabnika, potem lahko uporabiš avtentikacijo, tako da je 'kapetan' vedno 'kapetan', ne glede na to, na katerem računalniku se prijavi v omrežje.

Dodatno lahko že z IPS nadziraš, da nebi slučajno kdo poskušal zlorabiti neko znano ranljivost.

Še korak višje pa bi bil nek poseben proxy/ALG ki bi zahtevke dostopa do baze preverjal še vsebinsko. Ne vem pa, ali kaj takega obstaja za SQL zahtevke (bi moral kakšen SQL razvijalec povedat).

No, na koncu pa še lahko vse metode kombiniraš in spentljaš z večstopenjsko avtentikacijo za dostop do omrežja (ločeno od baze in avtentikacije na njej).

Ampak mislim da je to potem že počasi tako pretiravanje, ki ti lahko okrni zanesljivost/dostopnost do baze, kar na koncu lahko negativno vpliva na razpoložljivost sistema in varnost. Zato moraš vedno dobro pretehtat, koliko kompliciranja še ima smisel.

Včasih je bolje manj zakomplicirat dostop, zato pa toliko bolj nadzorovat dostope. Tu pa potem spet lahko greš do skrajnosti in vpelješ analitiko 'obnašanja' in zaženeš alarm, če se nekdo prijavi v času, ko 'kapetan' običajno spi in ni prijavljen v sistem.

A v končni fazi dvomim, da boš redko kje naletel na tako 'zakomplicirano' zgodbo. Analitika 'obnašanja' se precej reklamira v rešitvah za bančništvo, kjer se celo že tako daleč reklamirajo, da naj niti nebi potreboval gesla, dokler se obnašaš tako, kot se vedno obnašaš (hitrost premikanja miške, klikanja, kje 'parkiraš' miko, kako tipkaš, katere reči običajno po vrsti pogledaš,....). Skratka naredijo 'prstni odtis' tvojega obnašanja. Dokaj občutljiv podatek, če mene vprašaš, ker obnašanje tudi teško spremeniš.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

llc ::

To kar iščeš je Podatkovna dioda, ni pa poceni...

SeMiNeSanja ::

llc je izjavil:

To kar iščeš je Podatkovna dioda, ni pa poceni...

'Dioda' je enosmerna zadeva... on pa bi rad tudi dostopal do podatkov, ne pa jih zgolj pretakal v zaščiteno območje!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

TheBlueOne ::

Skoda da ne obstaja kaksen SQL BUS. :) Bi bil ultimo varnostni kos strojne opreme za kaj takega.

Zgodovina sprememb…



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Postavitev mySQL

Oddelek: Programiranje
92247 (1825) M01O
»

Windows 2003/2008 Server licenca

Oddelek: Operacijski sistemi
8824 (741) SeMiNeSanja
»

python in postgresql (strani: 1 2 )

Oddelek: Programiranje
777548 (6449) ZaphodBB
»

Izdelava svojega "dropboxa"

Oddelek: Izdelava spletišč
344744 (3221) techfreak :)
»

[baze] Povezava do slike ali BLOB?

Oddelek: Programiranje
101667 (1464) BlueRunner

Več podobnih tem