[HaBo]
| (In)security allgemein Sicherheit, Anonymität im Netz. Schutz und Maßnahmen. Prävention und Konzepte. Sicherheitsarchitekturen allgemein und auf der Netzwerkebene. |
Verschlüsseln, aber wie? und wo? Und womit?
Diskussion: Verschlüsseln, aber wie? und wo? Und womit? im Forum (In)security allgemein, in der Kategorie Security Area; Anzeige Folgendes Setup: Eine DMZ mit einem DB Server, über die Firewall aus dem Internet zugänglich. Ein internes Netz (auch ...
 |
20.02.07, 13:45
| #1 (permalink) |
| Registriert seit: 02.12.05  Likes: 0 |  Verschlüsseln, aber wie? und wo? Und womit? Anzeige Folgendes Setup: Eine DMZ mit einem DB Server, über die Firewall aus dem Internet zugänglich. Ein internes Netz (auch mit einem DB Server), über eine Firewall aus anderen Netzen zugänglich (nicht aus dem Internet). Eine Submenge der Daten des internen DB Servers soll auf den DB Server in der DMZ übertragen werden. Also auf dem Pfad internes Netz -> Firewall 2 -> Firewall 1 -> DMZ Zur Verdeutlichung:  Nun, dort Daten im Klartext drüber zu jagen, halte ich für sehr gefährlich. Besser wäre IPsec. Doch mit IPsec habe ich auf den Firewalls kaum noch Kontrolle darüber, welche Daten dort rumschwirren... Eine Verschlüsselung aus Anwendungsebene fällt leider aus :( Hat jemand Ideen, Anmerkungen, Vorschläge? |
|  |
|
20.02.07, 14:43
| #2 (permalink) |
| Moderator   Registriert seit: 30.09.06   Likes: 443 | Ein SSH-Tunnel wäre eine Lösungsmöglichkeit. Damit wird die Verbindung dann verschlüsselt.
__________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+ |
|
| |
| HaBOT | - Anzeige - |
|
|
20.02.07, 16:19
| #3 (permalink) |
| Moderator  Registriert seit: 30.03.04 Likes: 14 | Hallo, hmm also viele DB Server bieten SSL Zugang an, z.B. MySQL, ist dies bei deinem DBMS nicht möglich? Sonst evt. einen Wrapper programmieren/verwenden, den man z.B. per SSL erreichen kann. Dieser Wrapper reicht baut dann eine Connection mit der DB auf und reicht die Daten einfach nur weiter. |
|
| |
|
20.02.07, 16:49
| #4 (permalink) |
| Themenstarter Registriert seit: 02.12.05 Likes: 0 | SSL ist zum jetztigen Projektfortschritt schlecht, das würde zu große Änderungen nachziehen. Ich tendiere dazu, den IPsec Tunnel auf der zweiten (internen) Firewall temporär auszupacken... wenn DORT ein Angreifer sitzt sind die Sorgen eh andere als das mitlesen von Traffic... |
|
| |
|
20.02.07, 17:20
| #5 (permalink) | |
| Moderator Registriert seit: 30.03.04 Likes: 14 | Hallo, Zitat:
Da man aber SSL Sockets eigentlich fast genauso programmiert wie normale Sockets, mit der Außnahme der Authentifizierung (2 Zeilen extra Code), müsste man nur den normalen Socket auf einen SSL-Socket abändern (oft erbt ein SSL Socket auch von einem normalen Socket so das man nur die Instanzierung anpassen muss). Bei einem guten Design sollte der Socket eigentlich zentral liegen, sprich du solltest nur eine (oder wenige) Klasse haben die sich um den gesamten Netzwerktraffic kümmert (bzw. andere Klassen die dann davon erben). Wenn jede Klasse aber selber einen Socket verwendet, ist dies natürlich schlecht und aufwendig. Aber dies sollte nur mal so ein Anstoß sein, evt. beim nächsten Mal das Design besser zu prüfen. Natürlich kann ich nicht beurteilen ob das Design einfach nicht gut ist, oder ob es wirklich so umständlich sein muss. Sollte es so seien, nehme ich alles zurück. | |
|
| |
|
21.02.07, 10:12
| #6 (permalink) |
| Themenstarter Registriert seit: 02.12.05 Likes: 0 | Das Problem ist, das ich nichts vom Design verstehe, da selbiges nicht meine Aufgab ist. Weder bin ich der Entwickler, noch habe ich mit der Entwicklung etwas zu tun, ich wurde nur nach einer Lösung für die Sicherheit gefragt, die (externen) Programmierer sagen "Aufwändig" (lies teuer).. zumal ich bei SSL doch noch eine PKI einführen müsste, bei selbst signierten Zertifikaten bin ich zumindest skeptisch.... |
|
| |
|
21.02.07, 16:11
| #7 (permalink) | |
| Moderator Registriert seit: 30.03.04 Likes: 14 | Hallo, das Problem mit den Zertifikaten hast du immer, egal ob du nun einen SSH Tunnel, VPN Tunnel oder was auch immer benutzt Zitat:
Im kleinen Maßstab kann man es aber noch relativ einfach lösen: Der DB Server erstellt ein SSL Zertifikat und den Fingerprint (die Prüfsumme des Zertifikates) bringst du auf sicherem Weg zum Client. Der Client muss dann nur noch überprüfen, ob die aktuelle Prüfsumme gleich der gespeicherten Prüfsumme ist. Wenn dies der Fall ist, ist der Client mit dem richtigem Server verbunden. Also musst du dort keine aufwändige PKI erstellen, sofern die Kommunikationspartner immer die gleichen bleiben. | |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Security Area » (In)security allgemein » Verschlüsseln, aber wie? und wo? Und womit?
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| OpenGL-Womit anfangen? | Kenniej91 | Code Kitchen | 6 | 09.03.08 18:27 |
| Womit Windows GUI erstellen | bcom | Code Kitchen | 12 | 28.10.06 16:33 |
| Womit als Hacker anfangen? | Energise | Umfragen | 22 | 02.07.06 16:51 |
| Womit habe ich das verdient? | bikmaek | Fun Section | 3 | 08.01.06 16:18 |
| womit fang ich an ?? | TwoFinGaZ | Games | 6 | 02.02.02 14:18 |
