Использование IB в глобальных сетях

← →
Нуждающийся в помощи (2005-01-04 09:59) [0]

Добрый день!
Я понимаю, что эта тема уже не один раз подымалась, но все же...
Насколько безопасно использование IB на сервере, имеющем реальный IP? Настройка политики доступа по адресам хостов у него ведь отсутствует. Остается еще вариант смены пароля администратора, но ИМХО это как-то не утешает. Есть конечно еще вариант с настройкой всяких фаерволов, но в моем случае это не годится - есть сеть класса С, а доступ к БД нужно дать всего нескольким хостам, а фаерволом я защищусь только от "внешних" коннектов...

Так вот, какие есть еще варианты?

← →
Нуждающийся в помощи (2005-01-04 10:10) [1]

Да абыл уточнить, что это все будет крутится под Вин98, и по некоторым причинам софт а-ля персональных файерволов использоваться не будет... Так что фильтрацию пакетов не получится организовать...

← →
Sergey_Masloff (2005-01-04 10:22) [2]

Небезопасно вообще, а в такой конфигурации ( с Win98 ) вообще о безопасности говорить не следует. Насколько я понял, предполагается держать 3050 порт открытым вовне? Ну-ну.

← →
Desdechado © (2005-01-04 11:07) [3]

ну, порт можно и поменять...

← →
Нуждающийся в помощи (2005-01-04 11:38) [4]

Поменять порт ситуацию не спасает - любой сканер на раз вычислит... На шлюзе я его конечно закрою, т.е. в Инет он светится не будет... Но в пределах локалки как обезопасить это щастье - вот в чем вопрос...
Как же тогда росказни про надцать банков, юзающих этот сервер и про Пентагон, который живет на нем?:)

← →
KSergey © (2005-01-04 11:51) [5]

> [1] Нуждающийся в помощи (04.01.05 10:10)
> Да абыл уточнить, что это все будет крутится под Вин98,
> и по некоторым причинам софт а-ля персональных файерволов
> использоваться не будет...

"Я положу деньги в дощатый сарай, замок вешать по некоторым причинам не буду.
Но хочу, чтобы деньги остались в сохранности. Как быть?"

← →
KSergey © (2005-01-04 11:53) [6]

> [4] Нуждающийся в помощи (04.01.05 11:38)
> Как же тогда росказни про надцать банков,

Они не вводят странных, ничем не подкрепленных самоограничений, да и платформы (ОС) выбирают серверные, а не для домохозяек.

← →
Anatoly Podgoretsky © (2005-01-04 13:24) [7]

Нуждающийся в помощи (04.01.05 11:38) [4]
Что то у тебя странное, любой сервер выдает свой адрес и ИП для связи. Может тебе почитать что ни будь про администрирование сервера и о безопасности.

← →
Нуждающийся в помощи (2005-01-04 13:42) [8]

Anatoly Podgoretsky © (04.01.05 13:24) [7]
Т.е. я правильно понял:
если IB живет, для, примера на 192.168.100.10, в сетке 200 машин, а доступ надо дать только для адресов 192.168.100.11 и 192.168.100.12 - то это реально сделать только средствами администрирования IB?

ЗЫ: в жизни все машины в сети имеют реальные адреса, сеть защищена Файерволом.

← →
Нуждающийся в помощи (2005-01-04 13:43) [9]

← →
KSergey © (2005-01-04 13:52) [10]

Можно на системную таблицу подключений повешать триггер, который при возниктновении подключения будет проверять IP клиента из списка допустимых и если не тот - рубить нафиг. Удобство - легкость адмигнистрирования доступа (табличка с IP-адресами)

Знаю, что как-то так сделана у нас защита на MySQL, как именно это реализовать на IB да и возможно ли вообще примерно ту же идую - не знаю.

Не понятно, чем не понравился файервол.

Еще
Ну защитили одключение к IB
А кто-то взял, просто подключися к машине и слил себе файлы с базой. И плевать ему на все защиты. Я уж не говорю про банальные нюки.
Это не настораживает?

← →
Нуждающийся в помощи (2005-01-04 14:02) [11]

В MySQL это реализовано на уровне ядра: там можно права раздавать очень гибко... Одному пользователю можно конектится с одго хоста, но нельзя с другого, а стретьего хоста можно конектится любому пользователю, а с четвертого хоста воще доступ закрыт всем пользователям...
А по поводу слить базы - на машине где будет крутится IB воуще не будет установлена "Служба доступа к файлам и принтерам" - так что слить не получится...
Как в тригере проверять АйПи я воще чего-то не представляю...

← →
yaric (2005-01-04 14:41) [12]

\\Как в тригере проверять АйПи я воще чего-то не представляю...
Если можна поподробнее

← →
-SeM- (2005-01-04 15:25) [13]

> [13] -SeM- (04.01.05 15:25)
> > системную таблицу подключений
> Если можна поподробнее

Стоп, стоп....
Весь бред, что я писал - написан на основе гипотетических представлений как это можно сделать на MS SQL. Как сделать на IB - не представляю, прошу прощения, если спорол глупость, т.е. там это применить нельзя.

Нуждающийся в помощи (04.01.05 09:59) [0]
... а фаерволом я защищусь только от "внешних" коннектов...

Кто сказал ?

ИнтерБазу или ЖарПтицу вешаешь на любую тачку в локалке, хоть даже на инет-сервак, хоть на шлюз (благо, ИнтерБаза кроссплатформенная, за что я ее и юзаю), дальше:
1) под виндами ставишь файер (OutPost, Kaspersky Antihacker) и расписываешь полицию, что снаружи к ИнтерБейзу низя, изнутри можно, но только с таких-то хостов и только на такой-то порт.
2) под никсами конфигишь iptables или ipchance в том же стиле откуда-куда что можно.

...на машине где будет крутится IB воуще не будет установлена "Служба доступа к файлам и принтерам" - так что слить не получится...

Кто сказал ?

а в такой конфигурации ( с Win98 ) вообще о безопасности говорить не следует.

Можно 98-ю отстроить так, что фиг поламаешь, а снаружи она будет светиться как SOLARIS-станция. Ну, повозиться немного придется, пару-тройку "левых" вещичек к ней прикрутить.
Вопрос: а оно тебе надо ? Не проще ли взять нормальную сетевую ОСь для этого ?

Используй файрвол и раздай права пользователям.

Использование IB в глобальных сетях Найти похожие ветки