Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2005.02.06;
Скачать: CL | DM;

Вниз

Использование IB в глобальных сетях   Найти похожие ветки 

 
Нуждающийся в помощи   (2005-01-04 09:59) [0]

Добрый день!
Я понимаю, что эта тема уже не один раз подымалась, но все же...
Насколько безопасно использование IB на сервере, имеющем реальный IP? Настройка политики доступа по адресам хостов у него ведь отсутствует. Остается еще вариант смены пароля администратора, но ИМХО это как-то не утешает. Есть конечно еще вариант с настройкой всяких фаерволов, но в моем случае это не годится - есть сеть класса С, а доступ к БД нужно дать всего нескольким хостам, а фаерволом я защищусь только от "внешних" коннектов...

Так вот, какие есть еще варианты?


 
Нуждающийся в помощи   (2005-01-04 10:10) [1]

Да абыл уточнить, что это все будет крутится под Вин98, и по некоторым причинам софт а-ля персональных файерволов использоваться не будет... Так что фильтрацию пакетов не получится организовать...


 
Sergey_Masloff   (2005-01-04 10:22) [2]

Небезопасно вообще, а в такой конфигурации ( с Win98 ) вообще о безопасности говорить не следует. Насколько я понял, предполагается держать 3050 порт открытым вовне? Ну-ну.


 
Desdechado ©   (2005-01-04 11:07) [3]

ну, порт можно и поменять...


 
Нуждающийся в помощи   (2005-01-04 11:38) [4]

Поменять порт ситуацию не спасает - любой сканер на раз вычислит... На шлюзе я его конечно закрою, т.е. в Инет он светится не будет... Но в пределах локалки как обезопасить это щастье - вот в чем вопрос...
Как же тогда росказни про надцать банков, юзающих этот сервер и про Пентагон, который живет на нем?:)


 
KSergey ©   (2005-01-04 11:51) [5]

> [1] Нуждающийся в помощи   (04.01.05 10:10)
> Да абыл уточнить, что это все будет крутится под Вин98,
> и по некоторым причинам софт а-ля персональных файерволов
> использоваться не будет...

"Я положу деньги в дощатый сарай, замок вешать по некоторым причинам не буду.
Но хочу, чтобы деньги остались в сохранности. Как быть?"


 
KSergey ©   (2005-01-04 11:53) [6]

> [4] Нуждающийся в помощи   (04.01.05 11:38)
> Как же тогда росказни про надцать банков,

Они не вводят странных, ничем не подкрепленных самоограничений, да и платформы (ОС) выбирают серверные, а не для домохозяек.


 
Anatoly Podgoretsky ©   (2005-01-04 13:24) [7]

Нуждающийся в помощи   (04.01.05 11:38) [4]
Что то у тебя странное, любой сервер выдает свой адрес и ИП для связи. Может тебе почитать что ни будь про администрирование сервера и о безопасности.


 
Нуждающийся в помощи   (2005-01-04 13:42) [8]

Anatoly Podgoretsky ©   (04.01.05 13:24) [7]
Т.е. я правильно понял:
если IB живет, для, примера на 192.168.100.10, в сетке 200 машин, а доступ надо дать только для адресов 192.168.100.11 и 192.168.100.12 - то это реально сделать только средствами администрирования IB?

ЗЫ: в жизни все машины в сети имеют реальные адреса, сеть защищена Файерволом.


 
Нуждающийся в помощи   (2005-01-04 13:43) [9]

Anatoly Podgoretsky ©   (04.01.05 13:24) [7]
Т.е. я правильно понял:
если IB живет, для, примера на 192.168.100.10, в сетке 200 машин, а доступ надо дать только для адресов 192.168.100.11 и 192.168.100.12 - то это реально сделать только средствами администрирования IB?

ЗЫ: в жизни все машины в сети имеют реальные адреса, сеть защищена Файерволом.


 
KSergey ©   (2005-01-04 13:52) [10]

Можно на системную таблицу подключений повешать триггер, который при возниктновении подключения будет проверять IP клиента из списка допустимых и если не тот - рубить нафиг. Удобство - легкость адмигнистрирования доступа (табличка с IP-адресами)

Знаю, что как-то так сделана у нас защита на MySQL, как именно это реализовать на IB да и возможно ли вообще примерно ту же идую - не знаю.

Не понятно, чем не понравился файервол.

Еще
Ну защитили одключение к IB
А кто-то взял, просто подключися к машине и слил себе файлы с базой. И плевать ему на все защиты. Я уж не говорю про банальные нюки.
Это не настораживает?


 
Нуждающийся в помощи   (2005-01-04 14:02) [11]

В MySQL это реализовано на уровне ядра: там можно права раздавать очень гибко... Одному пользователю можно конектится с одго хоста, но нельзя с другого, а стретьего хоста можно конектится любому пользователю, а с четвертого хоста воще доступ закрыт всем пользователям...
А по поводу слить базы - на машине где будет крутится IB воуще не будет установлена "Служба доступа к файлам и принтерам" - так что слить не получится...
Как в тригере проверять АйПи я воще чего-то не представляю...


 
yaric   (2005-01-04 14:41) [12]

\\Как в тригере проверять АйПи я воще чего-то не представляю...
Если можна поподробнее


 
-SeM-   (2005-01-04 15:25) [13]

KSergey ©   (04.01.05 13:52) [10]

> системную таблицу подключений

Если можна поподробнее


 
KSergey ©   (2005-01-04 16:20) [14]

> [13] -SeM-   (04.01.05 15:25)
> > системную таблицу подключений
> Если можна поподробнее

Стоп, стоп....
Весь бред, что я писал - написан на основе гипотетических представлений как это можно сделать на MS SQL. Как сделать на IB - не представляю, прошу прощения, если спорол глупость, т.е. там это применить нельзя.


 
PEAKTOP ©   (2005-01-04 19:41) [15]


Нуждающийся в помощи   (04.01.05 09:59) [0]
... а фаерволом я защищусь только от "внешних" коннектов...

Кто сказал ?

ИнтерБазу или ЖарПтицу вешаешь на любую тачку в локалке, хоть даже на инет-сервак, хоть на шлюз (благо, ИнтерБаза кроссплатформенная, за что я ее и юзаю), дальше:
1) под виндами ставишь файер (OutPost, Kaspersky Antihacker) и расписываешь полицию, что снаружи к ИнтерБейзу низя, изнутри можно, но только с таких-то хостов и только на такой-то порт.
2) под никсами конфигишь iptables или ipchance в том же стиле откуда-куда что можно.


 
PEAKTOP ©   (2005-01-04 19:49) [16]

...на машине где будет крутится IB воуще не будет установлена "Служба доступа к файлам и принтерам" - так что слить не получится...

Кто сказал ?

а в такой конфигурации ( с Win98 ) вообще о безопасности говорить не следует.

Можно 98-ю отстроить так, что фиг поламаешь, а снаружи она будет светиться как SOLARIS-станция. Ну, повозиться немного придется, пару-тройку "левых" вещичек к ней прикрутить.
Вопрос: а оно тебе надо ? Не проще ли взять нормальную сетевую ОСь для этого ?


 
Anatoly Podgoretsky ©   (2005-01-04 22:39) [17]

Используй файрвол и раздай права пользователям.



Страницы: 1 вся ветка

Текущий архив: 2005.02.06;
Скачать: CL | DM;

Наверх




Память: 0.51 MB
Время: 0.936 c
3-1104919422
P.N.P.
2005-01-05 13:03
2005.02.06
Firebird 1.5 - получить список Alias-ов


1-1106458556
Alex_pv2
2005-01-23 08:35
2005.02.06
hint для Items в ListBox


14-1105957027
Anton++
2005-01-17 13:17
2005.02.06
NAROD.ru


4-1103638913
Grant
2004-12-21 17:21
2005.02.06
Работа приложения


14-1105682879
syte_ser78
2005-01-14 09:07
2005.02.06
Гигантомания и микронезия