Entwickler-Ecke
Datenbanken - Sicherheit des Firebird Protokolles
matze - Mo 17.04.06 14:05
Titel: Sicherheit des Firebird Protokolles
Hallo.
Wer kann mir was zu der Sicherheit des TCP/IP Übertragungsprotokolles des Firebrid Servers sagen?
Ist das sicher gegenüber sniffing, also wird der Inhalt oder zumindest das Passwort für die Autorisation in der Datenbank verschlüsselt ?
matze - Mo 17.04.06 19:34
eine dritt software einsetzte wollte ich eigendlich nicht.
also ist das Protokoll nicht so sicher, oder ?
mkinzler - Mo 17.04.06 19:50
Die bisherigen Version m.W. nicht. Zedebedee ist allerdings keine Software für die man sein Programm ändern muß. Lediglich die Zieladresse wird auf einen lokalen Port umgestellt, welcher dann die Verbindung zu dem ent. Zedebedee-Gegenstück verschlüsselt aufbaut.
matze - Mo 17.04.06 20:06
ja aber leider ist das in der speziellen Situation auch nicht so ohne weiteres Möglich.
Wir denn das Passwort zum Server im Klartext übertragen oder wird es denn wenigstens gehasht ?
mkinzler - Mo 17.04.06 20:10
Das müßte man mal mit einem Sniffer (wie z.B. ethereal) testen.
UGrohne - Mo 17.04.06 23:09
Ich hab es mir mal gerade angeschaut. Alle Daten wie Datenbank, Benutzername, Statements und dergleichen werden im Klartext übertragen. Nur das Passwort wird verschlüsselt.
matze - Di 18.04.06 16:31
na das ist doch schomal etwas.
Kannst du mal das Datenpacket aus dem Sniffer hier rein posten, ich würd das gerne mal sehen. Ich selber schaff es leider nicht meinen lokalen Firebird Server mittels etherreal zu monitoren.
UGrohne - Di 18.04.06 16:50
Das connect-Paket sieht folgendermaßen aus:
Quelltext
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
| 0000 00 14 85 3e 20 f4 00 11 d8 70 40 eb 08 00 45 00 ...> ... .p@...E.
0010 00 a8 eb 74 40 00 80 06 8d 6f c0 a8 00 19 c0 a8 ...t@... .o......
0020 00 02 0a c8 0b ea 39 f3 56 c8 61 ac 25 27 50 18 ......9. V.a.%'P.
0030 ff ff 82 06 00 00 00 00 00 01 00 00 00 13 00 00 ........ ........
0040 00 02 00 00 00 1d 00 00 00 25 64 3a 5c 64 61 74 ........ .%d:\dat
0050 61 62 61 73 65 73 5c 66 69 72 65 62 69 72 64 5c abases\f irebird\
0060 61 70 74 75 73 72 76 32 30 30 34 2e 67 64 62 00 aptusrv2 004.gdb.
0070 00 00 00 00 00 02 00 00 00 14 01 07 55 47 52 4f ........ ....UGRO
0080 48 4e 45 04 07 67 72 6f 68 6e 65 33 06 00 00 00 HNE..gro hne3....
0090 00 08 00 00 00 01 00 00 00 02 00 00 00 03 00 00 ........ ........
00a0 00 02 00 00 00 0a 00 00 00 01 00 00 00 02 00 00 ........ ........
00b0 00 03 00 00 00 04 ...... |
Danach gibt es noch ein attach-Paket, das wohl Username und Passwort für die Datenbank enthält.
Quelltext
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
| 0000 00 14 85 3e 20 f4 00 11 d8 70 40 eb 08 00 45 00 ...> ... .p@...E.
0010 00 8c eb 75 40 00 80 06 8d 8a c0 a8 00 19 c0 a8 ...u@... ........
0020 00 02 0a c8 0b ea 39 f3 57 48 61 ac 25 37 50 18 ......9. WHa.%7P.
0030 ff ef 81 ea 00 00 00 00 00 13 00 00 00 00 00 00 ........ ........
0040 00 25 64 3a 5c 64 61 74 61 62 61 73 65 73 5c 66 .%d:\dat abases\f
0050 69 72 65 62 69 72 64 5c 61 70 74 75 73 72 76 32 irebird\ aptusrv2
0060 30 30 34 2e 67 64 62 00 00 00 00 00 00 29 01 1c 004.gdb. .....)..
0070 06 53 59 53 44 42 41 30 09 49 53 4f 38 38 35 39 .SYSDBA0 .ISO8859
0080 5f 31 1e 0b 51 50 33 4c 4d 5a 2f 4d 4a 68 2e 3a _1..QP3L MZ/MJh.:
0090 04 00 00 00 00 3e 00 00 00 00 .....>.. .. |
Danach kommen die üblichen Sachen zwecks Database-Info, SQL-Statements usw.
Was mir dabei gerade aufgefallen ist: Ich hab ziemlich viele TCP-Checksum-Errors, ich glaube, dem muss ich mal nachgehen ;)
Moderiert von 
UGrohne: "quote" durch "code" ersetzt
matze - Di 18.04.06 17:50
danke für die Infos.
Dass das Passwort verschlüsselt ist, reicht mir im Prinzip schon aus.
UGrohne - Mi 19.04.06 07:58
| matze hat folgendes geschrieben: |
danke für die Infos.
Dass das Passwort verschlüsselt ist, reicht mir im Prinzip schon aus. |
Mir auch, hatte das nie ausprobiert. Hatte aber gehört, dass nichts verschlüsselt sein soll. Hier haben wir ja jetzt den Gegenbeweis *g*
matze - Mi 19.04.06 13:22
es wäre zwar im Prinzip schon nett, wenn alles verschlüsselt wäre, aber dadurch, dass das Passwort verschlüsselt ist, verhindert man schon mal das Eindringen durch einen "Mitsniffer".
Aber ich glaube in der Version 2 soll dann der ganze Datenfluss verschlüsselt sein.
UGrohne - Mi 19.04.06 15:53
| matze hat folgendes geschrieben: |
| Aber ich glaube in der Version 2 soll dann der ganze Datenfluss verschlüsselt sein. |
Hab eben mal in der Roadmap nachgeschaut, konnte dort aber nur den Punkt "Database Encryption" für die Nachfolgegenerationen der Version 3.0 finden, sonst leider nichts.
Nur im Security Diary steht noch etwas für Protokollverschlüsselung, aber anscheinend erst für die Version 3.0. Bis zur 2.0 soll das Ganze noch abwärtskompatibel bleiben.
matze - Mi 19.04.06 16:42
dann hab ich mich wohl verlesen. Schade.
Naja aber auch im Moment noch egal :-)
Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2025 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!