| Autor |
Beitrag |
matze
  
Beiträge: 4613
Erhaltene Danke: 24
XP home, prof
Delphi 2009 Prof,
|
Verfasst: Mo 17.04.06 14:05
Hallo.
Wer kann mir was zu der Sicherheit des TCP/IP Übertragungsprotokolles des Firebrid Servers sagen?
Ist das sicher gegenüber sniffing, also wird der Inhalt oder zumindest das Passwort für die Autorisation in der Datenbank verschlüsselt ?
_________________ In the beginning was the word.
And the word was content-type: text/plain.
|
|
mkinzler
Beiträge: 4106
Erhaltene Danke: 13
Delphi 2010 Pro; Delphi.Prism 2011 pro
|
Verfasst: Mo 17.04.06 18:05
Für diesen Zerck würde ich dir zum Einsatz von Zedebee raten. hat den Vorteil, das der Datenverkehr auch nocht komprimiert wird.
Siehe hierzu auch www.faw.uni-linz.ac....ird_ADV_28042004.pdf und www.rrze.uni-erlange...q/firebird-faq.shtml_________________ Markus Kinzler.
|
|
matze 
Beiträge: 4613
Erhaltene Danke: 24
XP home, prof
Delphi 2009 Prof,
|
Verfasst: Mo 17.04.06 19:34
eine dritt software einsetzte wollte ich eigendlich nicht.
also ist das Protokoll nicht so sicher, oder ?
_________________ In the beginning was the word.
And the word was content-type: text/plain.
|
|
mkinzler
Beiträge: 4106
Erhaltene Danke: 13
Delphi 2010 Pro; Delphi.Prism 2011 pro
|
Verfasst: Mo 17.04.06 19:50
Die bisherigen Version m.W. nicht. Zedebedee ist allerdings keine Software für die man sein Programm ändern muß. Lediglich die Zieladresse wird auf einen lokalen Port umgestellt, welcher dann die Verbindung zu dem ent. Zedebedee-Gegenstück verschlüsselt aufbaut.
_________________ Markus Kinzler.
|
|
matze
Beiträge: 4613
Erhaltene Danke: 24
XP home, prof
Delphi 2009 Prof,
|
Verfasst: Mo 17.04.06 20:06
ja aber leider ist das in der speziellen Situation auch nicht so ohne weiteres Möglich.
Wir denn das Passwort zum Server im Klartext übertragen oder wird es denn wenigstens gehasht ?
_________________ In the beginning was the word.
And the word was content-type: text/plain.
|
|
mkinzler
Beiträge: 4106
Erhaltene Danke: 13
Delphi 2010 Pro; Delphi.Prism 2011 pro
|
Verfasst: Mo 17.04.06 20:10
Das müßte man mal mit einem Sniffer (wie z.B. ethereal) testen.
_________________ Markus Kinzler.
|
|
UGrohne
Beiträge: 5502
Erhaltene Danke: 220
Windows 8 , Server 2012
D7 Pro, VS.NET 2012 (C#)
|
Verfasst: Mo 17.04.06 23:09
Ich hab es mir mal gerade angeschaut. Alle Daten wie Datenbank, Benutzername, Statements und dergleichen werden im Klartext übertragen. Nur das Passwort wird verschlüsselt.
|
|
matze
Beiträge: 4613
Erhaltene Danke: 24
XP home, prof
Delphi 2009 Prof,
|
Verfasst: Di 18.04.06 16:31
na das ist doch schomal etwas.
Kannst du mal das Datenpacket aus dem Sniffer hier rein posten, ich würd das gerne mal sehen. Ich selber schaff es leider nicht meinen lokalen Firebird Server mittels etherreal zu monitoren.
_________________ In the beginning was the word.
And the word was content-type: text/plain.
|
|
UGrohne
Beiträge: 5502
Erhaltene Danke: 220
Windows 8 , Server 2012
D7 Pro, VS.NET 2012 (C#)
|
Verfasst: Di 18.04.06 16:50
Das connect-Paket sieht folgendermaßen aus:
  Quelltext
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
| 0000 00 14 85 3e 20 f4 00 11 d8 70 40 eb 08 00 45 00 ...> ... .p@...E.
0010 00 a8 eb 74 40 00 80 06 8d 6f c0 a8 00 19 c0 a8 ...t@... .o......
0020 00 02 0a c8 0b ea 39 f3 56 c8 61 ac 25 27 50 18 ......9. V.a.%'P.
0030 ff ff 82 06 00 00 00 00 00 01 00 00 00 13 00 00 ........ ........
0040 00 02 00 00 00 1d 00 00 00 25 64 3a 5c 64 61 74 ........ .%d:\dat
0050 61 62 61 73 65 73 5c 66 69 72 65 62 69 72 64 5c abases\f irebird\
0060 61 70 74 75 73 72 76 32 30 30 34 2e 67 64 62 00 aptusrv2 004.gdb.
0070 00 00 00 00 00 02 00 00 00 14 01 07 55 47 52 4f ........ ....UGRO
0080 48 4e 45 04 07 67 72 6f 68 6e 65 33 06 00 00 00 HNE..gro hne3....
0090 00 08 00 00 00 01 00 00 00 02 00 00 00 03 00 00 ........ ........
00a0 00 02 00 00 00 0a 00 00 00 01 00 00 00 02 00 00 ........ ........
00b0 00 03 00 00 00 04 ...... |
Danach gibt es noch ein attach-Paket, das wohl Username und Passwort für die Datenbank enthält.
Quelltext
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
| 0000 00 14 85 3e 20 f4 00 11 d8 70 40 eb 08 00 45 00 ...> ... .p@...E.
0010 00 8c eb 75 40 00 80 06 8d 8a c0 a8 00 19 c0 a8 ...u@... ........
0020 00 02 0a c8 0b ea 39 f3 57 48 61 ac 25 37 50 18 ......9. WHa.%7P.
0030 ff ef 81 ea 00 00 00 00 00 13 00 00 00 00 00 00 ........ ........
0040 00 25 64 3a 5c 64 61 74 61 62 61 73 65 73 5c 66 .%d:\dat abases\f
0050 69 72 65 62 69 72 64 5c 61 70 74 75 73 72 76 32 irebird\ aptusrv2
0060 30 30 34 2e 67 64 62 00 00 00 00 00 00 29 01 1c 004.gdb. .....)..
0070 06 53 59 53 44 42 41 30 09 49 53 4f 38 38 35 39 .SYSDBA0 .ISO8859
0080 5f 31 1e 0b 51 50 33 4c 4d 5a 2f 4d 4a 68 2e 3a _1..QP3L MZ/MJh.:
0090 04 00 00 00 00 3e 00 00 00 00 .....>.. .. |
Danach kommen die üblichen Sachen zwecks Database-Info, SQL-Statements usw.
Was mir dabei gerade aufgefallen ist: Ich hab ziemlich viele TCP-Checksum-Errors, ich glaube, dem muss ich mal nachgehen 
Moderiert von  UGrohne: "quote" durch "code" ersetzt
|
|
matze
Beiträge: 4613
Erhaltene Danke: 24
XP home, prof
Delphi 2009 Prof,
|
Verfasst: Di 18.04.06 17:50
danke für die Infos.
Dass das Passwort verschlüsselt ist, reicht mir im Prinzip schon aus.
_________________ In the beginning was the word.
And the word was content-type: text/plain.
|
|
UGrohne
Beiträge: 5502
Erhaltene Danke: 220
Windows 8 , Server 2012
D7 Pro, VS.NET 2012 (C#)
|
Verfasst: Mi 19.04.06 07:58
| matze hat folgendes geschrieben: | danke für die Infos.
Dass das Passwort verschlüsselt ist, reicht mir im Prinzip schon aus. |
Mir auch, hatte das nie ausprobiert. Hatte aber gehört, dass nichts verschlüsselt sein soll. Hier haben wir ja jetzt den Gegenbeweis *g*
|
|
matze
Beiträge: 4613
Erhaltene Danke: 24
XP home, prof
Delphi 2009 Prof,
|
Verfasst: Mi 19.04.06 13:22
es wäre zwar im Prinzip schon nett, wenn alles verschlüsselt wäre, aber dadurch, dass das Passwort verschlüsselt ist, verhindert man schon mal das Eindringen durch einen "Mitsniffer".
Aber ich glaube in der Version 2 soll dann der ganze Datenfluss verschlüsselt sein.
_________________ In the beginning was the word.
And the word was content-type: text/plain.
|
|
UGrohne
Beiträge: 5502
Erhaltene Danke: 220
Windows 8 , Server 2012
D7 Pro, VS.NET 2012 (C#)
|
Verfasst: Mi 19.04.06 15:53
| matze hat folgendes geschrieben: | | Aber ich glaube in der Version 2 soll dann der ganze Datenfluss verschlüsselt sein. |
Hab eben mal in der Roadmap nachgeschaut, konnte dort aber nur den Punkt "Database Encryption" für die Nachfolgegenerationen der Version 3.0 finden, sonst leider nichts.
Nur im Security Diary steht noch etwas für Protokollverschlüsselung, aber anscheinend erst für die Version 3.0. Bis zur 2.0 soll das Ganze noch abwärtskompatibel bleiben.
|
|
matze
Beiträge: 4613
Erhaltene Danke: 24
XP home, prof
Delphi 2009 Prof,
|
Verfasst: Mi 19.04.06 16:42
dann hab ich mich wohl verlesen. Schade.
Naja aber auch im Moment noch egal  _________________ In the beginning was the word.
And the word was content-type: text/plain.
|
|
