/u/53159/Isabelleicon6060.JPG?f=community)
Ik heb een MySQL server draaien en die moet voor thuiswerkers beschikbaar zijn.
Naast alle andere beveiligingsmaatregelen die ik reeds genomen heb wil ik er nog 1 nemen, het randomizen/encrypten van de handshake en misschien de hele tcp/ip communicatie tussen server en clients ecnrypten. (of iets wat ervoor doorgaat).
Niet dat ik bang ben om 'afgeluisterd' te worden maar omdat ik niet wil dat de handhake prompt van de MySQL server verraad welke versie van de MySQL server achter het openstaande poortje hangt.
Als ik nu bijv. in cmd prompt dit doe:
(5678 = poort waarop ik de server naar de buitenwereld open heb staan)
Dan komt er als antwoord een handshake te staan, ziet er ongeveer zo uit:
En uit die 2e regel kan de hele f*ckin' wereld opmaken wat voor server erachter hangt en daar hou ik niet van. Om dus potentiele inbraak pogingen te voorkomen wil ik dat deze regel niet of anders word weergegeven.
Met 'anders' doel ik dan op encryptie (zoals bij een DSM plugin van UltraVNC) of een 'bedachte' (randomize ?) versie van MySQL, zodat de bezoeker om de tuin word geleid. (zoals volgens mij ook bij Apache webservers kan worden gedaan).
Ik ben me ervan bewust dat de clients er wellicht voor aangepast moeten worden, dat is geen probleem. De software is in eigen huis geschreven.
Voordat ik allerlei andere handige tips krijg op het gebied van beveiliging:
Alle users die toegang tot deze server hebben zijn beperkt op het inloggen vanaf vooraf ingestelde IP nummers.
root kan alleen op localhost inloggen.
De router heeft de poort via NAT openstaan naar buiten toe en ondersteund NIET dat deze poort alleen voor bepaalde IP nummers toegankelijk zijn, hij staat dus open voor de hele wereld.
Maar ik vind dit niet veilig genoeg, ik haat het als iedereen maar kan zien wat er achter een luisterend poortje schuilgaat. In mijn geval en 4.1.14 MySQL servertje.
Effe de specs voor het geval dat nodig is:
MySQL Server 4.1.14 op een W2K pro machine met voldoende geheugen en diskspace.
Iemand een tip die mij de goede richting uitstuurd?
Naast alle andere beveiligingsmaatregelen die ik reeds genomen heb wil ik er nog 1 nemen, het randomizen/encrypten van de handshake en misschien de hele tcp/ip communicatie tussen server en clients ecnrypten. (of iets wat ervoor doorgaat).
Niet dat ik bang ben om 'afgeluisterd' te worden maar omdat ik niet wil dat de handhake prompt van de MySQL server verraad welke versie van de MySQL server achter het openstaande poortje hangt.
Als ik nu bijv. in cmd prompt dit doe:
code:
1
| telnet 86.86.XXX.XX 5678 |
(5678 = poort waarop ik de server naar de buitenwereld open heb staan)
Dan komt er als antwoord een handshake te staan, ziet er ongeveer zo uit:
Dit is de handshake die de MySQL server terug geeft.7
4.1.15-ntmRNoc.....<knip>
En uit die 2e regel kan de hele f*ckin' wereld opmaken wat voor server erachter hangt en daar hou ik niet van. Om dus potentiele inbraak pogingen te voorkomen wil ik dat deze regel niet of anders word weergegeven.
Met 'anders' doel ik dan op encryptie (zoals bij een DSM plugin van UltraVNC) of een 'bedachte' (randomize ?) versie van MySQL, zodat de bezoeker om de tuin word geleid. (zoals volgens mij ook bij Apache webservers kan worden gedaan).
Ik ben me ervan bewust dat de clients er wellicht voor aangepast moeten worden, dat is geen probleem. De software is in eigen huis geschreven.
Voordat ik allerlei andere handige tips krijg op het gebied van beveiliging:
Alle users die toegang tot deze server hebben zijn beperkt op het inloggen vanaf vooraf ingestelde IP nummers.
root kan alleen op localhost inloggen.
De router heeft de poort via NAT openstaan naar buiten toe en ondersteund NIET dat deze poort alleen voor bepaalde IP nummers toegankelijk zijn, hij staat dus open voor de hele wereld.
Maar ik vind dit niet veilig genoeg, ik haat het als iedereen maar kan zien wat er achter een luisterend poortje schuilgaat. In mijn geval en 4.1.14 MySQL servertje.
Effe de specs voor het geval dat nodig is:
MySQL Server 4.1.14 op een W2K pro machine met voldoende geheugen en diskspace.
Iemand een tip die mij de goede richting uitstuurd?
Alles kan stuk.
/u/16790/dirkjan-got.JPG?f=community)
