MS SQL 2005 beveiliging advies - Softwareontwikkeling

donderdag 3 augustus 2006 11:21

Acties:

Verwijderd

Topicstarter

Beste mensen,

Ik ben nieuw met ms sql. Ik gebruik een ms sql 2005 Workgroup server die rechtstreeks zonder firewall aan het internet hang in een datacenter. De browse mode staat aan.

Ik gebruik een applicatie die via een connectionsstring verbinding maakt via het internet (TCP IP). Ik vindt dit niet zo'n fijne gedachte dat iedereen de sql server kan zien en eventueel de connectionstring kan uitlezen.

Kunnen Julie me adviseren wat ik kan doen om.
1. de browse mode uit te zetten en toch verbinding kan maken met de server van een willekeurige locatie.
2. Connectionstring versleutel zodat de gegevens niet door derde kunnen worden gelezen doormiddel van netwerk sniffers.

donderdag 3 augustus 2006 11:25

Acties:

StevenK

Eerste vraag die bij mij op komt: waarom moet die server direct aan internet hangen ? Kan er niet een http(s)-based layer tussen gelegd worden ? Of een VPN ?

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

donderdag 3 augustus 2006 11:28

Acties:

P_de_B

Met Steven. Normaal gesproken maak je een webapplicatie (of bijv. een webservice) die de een verbinding met de database maakt

[internet]----[applicatie]----[databaseserver]

Oops! Google Chrome could not find www.rijks%20museum.nl

donderdag 3 augustus 2006 11:33

Acties:

wboevink

Begin eens met het lezen van de meegelverde help files

Modbreak:Hmm,.... misschien is het leuker om te beginnen met daadwerkelijk helpende en inhoudelijke replies, ipv met vingertjes te wijzen. Dat laatste laat je trouwens beter over aan de moderators.

[ Voor 65% gewijzigd door whoami op 03-08-2006 11:53 ]

donderdag 3 augustus 2006 11:41

Acties:

axis

Verwijderd schreef op donderdag 03 augustus 2006 @ 11:21:
Beste mensen,

Ik ben nieuw met ms sql. Ik gebruik een ms sql 2005 Workgroup server die rechtstreeks zonder firewall aan het internet hang in een datacenter. De browse mode staat aan.

Zonder firewall is opzich misschien niet zo slim, in deze scenario's kun je op z'n minst een packet filter aanzetten (google even, je kunt beter niet de windows firewall gebruiken, maar de ipsec filters als packet filter, dat is het meest gangbare)

Ik gebruik een applicatie die via een connectionsstring verbinding maakt via het internet (TCP IP). Ik vindt dit niet zo'n fijne gedachte dat iedereen de sql server kan zien en eventueel de connectionstring kan uitlezen.

Je hebt je applicatie thuis en je MSSQL doos op het internet dus? Je kunt op je MSSQL server alleen traffic toestaan vanaf je thuis ip-adres met ipsec filtering..

2. Connectionstring versleutel zodat de gegevens niet door derde kunnen worden gelezen doormiddel van netwerk sniffers.

Lastig, je zou een certificaat op je doos kunnen zetten, google eens op MSSQL encryption.

Daarnaast is het veiliger om windows integrated authentication te doen dan sql authentication, omdat dus je sql credentials niet plain-text over de lijn gaan..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

donderdag 3 augustus 2006 11:51

Acties:

Verwijderd

Topicstarter

Dat zijn gemakkelijke antwoorden "Begin eens met het lezen van de meegelverde help files".

Ik verschillende boeken gelezen maar hier staat niets in hoe ik dit probleem kan oplossen. Als ik een webservice maak kan iedereen er gebruik van maken. Of ik moet het beveiligen met een login. Maar deze login wordt weer open en bloot via internet verstuurd. Dus dat is volgens mij ook geen optie. Ik kan nergens een goed antwoord vinden hoe een connectionstring over een netwerk wordt verstuurd en hoe het wordt versleuteld. (als het wordt versleuteld)

Het zijn twee applicatie die één centrale database gebruiken (datacenter)

Een applicatie wordt lokaal geïnstalleerd (laptop). De twee applicatie is een webbased applicatie die de database ook gebruikt.

------ file server
Applicatie --- internet ---- database

Internet --- webapplicatie ---- database

donderdag 3 augustus 2006 11:53

Acties:

Gé Brander

MS SQL Server

Webservice laten draaien onder windows account, het windows account toegang geven tot de database server, de webservice gebruik laten maken van windows authenticatie...

gebruik maken van een alias of dsn en de applicatie daar naar laten verwijzen in plaats van gebruik maken van een harde connectiestring in de applicatie.

Gebruik niet de default port voor SQL Server.

Gebruik de browser service niet.

[ Voor 42% gewijzigd door Gé Brander op 03-08-2006 12:00 ]

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

donderdag 3 augustus 2006 11:56

Acties:

wboevink

wboevink schreef op donderdag 03 augustus 2006 @ 11:33:
Begin eens met het lezen van de meegelverde help files
[modbreak]Hmm,.... misschien is het leuker om te beginnen met daadwerkelijk helpende en inhoudelijke replies, ipv met vingertjes te wijzen. Dat laatste laat je trouwens beter over aan de moderators.[/]

Misschien inderdaad een beetje kort door de bocht......mischien.

Using SQL Server Browser
If the SQL Server Browser service is not running, you are still able to connect to SQL Server if you provide the correct port number or named pipe. For instance, you can connect to the default instance of SQL Server with TCP/IP if it is running on port 1433.

De browser service kun je dus zonder risico uitzetten zolang je het ip nummer (en port) maar weet.

Op welk OS draait de SQL?

donderdag 3 augustus 2006 12:05

Acties:

Verwijderd

Topicstarter

wboevink schreef op donderdag 03 augustus 2006 @ 11:56:
Op welk OS draait de SQL?

Windows 2003 standaard server

donderdag 3 augustus 2006 12:09

Acties:

wboevink

Verwijderd schreef op donderdag 03 augustus 2006 @ 12:05:
[...]
Windows 2003 standaard server

Als het goed is draait daar de Windows Firewall op toch?
Dan zou je port 1433 alleen kunnen openzetten voor jouw ip adres, of draait de applicatie op meerder plekken?

Een stukje over encrypted connections:

http://msdn2.microsoft.com/en-us/library/ms191192.aspx

Heb je de webservice zelf geschreven in >net of iets dergelijks?

Je login informatie gaat volgens mij niet in clear text over het internet.

Je kunt ook overwegen om SQL op een andere port te laten draaien, dan maak je het al iets lastiger.

[ Voor 15% gewijzigd door wboevink op 03-08-2006 12:21 ]

donderdag 3 augustus 2006 12:39

Acties:

Verwijderd

Topicstarter

Als eerste bedank voor jullie interesse in dit onderwerp.

wboevink schreef op donderdag 03 augustus 2006 @ 12:09:
Als het goed is draait daar de Windows Firewall op toch?
Dan zou je port 1433 alleen kunnen openzetten voor jouw ip adres, of draait de applicatie op meerder plekken?
.

Ik Windows firewall aanstaan. De applicatie moet van verschillende plekken kunnen werken.

Heb je de webservice zelf geschreven in >net of iets dergelijks?
.

Ik heb nog geen webservice geschreven maar als ik het zou schrijven dan .net 2.0

Wat zouden jullie me aanraden voor deze server te beveiligen
1. browse mode uit.
2. Onnodige poorten blokkeren
3. ???...

donderdag 3 augustus 2006 13:01

Acties:

The - DDD

Klinkt als een situatie waarin je VPN of SSH achtigs wilt gebruiken. Dan onthul je in ieder geval al niet meer dat er een SQL server direct online staat. Ik zou zeggen, gebruik SSH, maar een recente SSH aan de gang krijgen op een windows machine is best wat gedoe.

Edit: gewoon SSL moet je hebben

Wel oude zooi, maar het geeft een idee.
bron: http://www.microsoft.com/...ts/trans/sql/sql0723.mspx

Q: Are there any documented procedures for installing SSL on SQL Server? If so, where are they?

A: Yes: 324777 Support WebCast: Microsoft SQL Server 2000: How to Configure SSL Support WebCast: Microsoft SQL Server 2000: How to Configure SSL Encryption

276553 HOW TO: Enable SSL Encryption for SQL Server 2000 with Certificate Server How to enable SSL encryption for SQL Server 2000 if you have a valid Certificate Server

316898 HOW TO: Enable SSL Encryption for SQL Server 2000 with Microsoft

[ Voor 54% gewijzigd door The - DDD op 03-08-2006 13:07 ]

donderdag 3 augustus 2006 13:13

Acties:

charlie

?*?

Ik zit met hetzelfde probleem. Gebruikers hebben dynamische ip adressen. Draai SQL op niet-standaard poort, helpt al heel wat. Ga later nog eens met SSL spelen.

donderdag 3 augustus 2006 14:36

Acties:

axis

Verwijderd schreef op donderdag 03 augustus 2006 @ 12:39:
Als eerste bedank voor jullie interesse in dit onderwerp.
[...]

Ik Windows firewall aanstaan. De applicatie moet van verschillende plekken kunnen werken.

Jij mijn post gelezen? Windows Firewall is niet the way to go in hostingland.. ipsec filters

Het probleem dat jij aankaart zie ik al 5 jaar in elk developerforum langskomen, in nieuwsgroepen, etc.. Zoek eens wat op google op security connectionstring ofzo.. Tutorials op 4guysfromrolla, etc.. Hier, 1,6 miljoen results.. Niet dat ik je met een kluitje het riet in wil sturen, maar je zult gewoon eerst jezelf wat in moeten lezen in de materie, dan kun je gerichter vragen stellen dan hier maar te wachten tot 5 betweters (zoals ikzelf) je te moeilijke antwoorden geven..

Er zijn ook genoeg simpele tutorials die verschillende opties goed uitleggen..

[ Voor 3% gewijzigd door axis op 03-08-2006 14:36 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

donderdag 3 augustus 2006 21:48

Acties:

wizzkizz

smile...tomorrow will be worse

Je kunt je connectie(string) ook beveiligen dmv sTunnel, dat is redelijk eenvoudig op te zetten.
Je kunt ook overwegen om vanaf die laptop een SSH sessie te starten. Installeer openSSH op die server en laat je connecties via een SSH tunnel lopen, scheelt ook al.

Make it idiot proof and someone will make a better idiot.
Real programmers don't document. If it was hard to write, it should be hard to understand.