Velius 10 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Und wieso sollte ich ein VPN nicht Brutforce können? Nur weils dafür vielleicht keine vorgefertigen Tools gibt, heisst das noch lange nicht, dass es nicht möglich ist! Oder wieviel wärst du bereit zu bezahlen, wenn ich dir ein entsprechendes Tool schreiben würde? Darin bin ich nämlich gut! Weil der Tunnel (Mode 1) nur über Zertifikate aufgebaut wird. Wenn der Rechner nicht mit einem vetrauten Zertifikat daher kommt, dann baut des Ding auch nie einen Tunnel auf. Da müsstest du schon das Zertifikat fälschen, aber mach das mal, ohne die dazugehörende CA zu kennen.... :nene: P.S.: Dazulernen find ich gut.....hauptsache es bleibt was hängen. ;) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 @grizzly999Ich gebe zu, dass ich keine Experte in Computersicherheit bin, Dafür bist du aber ganz schön schnell beim Be(Ver-)urteilen einer ordentlichen Computersicherheit bzw. einem ordentlichen VPN. Daher meine Meinung. Und wieso sollte ich ein VPN nicht Brutforce können? Nur weils dafür vielleicht keine vorgefertigen Tools gibt, heisst das noch lange nicht, dass es nicht möglich ist! Oder wieviel wärst du bereit zu bezahlen, wenn ich dir ein entsprechendes Tool schreiben würde? Darin bin ich nämlich gut! Brauche ich nicht zahlen wollen. Auch wenn es jetzt wieder überheblich klingt, ein VPN mit Zertifikaten und 168-Bit 3DES-Verschlüsselung, glaube mir, da haben sich schon andere dran versucht. ;) Und du willst DAS schaffen. Da würdest du jetzt den Rest deines Lebens auf Hawaii am Strand liegen und deinen Londrink schlürfen, während dir diverse Blackmen mit Palmwedeln Wind zufächeln würden. :cool: Also, denke mal über eine gute VPN-Lösung nach, oder lebe damit, dass jemand versucht, deinen SQL zu hacken, so einfach ist die Welt. Achja, Konto sperren lassen, habe ich mangels Informationen noch nicht drüber nachgedacht, aber ist ja ein toller DoS-Angriff. Bzw. Wir schalten immer dann den Account frei, wenn der Fernzugreifende grade seinen Zugriff braucht, weil sonst ist ja wieder sein Konto gesperrt. Ich verstehe nichts vom Programmieren, aber ein wenig von Sicherheit. Wenn du Sicherheitsratschläge willst, bist du hier richtig, aber nicht wenn du auf dieser Meinunng beharrst: Ich finde ein VPN gefährlicher als ein SQL - Server ;) Viele Grüße und nix für ungut grizzly999 Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 @grizzly999Wie ich schon sagte: Ich bin Programmierer und nicht Administrator. Der SQL - Server läuft momentan als Entwicklungsserver und nicht als Produktionsserver. Ich gebe zu, dass ich keine Experte in Computersicherheit bin, aber das Thema interessiert mich dennoch und ich versuche jeden Tag, etwas weiter über meinen beruflichen Horizont zu sehen. Insbesondere als Entwickler sollte man meiner Meinung nach sehr viel Ahnung von IT Sicherheit und Verschlüsselung etc. haben. Das Thema ist viel zu wichtig als dass man die Verantwortung dafür nur den Infrastruktur Admins überlassen sollte. Aber schön zu hören, dass du bereit bist etwas dazu zu lernen! Du urteilst ja ziemlich schnell! Wenn du mich kennen würdest, währe ich beleidigt... ;) Ehrlichgesagt würde ich zum gleichen Ergebniss kommen wenn ich ein entsprechendes Urteil anhand deiner bisherigen Aussagen hätte treffen sollen. Wenn ich einen Sicherheittest eures Netztes durchführen würde dann wäre ein SQL Server direkt am Netz ein dicker fetter roter Punkt. Also, wenn jemand tatsächlich einen SQL - Server Account knackt, dann hat er Zugriff auf eine Datenbank voller Testdaten... Wenn jemand einen VPN - Account knackt, dann har er Zugriff auf alle internen Dateiserver - Freigaben, auf die Buchhaltung usw... UND auf den SQL - Server! Was ist wohl gefährlicher? Sorry das ist ... Wie schon gesagt sind die Authentisierungsmechanismen eines RAS Zugangs ganz andere als die eines SQL Servers. Zudem kannst du den Zugang von über RAS angemeldeten Usern durchaus sehr restriktive einschränken. Des weiteren hoffe ich doch mal, dass diese Server in einer DMZ stehen (egal ob SQL oder RAS) - denn dort gehört sowas hin. Und wieso sollte ich ein VPN nicht Brutforce können? Nur weils dafür vielleicht keine vorgefertigen Tools gibt, heisst das noch lange nicht, dass es nicht möglich ist! Oder wieviel wärst du bereit zu bezahlen, wenn ich dir ein entsprechendes Tool schreiben würde? Darin bin ich nämlich gut! Du bist nicht wirklich der Meinung, dass du mal so nebenbei eine Implementierung kancken kannst die von allen großen Unternehmen inkl. diverser Finanzdienstleistern als sicher betrachtet werden, oder? Auch vom BSI habe ich nichts anderes gehört... P.S. Wenn ihr in den Entwicklerforen etwas fragen würdet, dann würde ich euch willkommen heissen und euch mit Respekt begegnen und versuchen, euch zu helfen, anstatt euch zu verhöhnen... Wie du an den Antwortzeiten sowie an der Beteiligung an diesem Thread sehen kannst versuchen wir durchaus zu helfen (es gibt wenige Threads in denen zwei Moderatoren ein Expert Member und ein MVP gleichzeitig Antworten). Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Anm: Mit der zugegeben kätzerischen Frage nach den Dienstleistungen wollte ich wissen, ob du für ein Systemhaus arbeitest, das anderen Frimen Security-Lösungen verkauft ;) Programmieren war damit ausgenommen :p grizzly999 Zitieren Link zu diesem Kommentar
Ishildur 10 Geschrieben 12. April 2006 Autor Melden Teilen Geschrieben 12. April 2006 Wie du an den Antwortzeiten sowie an der Beteiligung an diesem Thread sehen kannst versuchen wir durchaus zu helfen (es gibt wenige Threads in denen zwei Moderatoren ein Expert Member und ein MVP gleichzeitig Antworten). Das ist wahr! Aber irgendwie stehe ich auf der Leitung: Wenn wir von Bruteforce sprechen, dann reden wir doch vom durchprobieren von Benutzernamen & Passwortkombinationen und nicht vom knacken eines Verschlüsselungsalgorithmus? Also mit anderen Worten, wenn ein Eindringling den Benutzernamen und das Passwort eines VPN Accounts erraten kann (manuell oder automatisert bzw. Bruteforce), dann finde ich das schlimmer, als wenn er dasselbe mit einem SQL - Account tun kann. Was ich auch nicht verstehe ist, was ein Zertifikat mit Bruteforce zu tun hat? Wir sprechen hier ja nicht von Exploits sondern von Bruteforce... Dafür bist du aber ganz schön schnell beim Be(Ver-)urteilen einer ordentlichen Computersicherheit bzw. einem ordentlichen VPN.Daher meine Meinung. Wenn ich etwas schreibe, dann entspricht dies meiner momentanen Weltauffassung, auf welcher ich unter keinen Umständen beharren will, wenn mich jemand eines Besseren belehren kann... :) Zitieren Link zu diesem Kommentar
Ishildur 10 Geschrieben 12. April 2006 Autor Melden Teilen Geschrieben 12. April 2006 Zudem kannst du den Zugang von über RAS angemeldeten Usern durchaus sehr restriktive einschränken. Genau, und eine meiner ursprünglichen Fragen zielte darauf ab, ob dies mit dem SQL - Server auch möglich sei.... ;) Zitieren Link zu diesem Kommentar
Gulp 256 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Bruteforce bedeutet allgemein das Ausprobieren von passenden Argumenten, egal ob Password/Benutzername, Algorithmus, Passphrase, Key, etc. Also mit anderen Worten, wenn ein Eindringling den Benutzernamen und das Passwort eines VPN Accounts erraten kann (manuell oder automatisert bzw. Bruteforce), dann finde ich das schlimmer, als wenn er dasselbe mit einem SQL - Account tun kann. Was ich auch nicht verstehe ist, was ein Zertifikat mit Bruteforce zu tun hat? Und was, wenn es im Gegensatz zu SQL nur ein Zertifikat und kein Benutzername/Passwort gibt? ;) Grüsse Gulp Zitieren Link zu diesem Kommentar
Ishildur 10 Geschrieben 12. April 2006 Autor Melden Teilen Geschrieben 12. April 2006 Du hast doch die Antwort dazu schon gesagt? Bruteforce bedeutet allgemein das Ausprobieren von passenden Argumenten, egal ob Password/Benutzername, Algorithmus, Passphrase, Key, Zertifikat etc. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Was ich auch nicht verstehe ist, was ein Zertifikat mit Bruteforce zu tun hat? Ganz einfach: Kein Zertifikat, keine brut force attacke! Du kannst höchstens eine DoS Attacke versuchen, damit verursachst du aber höchsten einen Crash, dringst aber nicht in das System ein. Das verstehe ich aber von "brute force". @Gulp IMHO haben alle (sicheren) VPN Lösungen mindestens zwei Authentifizierungs Mechanismen (Zertifikat/Pre-Shared Key & Username/Password), und Zertifikate gehören da im weitesten Sinne dazu. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Und was, wenn es im Gegensatz zu SQL nur ein Zertifikat und kein Benutzername/Passwort gibt? ;) Für sehr hohe Sicherheit dann mit SmartCard. Da ganze kann man sich sogar selber mit Windows-eigenen Mitteln relativ kostengünstig einrichten. RSA (oder andere) Tokens sind ebenfalls eine fast 100%ig sichere Alternative, zig-millionenfach bewährt auch bei Unternehmen mit sehr hohen Sicherheitsansprüchen, kosten aaber ein wenig mehr. Einen SQL-Server mit direktem Zugriff kann man nicht so absichern. Ich muss mich authentifizieren und das ist natürlich mit Bruteforce Mitteln angreifbar. Wie schon gesagt, Kontosperre würde zwar theoretisch helfen, aber dann schaffe ich mir andere Angriffsflächen (DoS-Attacks). Eine weitere Möglichkeit besteht darin, einen Webserver mit entsprechenden Abfragemasken vorzuschalten, so machen das die Meisten. Dort kann ich ebenfalls diverse Authentifizierungen einrichten, von Benutzername\Kennwort bis hin zu Benutzerzertifikaten (RSA weiß ich jetzt nicht). grizzly999 Zitieren Link zu diesem Kommentar
Gulp 256 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 Du hast doch die Antwort dazu schon gesagt? Ach ja .... ich dachte mir schon, dass so eine Antwort kommt. Naja, schönen Lebensabend, lass es Dir gutgehen .... @Velius: Da gehe ich mit Dir absolut konform. :D Grüsse Gulp Zitieren Link zu diesem Kommentar
Lian 2.425 Geschrieben 12. April 2006 Melden Teilen Geschrieben 12. April 2006 @Ishildur: Sorry, aber lese Dich erst ein wenig in das Thema VPN ein, zB hier: http://de.wikipedia.org/wiki/VPN Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.