Mit Wireshark den Netzwerktraffic mitgeschnitten...

Oha!


Ich hatte mich auf diesen Artikel "verlassen":


Password hashes used in Firebird 1.5


Es scheint also einen Weg zu geben (oder in 1.5 gegeben zu haben?), Passwort-Hashes statt Klartext zu verwenden.

Auf dieser Seite - Details of the Security Changes in Firebird 2.0 - werden für Firebird 1.5 clientseitig erzeugte Passwort Hashes erwäht - aber auch eine Änderung in 2.0, nach der die Hashes serverseitig (!) erzeugt werden. Nun klingt "serverseitige Hash-Erzeugung" wirklich so, als ob der Client dem Server ein Klartext-Passwort schickt und der Server es hasht (und den Hash in der security2.fdb speichert).

Damit wäre Firebird für Einsatz über unsichere Verbindungen (ohne VPN) eigentlich unbrauchbar...

p.s. auch innerhalb VPN besteht natürlich das gleiche Problem, sicher ist das Passwort nur zwischen den Netzen, denn beim VPN-Partner dann ist es es wieder unverschlüsselt.

Aprospos,
ich hatte überlegt über ein VPN (per OpenVPN)
zu verbinden.
Hat da jemand Erfahrungen? Wie siehts mit der Geschwindigkeit aus?

Unser Server (IPFire) wird von 3 Standorten angesprochen und hat
eine funktionierende VPN, die ich allerdings noch nicht eingesetzt habe.
Der Firebird steht in der grünen Zone und versorgt die Standorte mit Logdaten.
Das wäre ein Plus wenn dies auch noch über VPN geschehen würde.

Die Verbindungsdaten würde sonst ja auch unverschlüsselt übertragen
und alle anderen im grünen Netz könnten mitlauschen.
Kennt sich jemand damit aus?

Bei einem VPN brauchst du nichts wirklich "benutzen".

Das entfernte Netz ist unter einem bestimmten IP-Bereich ansprechbar und dort sollte auch dein Server zu finden sein. Aso einfach nur die IP Adresse angeben und schon läuft alles via VPN.

Bei geschickter (VPN-)Konfiguration sind alle Geräte durch ihre lokale IP Adresse von allen Standorten erreichbar.

EDIT

Oder verbinden sich die Standorte noch nicht über VPN?

Der jeweilige Client nutzt dann die
OpenVPN Software zum verbinden.
Mit der Konfig des IPFire und dessen
VPN muss ich mich erst beschäftigen.
Das geht erst wieder morgen
Mit diesem übersetzen auf die interne IP das
habe ich schon irgendwo gesehen.

Was ich mich grad frage, was in den Firebird
verbindungsdaten eingegeben werden muss.
Dieses Thema ist für mich völlig neu.

Denn was nützt die programminter Verschlüsselung
der Firebirddaten wenn's dann unverschlüsselt über
das Netz geht...

In einem Firmenumfeld würde ich immer für die Anbindung von Standorten Router benutzen, die eine Verbindung per VPN zur Zentrale herstellen.

Das ist von der Wartung und Handhabung ungemein simpler und sicherer zudem (VPN Zugangsdaten liegen auf dem Router und nicht auf den Clients).

Die tatsächlichen Anwendungsserver würde ich auch immer vom VPN Handling trennen.
Denn für VPN brauche ich ja auch zunächst einen unverschlüsselten Zugang.

Somit besteht die Gefahr der Kompromittierung und das möchte ich auf dem Server mit den Daten möglichst gering halten.

p.s. auch innerhalb des gesamten VPN besteht natürlich das gleiche Problem, sicher ist das Passwort nur zwischen den Netzen, denn beim VPN-Partner ist es es wieder unverschlüsselt.

Das ist aber weniger kritisch, denn man ist ja unter sich

Sicher, aber man hat die Wahl ob
ich Netz-zu-Netz, Client-zu-Netz oder
Client-zu-Client tunnele. Soweit meine Infos reichen.
Wie gesagt ich steh noch am Anfang mit diesem Thema.
Aber ich könnte den Firebird direkt ansprechen ohne dass dieser
im restlichen Netz mitgelauscht wird.
Obendrein ermöglicht der IPFire 4 Netze im LAN
so kann ein Server ein eigenes Netz haben (DMZ).

Aber zum Thema zurück.
Wenn ich nun die Verbindungsdaten, die ich in einer verschlüsselten
Datei stehen habe, von der Anwendung in ein Stream geladen werden
und dort entschlüsselt werden, können diese dann auch noch ausgelesen werden (Debugger)?
Im Schema ca. so
so ungefähr vllt. sieht etwas wirr aus.