Hackovani a praktiky moznosti osetreni

Kamil Hurajt

(8 hodnocení)

16. 9. 2012 13:49:47

Dobry den.

Dneska jsem jen tak premyslel o ruznych praktikach hacku.

Napadla me jedna otazka.

SSH, MySQL atd.

Mate nekdo skusenosti nebo vite neco o tom zdali je mozne odchytit heslo od MySQL priklad:

Mate 2 servery, 1 db, a webovy, pokud se na db server pripajite vzdalene je mozne ze Vam nekdo bude poslouchat na danem protokolu a odchyti heslo ? Stejna otazka me zajima u SSH ..

A pokud ano , jak by jste to osetrovali , krom pristupu pouze na IP a HTTPS protokolu .

Zajimaji me Vase nazory a skusenosti co se ochrany tehle zalezitosti tyce.

Dekuji.

16. 9. 2012 13:49:47

https://webtrh.cz/diskuse/hackovani-a-praktiky-moznosti-osetreni/#reply808583

P-ierre

(43 hodnocení)

16. 9. 2012 14:01:59

Kromě přístupu pouze na IP to jde ošetřit třeba šifrováním komunikace. Klidně standardní SSL.

U SSH nelze odchytit plaintextově zadávané heslo - už podle názvu (secure shell) je vidět, že tam nějaké šifrování komunikace probíhá a tím pádem se ani to heslo nikdy neposílá v plaintextu.

Když už jsi ale zmínil MySQL... Nedávno jsem viděl jeden web, který měl sice zabezpečný přístup přímo do databáze, na server, atd... Ale na serveru mu běžel phpMyAdmin, který dovolil tisíce pokusů o přihlášení... Takže spíš než takovéhle pokročilé záležitosti, ověř si, jestli máš zabezpečené uživatelské vstupy proti injection, XSS, co se stane když si někdo nastaví session ID hlavního administrátora, který bude zrovna přihlášený, ... prostě věci, které se dějou častěji než odchytávání komunikace mezi dvěma servery.

16. 9. 2012 14:01:59

https://webtrh.cz/diskuse/hackovani-a-praktiky-moznosti-osetreni/#reply808582

Kamil Hurajt

(8 hodnocení)

16. 9. 2012 14:06:02

Napsal P-ierre;844881
Kromě přístupu pouze na IP to jde ošetřit třeba šifrováním komunikace. Klidně standardní SSL.
U SSH nelze odchytit plaintextově zadávané heslo - už podle názvu (secure shell) je vidět, že tam nějaké šifrování komunikace probíhá a tím pádem se ani to heslo nikdy neposílá v plaintextu.
Když už jsi ale zmínil MySQL... Nedávno jsem viděl jeden web, který měl sice zabezpečný přístup přímo do databáze, na server, atd... Ale na serveru mu běžel phpMyAdmin, který dovolil tisíce pokusů o přihlášení... Takže spíš než takovéhle pokročilé záležitosti, ověř si, jestli máš zabezpečené uživatelské vstupy proti injection, XSS, co se stane když si někdo nastaví session ID hlavního administrátora, který bude zrovna přihlášený, ... prostě věci, které se dějou častěji než odchytávání komunikace mezi dvěma servery.

Ano tomu vsemu rozumim a take o tom vim. Spise me zajimaly Vase nazory a skusenosti zdali si myslite ze je mozne odchytit komunikaci hlavne pripojeni k MySQL , SSH bych se ani nebal ale spise me zaujala myslenka kde se nekdo snazil odchytit MySQL heslo na danem protokolu pripojeni.

16. 9. 2012 14:06:02

https://webtrh.cz/diskuse/hackovani-a-praktiky-moznosti-osetreni/#reply808581

P-ierre

(43 hodnocení)

16. 9. 2012 14:09:35

spise me zaujala myslenka kde se nekdo snazil odchytit MySQL heslo na danem protokolu pripojeni.

Útočník by musel poslouchat na stejné síti, jako jsou servery. V běžné praxi celkem nepravděpodobné.

A samozřejmě tu pravděpodobnost útoku můžeš snížit ještě přímo nějakým natem pro servery, kde se nastaví, že dovnitř a ven můžou jen data na portech http a https (nebo prostě je potřeba). A to omezení na IP adresy - na databázový server se může připojit jen IP adresa webserveru (v rámci NATu - takže třeba 192.168.1.1).

16. 9. 2012 14:09:35

https://webtrh.cz/diskuse/hackovani-a-praktiky-moznosti-osetreni/#reply808580

Kamil Hurajt

(8 hodnocení)

16. 9. 2012 14:10:48

Napsal P-ierre;844883
Útočník by musel poslouchat na stejné síti, jako jsou servery. V běžné praxi celkem nepravděpodobné.

Co kdyz mate server s MySQL v jinem datovem centru nez web a pripajite se k nemu pomoci verejne IP.

16. 9. 2012 14:10:48

https://webtrh.cz/diskuse/hackovani-a-praktiky-moznosti-osetreni/#reply808579

P-ierre

(43 hodnocení)

16. 9. 2012 14:13:59

Jo takhle. No jestli pro to je speciální důvod, tak prosím... Ale jestli pro to důvod nemáš, nedělal bych to tak.

V tu chvíli určitě omezení na konkrétní IP adresu webserveru a komunikace přes SSL.

16. 9. 2012 14:13:59

https://webtrh.cz/diskuse/hackovani-a-praktiky-moznosti-osetreni/#reply808578

Kamil Hurajt

(8 hodnocení)

16. 9. 2012 14:18:09

Napsal P-ierre;844886
Jo takhle. No jestli pro to je speciální důvod, tak prosím... Ale jestli pro to důvod nemáš, nedělal bych to tak.
V tu chvíli určitě omezení na konkrétní IP adresu webserveru a komunikace přes SSL.

V to duvod konkretni neni ale muze se jednat napriklad o cloudove reseni. A serverove struktury rozdelene dle lokace, takze napr pro Ameriku to miri do datoveho centra v americe pro evropu do datoveho centra v evrope no a problem napriklad nastane tehdy, kdy dynamicky vytvarite servery, kde Vam neni znamo jakou IP adresu dany server mit bude. A potrebujete mit vsechny servery napojene na servery MySQL ktere jsou take rozmisteny na vice serverech v cloudu.

Co by jste delal v tuto chvili ?

16. 9. 2012 14:18:09

https://webtrh.cz/diskuse/hackovani-a-praktiky-moznosti-osetreni/#reply808577

P-ierre

(43 hodnocení)

16. 9. 2012 14:27:33

Jestli se jedná o cloudové řešení, tak by se o zabezpečení měl starat poskytovatel cloudu. Pokud jste uživatel, poskytovatel by vám měl zajistit zabezpečení. Jestli jste poskytovatel, tak to je trochu špatné, že se ptáte na veřejném fóru, když byste měl mít zkušenosti ze školení (a následně z praxe).

V tu chvíli teda odpadá možnost zamezení přístupu na konkrétní IP adresy a zůstává alespoň to šifrování.

16. 9. 2012 14:27:33

https://webtrh.cz/diskuse/hackovani-a-praktiky-moznosti-osetreni/#reply808576

Kamil Hurajt

(8 hodnocení)

16. 9. 2012 14:35:00

Nene poskytovatel nejsem ptam se jenom pro pripady. Zdali je to mozne a zdali ne :) .

16. 9. 2012 14:35:00

https://webtrh.cz/diskuse/hackovani-a-praktiky-moznosti-osetreni/#reply808575

Pro odpověď se přihlašte.

Přihlásit