Egy kis kiegészítő:
Nem elefelejteni, hogy a gép védelmébe nem csak az tartozik bele, hogy a gépet kivülről nem lehet elérni, hisz lássuk be, igencsak kevés az esélye egy külső támadásnak. Ja, és a felhasználók adatait tartalmazó fájlt nem csak a bizalmasság elvesztése fenyegeti, sőt gyakorlatilag az fenyegeti a legkevésbé. Szóval csak azt szeretném mondani, hogy jó lesz figyelni arra is, hogy nehogy egy szép reggelen arra ébredjenek, hogy már nincs a fájl, aminek a bizalmasságára ügyelni. Ennek a valószínűsége sokkal-sokkal nagyobb (hardver hiba, vírus, format, del parancs, stb. stb. stb.).
Én egy tényleg bizalmas adatokat tartalmazó NT-t nem tennék csak úgy
ki a Netre. Te igen?
Win2000-t nem ismerem, de nyilván ua. pepitában.
Ha meg már tűzfal is kell rá, akkor a gatyáját ráfizeti. Hallod, hogy
kevés a pénz.
Egy ócska 386-oson futó Linux rendesen bekonfigurálva
(csak a legszükségesebbeket futtatva + iptables/ipchains TCP/IP csomagszűrő,
csak szükséges portok nyitva, ssh, stb.) nagyságrendekkel olcsóbb és
biztonságosabb. Ha a támadás csak kívülről jöhet és a Win98 csak a
Linux-on keresztül kommunikálhat, akkor ez egy elég tuti dolog.
Szerintem ket kulon dolog van amirol gondoskodni kell:
- az internetes adatfolyamot megvedeni
- a gepet megvedeni
1. internetes adatfolyam vedelme
Azt tudni kene, hogy inteneten keresztul hogy megy az adatcsere? en nem ertek a Visual Foxprohoz, lejjebb valaki azt irta, hogy nem nagyon tudja a halozati kommunikaciot.
ha az internetes kommunikacio valamilyen standard protokol, pl. http, ftp, azoknak azt hiszem van secure valtozatuk https, ftps. De lehet vasarolni titkosito programokat, amelyek mondjuk RSA elven mukodnek. Nem abszolut feltorhetetlenek, de azokert az adatokert senki nem fog vert izzadni, amiket te akarsz cserelni.
2. a gep vedelme, mindenkeppen NT kell, de a win2000 a legjobb, gondolom server edition kell.
le kell tiltanod a tavolrol valo bejelentkezes minden formajat (telnet, task scheduling) ezt egy gyakorlottab NT, vagy 2000 adminisztrator tudja. nem szabad, hogy a user-ek internetrol letoltsenek exe fileokat es elinditsak a szerveren, nem szabad, hogy levelben kapjanak programfile-okat es elinditsak a szerveren (MS Outlook kepes kiszurni oket)
nem szabad, hogy az adatfile-jaidat tartalmazo konyvtarat a foxpro useren kivul barki is eltudja erni, file sharing-et ki kell zarni.
A win98 tényleg az, amit blackman írt. Egy Internetre kapcsolt win98-at
megvédeni olyan, mint az áradó Tiszánál egy szál markolóval rohangászni,
mikor a gát magassága kisebb a várható vízmagasságnál. :)
Ha mégis win98 kell, akkor azt csinálnám,
hogy a rendesen megvédett (!) Linux-os gép látná csak az Internetet,
oszt amit a Win98 el akar küldeni, azt sftp-vel, vagy
kevésbé biztonságosan, de egyszerűen (pl. csak ideiglenesen működő?)
Sambaval bemarkolja.
A Win98-on nincs levelezés és legjobb lenne elzárni a
titkárnő elől. :)
Titkosítani/összenyomni lehet a kicserélt adatokat, persze.
Jobb, mint a szentelt víz. :)
Aha, zsowy tudja mitol doglik a legy, de a nevezett tama ugy nez ki hogy alacsony koltsegvetesu, tehat vpn es hasonlo megoldasok nem jatszanak.
Sajnos mindig ez van.
oke, a win98 az nem oprendszer, hanem nehany dll ossszedobalva a vinyon. Meg a foxprorol is mit mondhatnek?
Szerintem itt olyan hogy a "neten adatacsere" nem lesz, nincs itt protokol semmi szerintem, ha jol gondolom az van amire lejjebb azt mondtam hogy jesszusmaria: A foxpro program egy fajl megosztason talalhato adatallomanyokat fog bizdergalni, szegeny programmer, ha akarna sem tehetne semmit sem ilyen szinten.
Tehat: nincs kezben tarthato, megfoghato tcp/ip kommunikacio amivel a programozo kezdhetne valamit.
Es pont foxpro. Az gondolom olyan hogy kis fajlokban, mint a dbase? Meg ha valami normal oracle, vagy mssql lenne, akkor legalabb fajlokat nehez lenne lopni, meg ott van nemi autentikacio is.
Nem tudok jobb tanacsot adni, eleg remenytelen ez a koncepcio amit felvazoltal.
Vedd a gepet, (ha lehet a win98-at). Majd meseld el mire jutottal.
Az oprendszer mindenképp valamilyen win. Van különbség a problémám szempontjából a 98, NT, stb. között?
A program Visual Foxproban készül, nem én írom, én vagyok/leszek az egyik felhasználója.
(azért vagyok ilyen kiváncsi, mert nem tudom, menniyre ért a programozó a biztonsági kérdésekhez...)
Hogy hogyan megy a neten az adatcsere nem tudom, jövő héten megnézem (van egy előírt protokoll).
Egészségügyi adatokról van szó és a laborvizsgálatok eredményeit kéne cserélni több országban lévő telephelyek között (interneten, nem belső céghálózaton). Mit mondjak még róla, hogy jobban képben legyetek?
Tűzfal persze lesz. Nyilván először a gépre kell bejutni, de pont az a kérdésem (lassan sikerül értelmesen megfogalmaznom.. :o) ) elég-e egy tűzfal program, vagy mi más (plusz) egyszerű védelmi módszer van?
Ha valami windowsos file-megosztáson gondolkozol, azt felejtsd el.
Ha egy socketet kezelő progi nyomja át az adatokat, akkor ssl-en keresztül tegye (hogy ne kapkodja le bárki az adatokat), a szerver-alkalmazás pedig csak azokra az ip-kre figyeljen, ahonnan várni lehet kérést, persze authentikációval is megspékelve.
Mellesleg W98 szerintem nem erre való. Számíts arra, hogy a levelekben érkező "trójai falovak" a világ minden tájára fogják küldözgetni a titkos file-odat.
Én személy szerint egy ssh (www.openssh.org) démont tennék fel és scp-vel másolnám a szükséges adatokat.
Ez a szükséges scriptekkel együtt max. egy óra alatt megvan és nem kell semmit szenvedni socket meg ssl programozással. Persze valami normális oprendszer (pl. Linux vagy valamelyik BSD) is kell hozzá.
Ha még kényelmesebbet akarsz, VPN (virtuális magánhálózat). Linux-szal ilyet is lehet ingyen, vagy néhány milkáért vehetsz kommerciális megoldást.
jesszus maria, csak nem valami olyasmi, hogy egy fajlszerveren van valami dbase vagy paradox vagy ilyesmi file, es azt orszagban szetszort irodakbol lehet latni, egy windowsos konyvtarban?
Mert itt indokolt a kerdes. Csak ez meg nem internet, hanem windowsos halozat.
Szoval nem ertem. Muszaj tobbet mondanod, nekem legalabbis.
na ne trafeljunk mar. Nem a fajlt kell megvedeni, hanem a gepet. Ha betornek es a szupertitkositott fajlodat ellopjak akkor is csak ido kerdes, mig megtorik. Tehat: a gepedet kell vedeni betores ellen. A fajlodhoz csak akkor fernek hozza, ha a gepre bejutottak.
Lasd egyeb kapcsolodo topicok (~csatabard).
Azt mondjuk igy latalanban is javasolhatom, hogy a floppys megoldas helyett inkabb a halokabelt huzd ki a gepbol. Valahogy professzionalisabb.
tovabbra sem vagy ertheto amugy, mert a fo kerdes itt az, hogy az interneten keresztul milyen modon lehet erintkezni a adatbazissal? Ez meg egy szintet ad az un. biztonsaghoz. (titkositott kommunikacio, stb.)
Nyugi, nem tudjuk ki vagy, nem szabadulnak rad a hackerek, ha egy kicsit tobbet irsz ide.
Köszönöm, hogy foglalkoztok a kérdéssel.
Ezek szerint nem vagyok érthető.
Szóval van egy gép, melyen van egy -érzékeny adatokat tartalmazó- adatbázis. A legbizalmasabb info az adatbázisban az ügyfelek neve, címe telefonszáma, stb. a többi adat ezek nélkül teljességgel használhatatlan, ergo különösebben nem kell védeni. A személyi adatok külön file-ban vannak, és ezt a file-t kell megvédeni _külső_ támadástól, méghozzá szándékos és az adatokkal visszaélni szándékozók támadásától.
Hogy lehet legjobban megvédeni ezt a file-t?
A gépnek munkaidőben el kell érnie az internetet, mert más telephelyek hasonló adatbázisaival kell adatokat cserélni (megjegyzem a személyes adatokat nem cseréjük, nincs is rá szükség).
Oprendszer Win98.
Ötlet például, hogy tároljuk ezt a file-t egy floppin, amit az adatbázis-műveletek lezárása után vagyünk ki. de a floppi nem megbízható adatsérülés szempontjából. Vagy tároljuk a személyi adatokat külön gépen, de ez sem tűnik ideálisnak.
Egyéb ötlet?
nem egeszen ertem. Az adatbazis kerdez le, vagy egy cgi ,vagy egyeb alkalmazasrol beszlunk tulkeppen?
Szerintem nem az "1 megas fajlt" kell vedeni, hanem ha egy koztes alkalmazarol van szo, akkor abban lehet tobzodni a vedelmi lepesekben (userek, keszenleti ido, ip cim tartomanyok, user muveletek egymas utanisaganak szamolasa, satobbi).
Plusz, oprendszer ertelemben mar gondolom meg van a biztonsag? Nem futnak folosleges szervizek, a marika titikarnonek nem marika/marika a loginje, satobbi.
A gép munkaidőben az internetre kell hogy kapcsolódjon. Namost az adatbazisbol kell net-en kersztul szolgaltatni, vagy csak bongeszni akar a titkarno? Nem ugyanaz :-)
Egy érzékeny adatokat tartalmazó adatbázis létrehozásának koordinálása a feladatom.
A gép munkaidőben az internetre kell hogy kapcsolódjon. Az adatok több file-ban helyezkednek el.
A problémám az, hogy legalább a személyes adatokat tartalmazo file-t kellene biztonságban tudnom. (ez a file kb 1MB) Hogy lehet ezt megoldani?
Erőre is kösz minden ötletért!
