Foros Club Delphi - Seguridad abriendo el puerto :3050

Foros Club Delphi (https://www.clubdelphi.com/foros/index.php)

- Firebird e Interbase (https://www.clubdelphi.com/foros/forumdisplay.php?f=19)

- - Seguridad abriendo el puerto :3050 (https://www.clubdelphi.com/foros/showthread.php?t=25573)

Seguridad abriendo el puerto :3050

Ya he hecho pruebas y consigo desde casa acceder con el IBCONSOLE a las bases de datos de la empresa ya que he abierto en el router el puerto en cuestión.

La pregunta es:

Tengo la red segura teniendo en cuenta que el usuario=SYSDBA y la contraseña es = masterkey ?

En principio, nadie sabe la ruta en el disco duro de mis bases de datos por tanto, sería imposible conectar con ellas. Nooo ?????

Sigue los pasos descritos aqui:
http://www.fpress.com/revista/num0105/art.htm

Notas sobre el artículo:

Lo de cambier la contraseña de sysdba es lo primero que hay que hacer siempre , despúes de instalar un servidor interbase/firebird.

Crear un usuario propio para la ejecución del servicio interbase/firebird server también es muy muy recomendable.

Te digo algo.

Si el puerto esta abierto en el router es accesible desde fuera por lo tanto alguien puede entrar ya que ningun sistema en invulnerable.

No todo el mundo lo puede hacer pero siempre hay algein que lo haga.

Es todo lo que te puedo decir.

ok gracias... me andaré con ojo...!

Te explico que hice en un sistema que me pidieron un acosa asi ya que por ser firebird open source las personas que querian el sistema tenian desconfienza.

Bueno yo hice un servidor d eaplicaiones que abria otro puerto el servidor de aplicaciones se coneptaba con firebird y lo sclientes con le servidor de aplicaciones y asi firebird no estaba accesible desde fuera. pero igual tenia un puerto abierto bueno teniendo en cuenta que la data viaja comprimida y encriptada y las peticiones e manejaban por codigos y no por sql.

De esa manera los clientes se quedaron mas tanquilo sya que si podian entrar por ese puesto tambien debian saber los 500000 mil codigos par hacer peticione y saber desencriptar a aes(el algoritmo)o des.

Bueno esa es una solucion pero es un poco costosa en cuanto a progracion se refiere.

Tambien tine muchas ventajas a aparte de la seguridad trbajar de esa manera.

Pues algo debo hacer si quiero que los clientes puedan saber por ejemplo, el estado de sus pedidos.

Y si hiciera un Shadow de la base de datos a un equipo remoto y este estubiera en otro dominio sin provilegios de acceso sobre el de la empresa para que los clientes accedieran a este y no al principal ?

O por ejemplo, hacer que se replique la base datos cada 5 minutos a un equipo que esta conectado a internet.

Se me ocurre que de esta manera, aislaría la base de datos real de cualquier intento de acceso.

no se no se...

Eso es como mucho.

Pero tambien podrias probar un programa de tuneling y el trabajo seria mas facil.

Haber, no hay que volverse paranoico con esto.

Siguiendo las indicaciones del documento al que hice referencia en el post anterior apenas va a haber problemas: http://www.fpress.com/revista/num0105/art.htm

El puerto estándar de firebird, el 3050, se puede cambiar por cualquier otro, pero de todas maneras tienes un puerto abierto, eso es inevitable, y de igual manera si tienes un servidor de aplicaciones por medio. Por eso, si tienes a firebird permanentemente escuchando en ese puerto y el usuario al que está asociado el servicio firebird (el que lo inicia, digamos) tiene sus permisos muy restringidos únicamente a lo que puede hacer, apenas va a haber problema.

Si aparte de lo anterior también se quiere que los datos viajen encriptados por internet (cosa recomendable), se puede usar por ejemplo,

algo muy sencillito ->zedebee:http://firebird.sourceforge.net/down...ebedee_eng.pdf
algo más completo ->stunnel con ssl + certificados cliente: http://www.ibphoenix.com/downloads/S...th_Stunnel.pdf

o cualquier otro de los múltiples programas que existen para encriptar/desencriptar datos.

Con respecto a lo de copiar continuamente la base de datos, si haces backups permanentes de la base de datos, cosa que firebird es capaz de hacer "en caliente" es decir que lo puede hacer con usuarios conectados a ella, ¿que problema hay?. Si hay un ataque, siempre se puede recuperar el backup.

Lo del shadow no vale porque el shadow refleja al instante los cambios en la base de datos real pero no a la inversa. Para eso habría que usar replicación y ahora mismo es algo que no viene de serie con firebird (está planeado) y es o un poco complicado de implementar o es de pago.