Jump to content

Bruteforce Attacke auf SQL - Server

Ishildur

Von Ishildur
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Velius Grand Master

Velius   10

Geschrieben
Geschrieben

 

Und wieso sollte ich ein VPN nicht Brutforce können? Nur weils dafür vielleicht keine vorgefertigen Tools gibt, heisst das noch lange nicht, dass es nicht möglich ist! Oder wieviel wärst du bereit zu bezahlen, wenn ich dir ein entsprechendes Tool schreiben würde? Darin bin ich nämlich gut!

 

 

:cry::cry: Weil der Tunnel (Mode 1) nur über Zertifikate aufgebaut wird. Wenn der Rechner nicht mit einem vetrauten Zertifikat daher kommt, dann baut des Ding auch nie einen Tunnel auf. Da müsstest du schon das Zertifikat fälschen, aber mach das mal, ohne die dazugehörende CA zu kennen.... :nene:

 

 

P.S.: Dazulernen find ich gut.....hauptsache es bleibt was hängen. ;)

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben
@grizzly999

Ich gebe zu, dass ich keine Experte in Computersicherheit bin,

Dafür bist du aber ganz schön schnell beim Be(Ver-)urteilen einer ordentlichen Computersicherheit bzw. einem ordentlichen VPN.

Daher meine Meinung.

 

Und wieso sollte ich ein VPN nicht Brutforce können? Nur weils dafür vielleicht keine vorgefertigen Tools gibt, heisst das noch lange nicht, dass es nicht möglich ist! Oder wieviel wärst du bereit zu bezahlen, wenn ich dir ein entsprechendes Tool schreiben würde? Darin bin ich nämlich gut!

Brauche ich nicht zahlen wollen. Auch wenn es jetzt wieder überheblich klingt, ein VPN mit Zertifikaten und 168-Bit 3DES-Verschlüsselung, glaube mir, da haben sich schon andere dran versucht. ;)

Und du willst DAS schaffen. Da würdest du jetzt den Rest deines Lebens auf Hawaii am Strand liegen und deinen Londrink schlürfen, während dir diverse Blackmen mit Palmwedeln Wind zufächeln würden. :cool:

 

Also, denke mal über eine gute VPN-Lösung nach, oder lebe damit, dass jemand versucht, deinen SQL zu hacken, so einfach ist die Welt.

Achja, Konto sperren lassen, habe ich mangels Informationen noch nicht drüber nachgedacht, aber ist ja ein toller DoS-Angriff. Bzw. Wir schalten immer dann den Account frei, wenn der Fernzugreifende grade seinen Zugriff braucht, weil sonst ist ja wieder sein Konto gesperrt.

 

Ich verstehe nichts vom Programmieren, aber ein wenig von Sicherheit. Wenn du Sicherheitsratschläge willst, bist du hier richtig, aber nicht wenn du auf dieser Meinunng beharrst:

Ich finde ein VPN gefährlicher als ein SQL - Server

;)

 

Viele Grüße und nix für ungut

 

grizzly999

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben
@grizzly999

Wie ich schon sagte: Ich bin Programmierer und nicht Administrator. Der SQL - Server läuft momentan als Entwicklungsserver und nicht als Produktionsserver. Ich gebe zu, dass ich keine Experte in Computersicherheit bin, aber das Thema interessiert mich dennoch und ich versuche jeden Tag, etwas weiter über meinen beruflichen Horizont zu sehen.

Insbesondere als Entwickler sollte man meiner Meinung nach sehr viel Ahnung von IT Sicherheit und Verschlüsselung etc. haben. Das Thema ist viel zu wichtig als dass man die Verantwortung dafür nur den Infrastruktur Admins überlassen sollte. Aber schön zu hören, dass du bereit bist etwas dazu zu lernen!

 

Du urteilst ja ziemlich schnell! Wenn du mich kennen würdest, währe ich beleidigt... ;)

Ehrlichgesagt würde ich zum gleichen Ergebniss kommen wenn ich ein entsprechendes Urteil anhand deiner bisherigen Aussagen hätte treffen sollen. Wenn ich einen Sicherheittest eures Netztes durchführen würde dann wäre ein SQL Server direkt am Netz ein dicker fetter roter Punkt.

Also, wenn jemand tatsächlich einen SQL - Server Account knackt, dann hat er Zugriff auf eine Datenbank voller Testdaten...

Wenn jemand einen VPN - Account knackt, dann har er Zugriff auf alle internen Dateiserver - Freigaben, auf die Buchhaltung usw... UND auf den SQL - Server! Was ist wohl gefährlicher?

Sorry das ist ... Wie schon gesagt sind die Authentisierungsmechanismen eines RAS Zugangs ganz andere als die eines SQL Servers. Zudem kannst du den Zugang von über RAS angemeldeten Usern durchaus sehr restriktive einschränken. Des weiteren hoffe ich doch mal, dass diese Server in einer DMZ stehen (egal ob SQL oder RAS) - denn dort gehört sowas hin.

 

Und wieso sollte ich ein VPN nicht Brutforce können? Nur weils dafür vielleicht keine vorgefertigen Tools gibt, heisst das noch lange nicht, dass es nicht möglich ist! Oder wieviel wärst du bereit zu bezahlen, wenn ich dir ein entsprechendes Tool schreiben würde? Darin bin ich nämlich gut!

Du bist nicht wirklich der Meinung, dass du mal so nebenbei eine Implementierung kancken kannst die von allen großen Unternehmen inkl. diverser Finanzdienstleistern als sicher betrachtet werden, oder? Auch vom BSI habe ich nichts anderes gehört...

 

P.S.

Wenn ihr in den Entwicklerforen etwas fragen würdet, dann würde ich euch willkommen

heissen und euch mit Respekt begegnen und versuchen, euch zu helfen, anstatt euch zu verhöhnen...

 

Wie du an den Antwortzeiten sowie an der Beteiligung an diesem Thread sehen kannst versuchen wir durchaus zu helfen (es gibt wenige Threads in denen zwei Moderatoren ein Expert Member und ein MVP gleichzeitig Antworten).

Link zu diesem Kommentar
Ishildur Community Regular

Ishildur   10

Geschrieben
  • Autor
Geschrieben
Wie du an den Antwortzeiten sowie an der Beteiligung an diesem Thread sehen kannst versuchen wir durchaus zu helfen (es gibt wenige Threads in denen zwei Moderatoren ein Expert Member und ein MVP gleichzeitig Antworten).

Das ist wahr!

 

Aber irgendwie stehe ich auf der Leitung:

Wenn wir von Bruteforce sprechen, dann reden wir doch vom durchprobieren von Benutzernamen & Passwortkombinationen und nicht vom knacken eines Verschlüsselungsalgorithmus?

 

Also mit anderen Worten, wenn ein Eindringling den Benutzernamen und das Passwort eines VPN Accounts erraten kann (manuell oder automatisert bzw. Bruteforce), dann finde ich das schlimmer, als wenn er dasselbe mit einem SQL - Account tun kann. Was ich auch nicht verstehe ist, was ein Zertifikat mit Bruteforce zu tun hat? :confused:

 

Wir sprechen hier ja nicht von Exploits sondern von Bruteforce...

 

Dafür bist du aber ganz schön schnell beim Be(Ver-)urteilen einer ordentlichen Computersicherheit bzw. einem ordentlichen VPN.

Daher meine Meinung.

 

Wenn ich etwas schreibe, dann entspricht dies meiner momentanen Weltauffassung, auf welcher ich unter keinen Umständen beharren will, wenn mich jemand eines Besseren belehren kann... :)

Link zu diesem Kommentar
Gulp Grand Master

Gulp   228

Geschrieben
Geschrieben

Bruteforce bedeutet allgemein das Ausprobieren von passenden Argumenten, egal ob Password/Benutzername, Algorithmus, Passphrase, Key, etc.

 

Also mit anderen Worten, wenn ein Eindringling den Benutzernamen und das Passwort eines VPN Accounts erraten kann (manuell oder automatisert bzw. Bruteforce), dann finde ich das schlimmer, als wenn er dasselbe mit einem SQL - Account tun kann. Was ich auch nicht verstehe ist, was ein Zertifikat mit Bruteforce zu tun hat?

 

Und was, wenn es im Gegensatz zu SQL nur ein Zertifikat und kein Benutzername/Passwort gibt? ;)

 

Grüsse

 

Gulp

Link zu diesem Kommentar
Velius Grand Master

Velius   10

Geschrieben
Geschrieben
Was ich auch nicht verstehe ist, was ein Zertifikat mit Bruteforce zu tun hat? :confused:

 

Ganz einfach: Kein Zertifikat, keine brut force attacke! Du kannst höchstens eine DoS Attacke versuchen, damit verursachst du aber höchsten einen Crash, dringst aber nicht in das System ein. Das verstehe ich aber von "brute force".

 

 

@Gulp

 

IMHO haben alle (sicheren) VPN Lösungen mindestens zwei Authentifizierungs Mechanismen (Zertifikat/Pre-Shared Key & Username/Password), und Zertifikate gehören da im weitesten Sinne dazu.

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Und was, wenn es im Gegensatz zu SQL nur ein Zertifikat und kein Benutzername/Passwort gibt? ;)

Für sehr hohe Sicherheit dann mit SmartCard. Da ganze kann man sich sogar selber mit Windows-eigenen Mitteln relativ kostengünstig einrichten.

RSA (oder andere) Tokens sind ebenfalls eine fast 100%ig sichere Alternative, zig-millionenfach bewährt auch bei Unternehmen mit sehr hohen Sicherheitsansprüchen, kosten aaber ein wenig mehr.

 

Einen SQL-Server mit direktem Zugriff kann man nicht so absichern. Ich muss mich authentifizieren und das ist natürlich mit Bruteforce Mitteln angreifbar. Wie schon gesagt, Kontosperre würde zwar theoretisch helfen, aber dann schaffe ich mir andere Angriffsflächen (DoS-Attacks).

 

Eine weitere Möglichkeit besteht darin, einen Webserver mit entsprechenden Abfragemasken vorzuschalten, so machen das die Meisten. Dort kann ich ebenfalls diverse Authentifizierungen einrichten, von Benutzername\Kennwort bis hin zu Benutzerzertifikaten (RSA weiß ich jetzt nicht).

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...