עבור לתוכן
Magic DevHub
rubi_bi

מג'יק גרסה 9.4 מול MSSQL 2000

Recommended Posts

בוקר טוב לכולם,

בימים אחרונים ביצוע בדיקות אבטחת מידע למערכת העובדת במג'יק 9.4 SP6 ,האפליקציה עובדת מול MSSQL 2000.

תוצאות הבדיקות היו מאלפות, לאחר כ שלוש שעות עבודה באמצעות snifer הם הצליחו לירט את כל שאילתות ה SQL שהמג'יק מחולל, לעצור בטווח שבין המג'יק לבין ה SQL לשנות את השאילתה ולהריץ אותה על ה SQL, הם הצליחו מחוק לשנות ולהוסיף מידע למערכת.

באמצעות ה snfier  הם זיהו את המשתמש המוגדר במאפייני בסיסי הנתונים, הם לא הצליחו לזהות את הסיסמא, לכן הם לא הצליחו להזדהות באופן ישיר מול ה SQL, אלה רק לנטר את השאילתות.

וכן אני פונה על הפורום:

המסקנה שלהם שמג'יק עובד מול ה SQL במצב של Clear Text, לדעתם צריכים להצפין את התעבורה בין מג'יק לבין ה MSSQL,

האם יש למי מהפורום מידע בנושא,

בברכה

רונן

שתף אשכול


קישור ישיר להודעה
שתף באתרים אחרים

לדעתי יש פתרונות של כלי צד ג' להצפנת התקשורת בין התחנות והשרת

גם אני עוסק בכך בימים אלה בגלל דרישות של בנק ישראל

שתף אשכול


קישור ישיר להודעה
שתף באתרים אחרים

שאלתי את איש ה SQL עימו אני עובד,

הוא לא ידע לתת לי תשובה מיידית ולמד את הנושא במשך כחצי שעה.

התשובה :

ב - MSSQL 2005 אתה יכול בצד התחנה להוסיף שני פרמטרים ב connection string ואז המערכת תעבוד בהצפנה בסיסית (ישנן הצפנות גבוהות יותר), כמו כן ישנה אופציה של הצפנת SSL.

בגרסא MSSQL2000 הפתרונות הרבה פחות טובים, הצפנה ע"י מסד הנתונים בעת התקשורה אינה הצד החזק של גרסא זו

כמו כן הוא לא מכיר מה יש לבצע במקרה של מג'יק.

כמובן שזו הצפנה בשכבות הגבוהות, פתרון נוסף הינו באמת הצפנה של כל התקשורת בין המערכות (הצפנה ברמת TCPIP בשכבה 5)

בברכת שבוע טוב

שתף אשכול


קישור ישיר להודעה
שתף באתרים אחרים

חיובי.

ניתן גם להתקין SSL או מוצר דומה (וזול יותר).

ישנם מומחים וחברות המתמחות בנושא.

שתף אשכול


קישור ישיר להודעה
שתף באתרים אחרים

ע"מ לצמצם את מידת הגישה גורמים חיצוניים לבסיס הנתונים מומלץ להשתמש ב Stored Procedures

כך אתה יכול לאפשר רק הרצה מבסיס הנתונים ומשתמש חיצוני לא יכול לבצע שליחה של שאילתות אלא רק להריץ פרוצדורות קיימות. בפרוייקט האחרון שהייתי בו (בנק) לא עובדים בכלל באופן ישיר על בסיס הנתונים אלא רק בפרוצדורות וזאת משיקולי אבטחת מידע.

שתף אשכול


קישור ישיר להודעה
שתף באתרים אחרים

בוקר טוב,

ציטוט: "ב - MSSQL 2005 אתה יכול בצד התחנה להוסיף שני פרמטרים ב connection string ואז  המערכת תעבוד בהצפנה בסיסית ..."

האם ב connectio string הכוונה למאפייני בסיס נתונים במג'יק, אם כן מה האם הפרמטרים.

לגבי עבודה ב store procedure כעקרון נכון, המערכת המדוברת נכתבה מול Bitreve ועברה הסבה לעבודה מול MSSQL, העלויות להעביר את המערכת לעבודה באמצעות store procedure גבוהות מדי.

רונן

שתף אשכול


קישור ישיר להודעה
שתף באתרים אחרים

מצטער, אני לא יודע, לא נכנסתי לדקויות האלו

החברה המתמחה ב SQL מולה אני עובד הינה חברת ולינור : <A href="http://www.valinor.co.il/contact_us.html">http://www.valinor.co.il/contact_us.html

הם עושים עבורי הרבה עבודות הקשורות ל SQL (כגון replication, triggers), אני משער שאתה יכול ליצור עימם קשר ולבקש הצעת מחיר לשכור איש מקצוע בתחום לכמה שעות לטובת פתרון הבעיה שלך, אני באופן אישי ממליץ עליהם.

הם יצרו עימי קשר בצורה יותר מפושטת והנחיות מה יש לבצע :

Secure connections to SQL 2000 can be achieved with SSL and IPSec.
 
You can find more info on how to configure SSL in SQL 2000 here:
<U> 
If you want to use IPSec, just enable it on the computers involved, it doesn't require any change on the SQL side.
 
מקווה שזה עוזר לך

בברכת שבוע טוב

יפתח

שתף אשכול


קישור ישיר להודעה
שתף באתרים אחרים

התחבר או הרשם על מנת להגיב.

עליך להיות משתמש רשום על מנת להגיב

צור חשבון

צור חשבון חדש בקהילה בקלי קלות.

רישום חשבון חדש

התחבר

משתמש קיים? התחבר.

התחבר עכשיו

×