דילוג לתוכן
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
כיווץ
תחומים

תחומים - פורום חרדי מקצועי

💡 רוצה לזכור קריאת שמע בזמן? לחץ כאן!
  1. דף הבית
  2. תכנות
  3. אבטחת מידע

אבטחת מידע

מתוזמן נעוץ נעול הועבר תכנות
28 פוסטים 11 כותבים 820 צפיות
  • מהישן לחדש
  • מהחדש לישן
  • הכי הרבה הצבעות
התחברו כדי לפרסם תגובה
נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
  • A מנותק
    A מנותק
    aaron
    השיב לmekev ב נערך לאחרונה על ידי
    #2

    @mekev
    לדייגים אין דרך קלה לדוג מידע כל ועוד הם לא יושבים על אחד הצינורות שדרכם אתה עובר (קרי: קווי האינטרנט והנתבים שבהם יעבור המידע כל הדרך עד לשרת)
    כדי לעשות את זה הם יצטרכו או להשתלט על אחד הנתבים, או לגרום לאינטרנט לצרף נתב זדוני שלהם כחלק לגיטימי ממערכת הצינורות.

    בנוסף, גם אם יצליחו להשיג את הפרטים, אין אפשרות (בקלות. הכל אפשרי) לתקשר ככתובת IP שלא שייכת אליהם, כך שאם הגבלת את שרת הSQL לכתובות ספציפיות - אתה אמור להיות מוגן.

    הבעיה היא שללא קשר לאבטחת פרטי החיבור, לא בריא לחשוף שירותים כמו SQL לרשת, מכיוון שמידי פעם בפעם מתפרסמים באגי אבטחה שעלולים לעקוף גם את מערכת האימות רשימה לבנה של SQL.

    בקיצור, אם חשוב לך אבטחת מידע - אתה לא אמור לחשוף שום דבר לרשת אלא ליצור חיבור VPN בין הרשתות

    aaron.tchumim@gmail.com
    Hetzner - שרתים וירטואליים ופיזיים במחירים מעולים (קישור שותפים)

    ווצאפ API - תיעוד שירות API לא רשמי.

    תגובה 1 תגובה אחרונה
    3
    • dovidD מנותק
      dovidD מנותק
      dovid ניהול
      השיב לmekev ב נערך לאחרונה על ידי dovid
      #3

      @mekev רשת פרטית או ציבורית זה סה"כ סט של כללי חומת אש, כאשר רשת פרטית הכונה שאתה פחות חושש שיהיו בה איומים (כי היא פרטית שלך) וציבורית זה כמו ברכבת ישראל שאין לך מושג מי יחד איתך ברשת.

      כעת בא נדבר על האבטחה. מי שהתעבורה שלך עוברת דרכו (ספק, ראוטריםׂ) או מי שהתעבורה שלך עוברת לידו (מחשבים שמחוברים לאותו רשת פנימית שלך, כלומר חולקים LAN משותף. שני המקרים האלו יכולים לראות תעבורה מהמחשב ואל המחשב שלך.
      בגלל המקרים האלו יש https. כשאתה נכנס לבנק שלך, יש סיכום מתוחכם בין האתר של הבנק למחשב שלך, וככה מבטיחים שכל המשך התקשורת יהיה רק ביניכם + מוצפן לחלוטין בפני אחרים.
      שאלת איך עובדת ההצפנה הזו, הרי המיירט של התקשורת רואה את התוכן המוצפן ויכול להשתמש בו בדיוק כמו המתקשר המקורי. התשובה היא שתלך לקרוא על הצפנה אסימטרית, או שתפתח על זה נושא (הערה: אני לא לגמרי שולט בחומר אבל נדון בעניין ונבין יותר).
      בMSSQL SERVER לא ברור לי אם בברירת מחדל התעבורה מוצפנת.

      אבל אתה הגבלת את החשש שלך רק למאזינים ברשת. מה אם המשתמש במחשב עצמו? או מי שמצליח לקבל גישה למחשב? אתה סומך על כל המשתמשים שלך שהם טליתות שכולם תכלת? אולי משתמש מסויים בטעות ישתף את התכונה שלך באינטרנט ושמה יש את השם והסיסמה על מגש של כסף! בנוסף, שרת הSQL שלך חשוף למתקפות בכח גס שינסו למצוא את הסיסמה לבד. מה תוכל לעשות?
      א. לסגור כניסה לשרת הSQL מבחוץ (ביטול המיפוי פורטים ל1443) ויצירת VPN. המשתמש צריך גם להתחבר לVPN ורק אחרי זה להפעיל את התכונה שלך שמתחברת כאילו ברשת הפנימית.
      ב. לא לתקשר מול הSQL ישירות. זה אומר להקים שירות HTTP או אתר, שיספק את המידע למי שהאמת עם שם וסיסמה אישיים שתנפיק עבור כל אחד. שם תשלוט יותר טוב במי מתחבר ומאיפה (תוכל ביתר קלות להגביל IP וכדומה) ומתי. אתה גם מרויח שהתקשורת מאובטחת וגם שכל התחברות היא עם משתמש אחר (כפי שתפתח את השירות).

      אני יודע ששני הדרכים שאמרתי יהיו קשות לך (גם לי), אבל אתה שאלת אז עניתי.

      מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!

      בכל נושא אפשר ליצור קשר dovid@tchumim.com

      תגובה 1 תגובה אחרונה
      9
      • avramkA מנותק
        avramkA מנותק
        avramk
        השיב לmekev ב נערך לאחרונה על ידי
        #4

        @mekev תקשורת בין שני משרדים שונים לדעתי זה רק ipvpn או פתיחת פורטים לכתובות מסויימות, וזאת בכפוף לשירותים שבהם אתה משתמש, כי ישנם שירותים שלא עובדים בפורטים חיצוניים, (לדוג' שיתוף תיקיית smb ) ועוד.

        כשאתה גולש ממשרד לאינטרנט תצא מנקודת הנחה שיושב בינך לבין הספק 'איש באמצע' ומקבל את כל הנתונים (ssl כמובן נותן לזה מענה ברור המקרים כפי שהסביר @dovid בטוב טעם ודעת) זאת במידה כמובן שאתה פתחת פורטים החוצה או יישום שמרחרח או במידה והפורטים סגורים אז זה יכול להיות מחשב ברשת הפנימית (בשביל זה אפשר לעבוד עם vlan)

        תגובה 1 תגובה אחרונה
        1
        • חגיח מנותק
          חגיח מנותק
          חגי
          כתב ב נערך לאחרונה על ידי
          #5

          SQL SERVER זה הדבר הכי פריץ שיש בברירת מחדל
          הנה דוגמה

          מניסיון, מישהו שאני מכיר השתמש בזה בשביל ליצור לעצמו משתמש בהרשאות גבוהות למסד נתונים של מתחרים, והם עדיין לא יודעים מזה, והוא יכול לעשות במסד נתונים מה שבא לו (וכמובן. זה מאוד לא חוקי)

          avramkA צבי-שצ M 3 תגובות תגובה אחרונה
          3
          • avramkA מנותק
            avramkA מנותק
            avramk
            השיב לחגי ב נערך לאחרונה על ידי avramk
            #6

            @חגי rdp לא יותר פריץ?

            חגיח 2 תגובות תגובה אחרונה
            0
            • צבי-שצ מחובר
              צבי-שצ מחובר
              צבי-ש
              השיב לחגי ב נערך לאחרונה על ידי
              #7

              @חגי אמר באבטחת מידע:

              הנה דוגמה

              מה רואים שם?

              {
                "code": "download_cap_exceeded",
                "message": "Cannot download file, download bandwidth or transaction (Class B) cap exceeded. See the Caps & Alerts page to increase your cap.",
                "status": 403
              }
              

              כיף לגלות דברים חדשים.
              חוק ה-50-50-90: בכל פעם שיש סיכוי של 50-50 שמשהו יעבוד, יש סיכוי של 90 אחוז שהוא לא. מקור

              A0533057932A תגובה 1 תגובה אחרונה
              0
              • A0533057932A מנותק
                A0533057932A מנותק
                A0533057932
                השיב לצבי-ש ב נערך לאחרונה על ידי
                #8

                @צבי-ש Desktop.7z

                תגובה 1 תגובה אחרונה
                0
                • M מנותק
                  M מנותק
                  mekev
                  השיב לחגי ב נערך לאחרונה על ידי
                  #9

                  @חגי באמת כיף להכיר את הכלי 'Wireshark' בעקבות התשובות המפורטות (תודה מיוחדת ל: @dovid @aaron )

                  אחדד
                  שניתן לפרוץ בצורות כאלו ואחרות לSQL - ידוע ואכמ"ל

                  נקודת השאלה היא
                  בהנחה שההגנה הקיימת בשרת וSQL תקינה ומעולה בפני עצמה
                  ובהנחה שכתבתי את השאילתה עם שימוש ב'פרמטרים' וטיפול בשגיאות

                  איך הויזואל סטודיו שולח את המידע
                  האם הוא מצפין אותם ברמה כלשהיא (מקביל ל https) או שלא...
                  בשביל שאני לא ייתן 'דלת אחורית' לשליפת הנתונים

                  A רפאלר 2 תגובות תגובה אחרונה
                  0
                  • A מנותק
                    A מנותק
                    aaron
                    השיב לmekev ב נערך לאחרונה על ידי
                    #10

                    @mekev אמר באבטחת מידע:

                    בהנחה שההגנה הקיימת בשרת וSQL תקינה ומעולה בפני עצמה

                    באבטחת מידע אתה משתדל להגיע מנקודת מבט כמה שיותר פסימית..

                    aaron.tchumim@gmail.com
                    Hetzner - שרתים וירטואליים ופיזיים במחירים מעולים (קישור שותפים)

                    ווצאפ API - תיעוד שירות API לא רשמי.

                    תגובה 1 תגובה אחרונה
                    3
                    • רפאלר מנותק
                      רפאלר מנותק
                      רפאל
                      השיב לmekev ב נערך לאחרונה על ידי רפאל
                      #11

                      @mekev אמר באבטחת מידע:

                      איך הויזואל סטודיו שולח את המידע

                      ויזואל סטודיו אינו מתקשר עם מסד הנתונים, התוכנה שלך היא שעושה זאת.
                      בחירה בחיבור מאובטח TLS מתאפשרת בעת יצירתו ע"י הגדרת הפרמטר Encrypt לTrue בConnection String.

                      var builder = new SqlConnectionStringBuilder
                      {
                      	DataSource = "ServerName",
                      	InitialCatalog = "DatabaseName",
                      	UserID = "UserName",
                      	Password = "UserPassword",
                      	Encrypt = true
                      };
                      
                      var connection = new SqlConnection(builder.ConnectionString);
                      

                      כמובן שעליך לטפל ברמת המסד ביצירת תעודת אבטחה שתוכר ע"י הלקוח (ע"י יצירת תעודה חתומה ע"י CA כדוגמת Let’s Encrypt או ע"י יצוא התעודה והתקנה אצל הלקוח, לחלופין ניתן לבטל את האימות ע"י הוספת TrustServerCertificate=True לConnection String [לא מומלץ])
                      כמו כן יש לאפשר במסד כניסת חיבורים מאובטחים.

                      M תגובה 1 תגובה אחרונה
                      5
                      • חגיח מנותק
                        חגיח מנותק
                        חגי
                        השיב לavramk ב נערך לאחרונה על ידי
                        #12
                        פוסט זה נמחק!
                        תגובה 1 תגובה אחרונה
                        0
                        • חגיח מנותק
                          חגיח מנותק
                          חגי
                          השיב לavramk ב נערך לאחרונה על ידי
                          #13

                          @avramk אמר באבטחת מידע:

                          @חגי rdp לא יותר פריץ?

                          אתה מכיר דרך לפרוץ RDP?

                          avramkA תגובה 1 תגובה אחרונה
                          0
                          • M מנותק
                            M מנותק
                            mekev
                            השיב לרפאל ב נערך לאחרונה על ידי
                            #14

                            @רפאל
                            במידה ואכתוב כך
                            התוצאה תהיה זהה?

                            SqlConnection con = new SqlConnection(@"Data Source=185.2.2.25\dbt;Initial Catalog=dbn;User ID=dbus;Password=pass;Encrypt = true")
                            
                            תגובה 1 תגובה אחרונה
                            1
                            • avramkA מנותק
                              avramkA מנותק
                              avramk
                              השיב לחגי ב נערך לאחרונה על ידי
                              #15

                              @חגי אמר באבטחת מידע:

                              @avramk אמר באבטחת מידע:

                              @חגי rdp לא יותר פריץ?

                              אתה מכיר דרך לפרוץ RDP?

                              זה מהשיטות אימות הגרועות ביותר

                              חגיח תגובה 1 תגובה אחרונה
                              -1
                              • חגיח מנותק
                                חגיח מנותק
                                חגי
                                השיב לavramk ב נערך לאחרונה על ידי חגי
                                #16

                                @avramk
                                יש לך פרצה ואתה לא רוצה לפרסם?
                                אחרת אני לא מבין מה הנקודה שהאימות שלו גרוע, זה משתמש וסיסמה

                                avramkA תגובה 1 תגובה אחרונה
                                1
                                • avramkA מנותק
                                  avramkA מנותק
                                  avramk
                                  השיב לחגי ב נערך לאחרונה על ידי
                                  #17

                                  @חגי אין לי שום פרצה אבל תברר כמה אחוזים של כופר הגיעו מrdp פתוח לעולם , לא מובנה בווינדוס שום מנגנון להפלת נסיונות פריצה או הגבלת בקשות וזה מה שגורם להאקרים לשלוח מלא בקשות כניסה עם שמות משתמש וסיסמא לשרת עד שהם מקבלים כניסה. (אם אתה מאד מעוניין אני יעלה לך לוגים של כמות נסיונות הפריצה שיש לי לשרת שהrdp שלו פתוח)

                                  חגיח nigunN 2 תגובות תגובה אחרונה
                                  -1
                                  • חגיח מנותק
                                    חגיח מנותק
                                    חגי
                                    השיב לavramk ב נערך לאחרונה על ידי
                                    #18

                                    @avramk
                                    אז לא נראה לי שיש מה להשוות בין הפרצה של SQL SERVER לפרצה של RDP,
                                    SQL SERVER נותן לך MITM שזאת פרצה במידה ואתה כבר יושב באותה רשת עם הSQL SERVER, אבל זאת פרצה מאוד פשוטה למימוש ומאוד מסוכנת.
                                    RDP הוא יותר מצוי, אבל פחות פריץ, אז באופן כללי מי שיש לו RDP פתוח לרשת החיצונית חשוף יותר לסכנות, אבל כמו שכתבת, צריך בשביל זה לנסות הרבה סיסמאות, והפרוטוקול עצמו כן מונע במידת מה את הפריצות האלה ע"י השהיה בין ניסיון לניסיון, ובשביל לעקוף את זה צריך פרצת אבטחה שכרגע אין.

                                    אף אחד 3א תגובה 1 תגובה אחרונה
                                    3
                                    • nigunN מנותק
                                      nigunN מנותק
                                      nigun
                                      השיב לavramk ב נערך לאחרונה על ידי nigun
                                      #19

                                      @avramk אמר באבטחת מידע:

                                      אין לי שום פרצה אבל תברר כמה אחוזים של כופר הגיעו מrdp פתוח לעולם

                                      יש גם מתקפות דרך חשבונות VPN
                                      לכאורה בהרבה מהמקרים זה פשוט מדליפה של הסיסמה
                                      העובדים לא תמיד יודעים להגן על הסיסמה בצורה טובה,
                                      ויש וירוסים שמתמקדים באיתור סיסמאות.

                                      מייל: nigun@duck.com

                                      תגובה 1 תגובה אחרונה
                                      1
                                      • אף אחד 3א מנותק
                                        אף אחד 3א מנותק
                                        אף אחד 3
                                        השיב לחגי ב נערך לאחרונה על ידי
                                        #20

                                        @חגי פרצתי כמה פעמים ל rdp פתוח עם מדריכים ביוטיוב למרות שאין לי כמעט היכירות עם העולם הזה

                                        dovidD תגובה 1 תגובה אחרונה
                                        -1
                                        • yossizY מנותק
                                          yossizY מנותק
                                          yossiz
                                          כתב ב נערך לאחרונה על ידי
                                          #21

                                          הקו המנחה צריך להיות שמייקרוסופט הם לא טפשים. יש בקורת ויש טעויות וכו' אבל זו טעות בד"כ להאשים אותם בדברים שבר בי רב דחד יומא יודע.

                                          📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

                                          dovidD avramkA אף אחד 3א 3 תגובות תגובה אחרונה
                                          6

                                          • 1
                                          • 2
                                          בא תתחבר לדף היומי!
                                          • התחברות

                                          • אין לך חשבון עדיין? הרשמה

                                          • התחברו או הירשמו כדי לחפש.
                                          • פוסט ראשון
                                            פוסט אחרון
                                          0
                                          • דף הבית
                                          • קטגוריות
                                          • פוסטים אחרונים
                                          • משתמשים
                                          • חיפוש
                                          • חוקי הפורום