Перехват строки подключения с помощью сетевого анализатора пакетов

Question

Полагаю, что все возможно, но мне интересно, как легко кому-то перехватить строку подключения с помощью анализатора сетевых пакетов или аналогичного инструмента.

Приложение winforms получает данные непосредственно с сервера MSSQL. (Предположим, что в середине нет веб-сервисов для дополнительной защиты)

1) Может ли кто-то с анализатором прочитать строку подключения в виде открытого текста?

2) Строка подключения может быть защищена сертификатом SSL?

3) SSL-сертификат должен быть установлен на сервере SQL?

4) У меня уже есть сертификат SSL http s Могу ли я установить его также для сервера SQL?

5) Скорость возврата данных будет снижена из-за SSL?

Заранее спасибо

Answer 1

1. Да. Если они находятся в той же сети, что и анализатор пакетов (далее «анализатор»), и строка подключения находится в виде простого текста, это легко. Использование коммутатора вместо концентратора не затруднит этого.
2. все еще возможно, используя атаку "человек посередине". Привязка канала предназначена для обнаружения и предотвращения этого, а также тщательного изучения сертификата, полученного клиентом. Сертификаты клиентов также помогут укрепить это
3. да, это должно
4. , если имя хоста точно соответствует серверу sql, оно должно работать, в противном случае вам потребуется новый сертификат.
5. это, вероятно, уменьшит скорость, но не намного. Оцените его и посмотрите, дает ли замедление приемлемую производительность; нет другого способа предсказать воздействие с какой-либо степенью достоверности.

Еще одна вещь: если строка подключения зашифрована, я все еще могу проанализировать пакет, чтобы найти местоположение вашего сервера, и если данные, передаваемые туда и обратно, не зашифрованы, я все равно могу прочитать их, даже если не могу подключиться к сервер sql. Я также могу потенциально изменить его. Вот почему необычное соединение SQL существует через Интернет, и обычно оно либо подключается к БД на том же сервере, либо подключается через локальную сеть, подключается через VPN, либо шифрует весь поток данных.

Answer 2

Если он не зашифрован, его можно прочитать, да. Обратите внимание, что собственный клиент SQL часто может выполнять шифрование не на основе SSL (в зависимости от множества факторов ), но да, он также может быть зашифрован с помощью SSL; см. technet . И да, это немного замедляет ход событий. Требования к сертификату все в статье Technet. Но, пожалуйста, не выставляйте свой сервер БД в интернет ...