Neu Ist SQL Verschlüsselung via SSL sinnvoll für mich, nur internes Netz, extern via VPN ?

[JohnFrea]

Hallo,

wir sind aus diversen Gründen zurück zu einem eigenen, kleinen SQL Standard Server in den eigenen Räumen gewechselt.

- Zugriff auf den Server aus einem getrennten WLAN/LAN, in dem nur Wawi-berechtigte Computer sind
- Zugriff von extrern nur via VPN ins interne Netz
- extern ein PC, ein JTL-POS und gelegentlich Mitarbeiter im Homeoffice
- internes Netz ohne ActiveDirectory

Ich hatte mal in einer Testumgebung SSL und erzwungene Verschlüsselung am SQL Server umgesetzt aber das ist schon zäh sich da durch zu beißen, wenn man es noch nie gemacht hat.

Es sind Frage offen geblieben, vielleicht könnt Ihr mir weiter helfen.

1. Ohne ActiveDirectory ist nur ein selbst Erstelltes Zerifikat möglich, sehe ich das richtig? Der Server hat ja keine öffentliche Adresse.
2. Wieso muß das selbst erstellte Zertifikat nur auf dem Server installiert werden, nicht aber auf den Clients?
3. Wieso muß in der Wawi nicht aktiviert werden, dass verschlüsselte kommuniziert werden soll? Woher weiß die das? Im SQL Managemenbt Studio z.B. gibt es eine explizite Einstellung.

4. Wo gegen schützt mich das ganze überhaupt?
So wie ich das sehe nur gegen einen Eindingling, dem es gelungen ist, in mein interes Netz zu kommen und die SQL Anmeldung mit zu sniffen.

Ist dieses Risiko den Aufwand wert? Übersehe ich etwas?

Vielen Dank

JohnFrea

 

[mh1]

Bei der deinen Überlegungen musst du eigentlich mit deiner letzten Frage anfangen. nämlich die Frage, ob du in deinem LAN Daten verschlüsselt oder im Klartext übertragen willst.

4. Wo gegen schützt mich das ganze überhaupt?
So wie ich das sehe nur gegen einen Eindingling, dem es gelungen ist, in mein interes Netz zu kommen und die SQL Anmeldung mit zu sniffen.

Es ist sowie du es sagst: Die Daten zwischen Server und Client werden verschlüsselt und nicht mehr wie bisher im Klartext übertragen.
Übrigens betrifft das nicht nur die Anmeldung, sondern eben auch wenn der Client z.b. die Artikelliste aufruft. Dann steht in dem Netzwerkpaket sowas wie "SELECT * from tArtikel" in der Anfrage und in der Antwort "Mein bockstarker Artikel".
Wenn du im SQL-Server TLS aktiviert hast sieht die ganze Kommunikation so in der Art aus wie "153fe1f4db6f58fb14d34d6+91df3..."

1. Ohne ActiveDirectory ist nur ein selbst Erstelltes Zerifikat möglich, sehe ich das richtig? Der Server hat ja keine öffentliche Adresse.

Irgendwas bringst du hier durcheinander.
Ob der SQL-Server ein selbsterstelltes oder ein von einer Zertifizierungsstelle herausgegebenes Zertifikat verwendet hat doch mit Active Directory nichts zu tun. Active Directory ist der Verzeichnisdienst von Windows.

2. Wieso muß das selbst erstellte Zertifikat nur auf dem Server installiert werden, nicht aber auf den Clients?

Weil der Client den Server anfragt und nicht umgekehrt.

3. Wieso muß in der Wawi nicht aktiviert werden, dass verschlüsselte kommuniziert werden soll? Woher weiß die das? Im SQL Managemenbt Studio z.B. gibt es eine explizite Einstellung.

Weil die Wawi das Zertifikat des Servers akzeptiert und für die verschlüsselte Datenübertragung nutzt ohne den Herausgeber des Zertifikats zu prüfen.
Das entspricht der Einstellung Trust Server Certificate =Yes im Management Studio.

Ist dieses Risiko den Aufwand wert? Übersehe ich etwas?

Die Frage kannst du auch andersrum angehen.
Ich würde fragen: Lohnt es sich überhaupt auf TLS zu verzichten? In einem Szenario mit einer handvoll Clients, die mit TLS auf einen Server zugreifen kann ich mir keinen in der Praxis spürbaren Geschwindigkeitsvorteil vorstellen, wenn du TLS deaktivieren würdest.
Was sind denn deine Gründe, die Verschlüsselung abzuschalten?