Ocultar Passwords a produccion.

Wladimir A. Jimenez B. wjimenezb en gmail.com
Lun Dic 10 01:12:00 CLST 2007


Adstaker:

Se me ocurre el siguiente esquema.

Un servicio, de comunicación estándar, con un protocolo propio.

(Servicio de Seguridad)
 Este servicio bajo un TCP-IP con los siguiente comandos.
 AUTH donde envías tu KEY(User+IP+Dominio+lo que necesites).
 Este responde con una Clave valida y la Ip del servicio de DB que necesitas.
 RESP 3DES(Key Valida en el Servidor)+ IP del Servidor+La base a la
que tiene acceso.

Con esto todas tus aplicaciones pasan por este servicio para hacer la petición.

No importaria(Plataforma, Maquina, SO) serian independientes, por lo
tanto genera la solicitud si no tiene acceso al servicio nunca
obtendra una clave.

Este servicio lo adornas con una interface grafica, y podria
ingresarse las contraseñas a travez de este sistema en dos terminales
diferentes una vez completas la dos mitades recien el sistema se
pondria a funcionar con esto nadie sabe la contraseña completa solo el
sistema.

El administrador estaria encragado de habilitar y deshabilitar
terminales o usuarios. Sin tener un real acceso a la base de datos
solo podria tener acceso a la base de permisos, puedes habilitar un
sistema de bloque que si cualquiera de la personas que se encargan de
una parte de la contraseña se vuelve riesgosa bloqueas todo hasta una
nueva validacion, con esto tus clientes son independiestes de las
contraseñas reales.

 El esquema quedaria mas o menos asi.
                       (Sistema Cliente)        ==(KEY)==>
(Sistema de Seguridad)
                                    \\                <==(KEY3DES)==
                                     \\
                                      (KEY EN DURO)
                                             \\
                                               (SGDB)
Realmente la clave no la ve nadie, es solo visible para la apliacion
en tiempo de ejecucion, Debes otorga un medio para que las
aplicaciones puedan descifrar la contraseña antes de conectarse.

Si necesitas mas seguridad este medio haz lo cerrado, en una librería.
esta libreario le otorga la conexión, al sistema cliente, pero sigue
el proceso anterior, para obtener una clave que tampoco nadie sabrá.

Wladimir A. Jiménez B.



Más información sobre la lista de distribución Linux