Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Dringeblieben, oder ich schieße

Test: Datenbank-Extrusion-Prevention-Systeme (DBEP)

Dringeblieben, oder ich schieße

1. März 2008, 11:08 Uhr |

Heutigen Hackern geht es nicht mehr um Ruhm, sondern immer häufiger um Geld. Und sie wissen, dass am Ende einer SQL-Query fette Beute wartet. Die Systeme schützen vor dem Datendiebstahl.

Network Computing testete im Verlauf der vergangenen sechs, sieben Monate fünf DBEP-Systeme. Crossroads Systems, Guardium, Imperva und »RippleTech« stellten Appliances zur Verfügung, Pyn Logic lieferte Software. Application Security, »IPLocks«, Symantec, Tizor Systems und Trancparency Software zogen es vor, am Test nicht teilzunehmen.

Imperva SecureSphere

DBEP-Systeme haben viele gemeinsame Stärken und Schwächen: Ihre Schutzschemata sind manchmal eher Pudel als Rottweiler. Zu empfehlen ist ein System, das von den normalen Nutzungsmustern lernt. Impervas »SecureSphere Database Security Gateway G4«, das gemeinsam mit dem optionalen MX-Management-Server getestet wurde, ist ein lernender Rottweiler. Das System merkte sich das Benutzerverhalten und zahlreiche Signaturen. Damit war es in der Lage, bekannte Angriffe gegen die Datenbank und das darunter liegende Betriebssystem zu blockieren. Der Securesphere-DSG lässt sich allein einrichten und verwalten, aber der MX-Server bietet einen handlichen, zentralen Einstiegspunkt.

Für das Management sind in der MX-Server-Web-Schnittstelle Servergruppen zu erzeugen. Für den Test wurden zwei solcher Gruppen erstellt, die Microsoft-SQL- und Oracle-Server enthielten. Um eine Baseline – die Grundlage – zu erhalten, wurden verschiedene Ruby-Scripts und I-Macros automatisiert. Sie liefen in Intervallen, um Benutzeraktivitäten zu simulieren, und zwar direkt in Richtung Datenbank sowie durch eine E-Commerce-Web-Site.

Imperva nutzt so genanntes Dynamic-Profiling, um Baselines zu erzeugen und zu lernen, was als normales Benutzerverhalten zu betrachten ist. Administratoren können auch manuell Profile erzeugen und Tabellen definieren, aber es ist viel effizienter, dies dem DSG zu überlassen.

Sobald die Profile eingerichtet sind, beginnt der Spaß. Im Test wurde nun definiert, was das System als Database-Extrusion ansehen soll. Organisationen, denen es auch um PCI-Compliance geht, werden nicht enttäuscht: Imperva bietet verschiedene definierte Regelsammlungen, die Kreditkarten-Lecks entdecken. Mit bis zu 200 Regeln für jeden großen Anbieter wird es aber rasch unübersichtlich. Und alle Regeln sind in der Voreinstellung eingeschaltet.

Beim Auditing des Benutzerverhaltens arbeitet der DSG deutlich feinerfühlig als die meiste Datenbankserver-Software. Aktuelle Antworten von der Datenbank lassen sich in ein Log schreiben, um zu sehen, welche Daten die Alerts generierten. Dies ist einerseits nützlich, andererseits eine potenzielle Verletzung. Man stelle sich vor: Ein Angreifer war in der Lage, 1500 Kreditkartennummern aus dem System zu ziehen, und diese Nummern stehen nun in der Logdatei – damit hat der Administrator ein PCI-Compliance-Problem.

Glücklicherweise bietet Imperva die Option, rohe Queries nicht protokollieren zu lassen. Außerdem kümmert sich Imperva um die Compliance, indem es die Aufgaben separiert und das Datenbank-Logging aus dem Machtbereich des Datenbankadministrators verschiebt.

Da sich der DSG inline platzieren lässt, kann er als Firewall und IPS arbeiten. Neben den Signaturen zur Bestimmung normalen Verkehrs enthält das System Signaturen bekannter Attacken und Protokoll-Decoder. Damit entdeckt es Protokollabnormitäten, die auf einen Angriff hindeuten könnten. Da die meisten Organisationen sicherlich schon eine Firewall eingerichtet haben, wird dies eins der weniger genutzten Features sein. Trotzdem ist es gut, dieses zu haben, denn es hilft beim Aufbau eines vielschichtigen Verteidigungssystems.

Im Test wurden ein paar SQL-Injection-Angriffe probiert. Die Signaturen entdeckten einige davon, aber nicht alle. Dann wurden die Signaturen ausgeschaltet, damit zu sehen war, ob das Profil des Web-Benutzers die Änderung im Verhalten entdeckt. Das tat es.

Imperva liefert mit dem DSG eine vollständige Assessment-Komponente, welche die Sicherheit eines Datenbankservers einschätzt. Die Funktion prüft generelle Datenbank-Sicherheitsfeatures, testet auf aktuelle Datenbank-Sicherheitsanfälligkeiten und verifiziert die Sicherheit des darunter liegenden Betriebssystems. Getestet wurde das Assessment gegen Standardinstallationen von Microsoft-SQL-Server. Wie gehofft, fand der Scanner all die Sicherheitsanfälligkeiten, die in den Standardinstallationen dieser Produkte zu erwarten sind.

Sämtliche Managementaufgaben führt der Administrator direkt über die leicht benutzbare MX-Management-Server-Schnittstelle aus. Änderungen sind mit einem Mausklick an die verwalteten Geräte zu verteilen. Für Organisationen mit vielen geographisch verteilten Datenbankservern ist der MX-Server eine gute Wahl, denn er bietet zentrales Management und zentrale Richtlinien. Impervas DSG ist ein solides Produkt.

  1. Dringeblieben, oder ich schieße
  2. Dringeblieben, oder ich schieße (Fortsetzung)
  3. Guardium SQL Guard
  4. Crossroads StrongBox DB Protector
  5. Dringeblieben, oder ich schieße (Fortsetzung)
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Xiamen Yeastar Information Technology Co., Ltd.

Xiamen Yeastar Information Technology Co., Ltd.
LINDY-Elektronik GmbH

LINDY-Elektronik GmbH
PNY Technologies Quadro GmbH

PNY Technologies Quadro GmbH
byon GmbH

byon GmbH

easybell GmbH

easybell GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH