Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
© ika 2012· All rights reservedFolie Nr. 1 · Institut für Kraftfahrzeuge RWTH Aachen University Seminarvortrag Paul Voth Sicherheit von Datenbanksystemen Aachen, 23. Januar 2012
2
© ika 2012· All rights reservedFolie Nr. 2 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
3
© ika 2012· All rights reservedFolie Nr. 3 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
4
© ika 2012· All rights reservedFolie Nr. 4 · Einleitung Sicherheit hat hohen Stellenwert in IT-Unternehmen und Banken Begriff „Sicherheit“ hat sich gewandelt Früher: Sicherstellung der Funktionalität Heute: Datensicherheit intern extern Vorteil bei Privatrechnern: Dynamische IP-Adresse
5
© ika 2012· All rights reservedFolie Nr. 5 · Einleitung Große Unternehmen dagegen statische IP-Adresse Leichtes Angriffsziel für Hacker Negativbeispiel für Sicherheit: Sonys „Playstation Network“ Weitergabe von Informationen mit Bedacht
6
© ika 2012· All rights reservedFolie Nr. 6 · Agenda Einleitung Allgemeine Sicherheit des DBS Standort des Servers Backup / Restore Wahl des Betriebssystems Sicherheit in Windows Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
7
© ika 2012· All rights reservedFolie Nr. 7 · Allgemeine Sicherheit des DBS Bevorzugt Rechenzentrum Vorteile: Rauchmelder Überwachungskameras Zutritt zum Serverraum gesichert Leistungsfähige Klimaanlage Standort des Servers
8
© ika 2012· All rights reservedFolie Nr. 8 · Allgemeine Sicherheit des DBS Geringere Anforderungen in kleinen Firmen: Gut gekühlter Raum Unabhängiges Türschloss Zutritt nur für Administratoren Keine Eingabegeräte am Server Keine direkte Verbindung zum Internet Standort des Servers
9
© ika 2012· All rights reservedFolie Nr. 9 · Agenda Einleitung Allgemeine Sicherheit des DBS Standort des Servers Backup / Restore Wahl des Betriebssystems Sicherheit in Windows Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
10
© ika 2012· All rights reservedFolie Nr. 10 · Allgemeine Sicherheit des DBS Anfertigung von Sicherungskopien Von erfahrenen Personen anfertigen lassen Auslagerung auf separate Backup-Server Eventuell auf externen Festplatten Backup / Restore
11
© ika 2012· All rights reservedFolie Nr. 11 · Agenda Einleitung Allgemeine Sicherheit des DBS Standort des Servers Backup / Restore Wahl des Betriebssystems Sicherheit in Windows Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
12
© ika 2012· All rights reservedFolie Nr. 12 · Allgemeine Sicherheit des DBS An Anforderungen von Software anpassen Ausgewogenheit zw. Sicherheit und Performance Wahl des Betriebssystems kostenpflichtig Open-Source bekannt sicher
13
© ika 2012· All rights reservedFolie Nr. 13 · Allgemeine Sicherheit des DBS Im Folgenden: Wahl des Betriebssystems
14
© ika 2012· All rights reservedFolie Nr. 14 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Firewall Virenschutz Updates Benutzer Passwort Verzicht auf Anwendungen/Dienste Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
15
© ika 2012· All rights reservedFolie Nr. 15 · Sicherheit in Windows Schutz vor Angriffen aus lokalem Netz Kein Ersatz für Firewalls aus Rechenzentren Regeln für unterschiedliche Netzwerke: Privat Öffentlich Firma Keine Software von Drittanbieter installieren Enthält möglicherweise selbst Sicherheitslücken Gefahr für Sicherheit Firewall
16
© ika 2012· All rights reservedFolie Nr. 16 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Firewall Virenschutz Updates Benutzer Passwort Verzicht auf Anwendungen/Dienste Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
17
© ika 2012· All rights reservedFolie Nr. 17 · Sicherheit in Windows Installierte Software: Microsoft Tool zum Entfernen bösartiger Software Entfernt nur aktive Schadsoftware Schadsoftware muss an sensiblen Stellen im System sein Kein echtes Antivirenprogramm Empfehlung: Externes Antivirenprogramm Virenschutz
18
© ika 2012· All rights reservedFolie Nr. 18 · Sicherheit in Windows Kriterien für Antivirenprogramm Tägliche Updates Geringe Auslastung des Servers Preis-Leistungsverhältnis beachten Gute Erkennungsrate für Schädlinge Gute Heuristik Kein falscher Alarm Für Server wichtig: Info an Admin bei Fund Virenschutz
19
© ika 2012· All rights reservedFolie Nr. 19 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Firewall Virenschutz Updates Benutzer Passwort Verzicht auf Anwendungen/Dienste Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
20
© ika 2012· All rights reservedFolie Nr. 20 · Sicherheit in Windows Windows Server Update Service (WSUS) Aktualisiert Funktionalität Schließt Sicherheitslücken Updates auch für SQL-Server Aktualisiert Software von anderen Herstellern Automatische Updates Manuelle Updates Programme nachhaltig pflegen Updates Administrator muss vor Ort sein Vorsicht vor inkompatiblen Updates
21
© ika 2012· All rights reservedFolie Nr. 21 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Firewall Virenschutz Updates Benutzer Passwort Verzicht auf Anwendungen/Dienste Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
22
© ika 2012· All rights reservedFolie Nr. 22 · Sicherheit in Windows Einteilung der Benutzer: Administrator des Betriebssystems Ausschließlich für Serverkonfiguration Administrator für SQL-Datenbank Ausschließlich für Datenbank Verwaltung durch Remotedesktopverbindung Gruppe anlegen für Remotedesktopbenutzer Keine Standardbenutzer mehr Benutzer
23
© ika 2012· All rights reservedFolie Nr. 23 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Firewall Virenschutz Updates Benutzer Passwort Verzicht auf Anwendungen/Dienste Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
24
© ika 2012· All rights reservedFolie Nr. 24 · Sicherheit in Windows Muss einige Anforderungen erfüllen: Darf keinen Teil des Benutzernamen enthalten Keine Wörterbucheinträge Mindestens zehn Zeichen lang Zeichen aus drei der vier Kategorien enthalten: Großbuchstaben (A bis Z) Kleinbuchstaben (a bis z) Zahlen (0 bis 9) Nicht-alphabetische Zeichen (z.B. !, $, #) Gilt dann als „sicher“ Passwort
25
© ika 2012· All rights reservedFolie Nr. 25 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Firewall Virenschutz Updates Benutzer Passwort Verzicht auf Anwendungen/Dienste Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
26
© ika 2012· All rights reservedFolie Nr. 26 · Sicherheit in Windows Sicherheitskritische Programme deinstallieren Vorsicht bei Programmen mit Internetverbindung Möglicherweise Weitergabe von Daten im Hintergrund Für Server und DB irrelevante Software deinstallieren Dienste wie Telnet deaktivieren Dessen Port (22) sperren Andernfalls nur für SSH-Zugriff freigeben Verzicht auf Anwendungen / Dienste
27
© ika 2012· All rights reservedFolie Nr. 27 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Sicherheit in Linux Root Firewall TCP-Wrapper Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
28
© ika 2012· All rights reservedFolie Nr. 28 · Sicherheit in Linux Nach Installation des Servers: Passwort für root ändern Rechte für Kommando su nur an bestimmte Benutzer Zum Arbeiten andere Benutzer als root wählen root nur für Administration SSH-Zugriff als root verhindern: PermitRootLogin von YES auf NO Root
29
© ika 2012· All rights reservedFolie Nr. 29 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Sicherheit in Linux Root Firewall TCP-Wrapper Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
30
© ika 2012· All rights reservedFolie Nr. 30 · Sicherheit in Linux Regeln: Einen Grundsatz wählen Was nicht explizit erlaubt ist, ist verboten Sicher, aber zeitaufwändig Was nicht explizit verboten ist, ist erlaubt Unsicher, aber leicht umsetzbar Reihenfolge der Regeln entscheidend Am Ende alles verbieten Firewall
31
© ika 2012· All rights reservedFolie Nr. 31 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Sicherheit in Linux Root Firewall TCP-Wrapper Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
32
© ika 2012· All rights reservedFolie Nr. 32 · Sicherheit in Linux Sicherheitsschicht zw. inetd und restlichen Diensten inetd reicht Anfrage an tcpd Vorgehen von tcpd : Host in /etc/hosts.allow eingetragen? Ja Dienst sofort starten Host in /etc/hosts.deny eingetragen? Ja Ausführung des Dienstes verweigert Nein Dienst starten Sicherheitsmaßnahme: ALL: ALL in /etc/hosts.deny eintragen TCP-Wrapper
33
© ika 2012· All rights reservedFolie Nr. 33 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Sicherheit in Linux Externe Bedrohungen SQL Injection Cross-Site-Scripting (XSS) Denial-of-Service (DoS) Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
34
© ika 2012· All rights reservedFolie Nr. 34 · Externe Bedrohungen SQL-Abfragen in Formularfeldern Befehle können in URL stehen Unzureichende Absicherung von SQL-Abfragen Mehr als 90% Datendiebstähle durch SQL Injection SQL Injection
35
© ika 2012· All rights reservedFolie Nr. 35 · Externe Bedrohungen Beispiel (PHP): $query = “SELECT * FROM ‘adressen‘ WHERE ‘haus_nr‘ LIKE ‘“.$_GET[‘nummer‘].“‘“; Variable „nummer“ ersetzen durch 1‘; DROP TABLE ‘adressen‘;-- Ergebnis $query = “SELECT * FROM ‘adressen‘ WHERE ‘haus_nr‘ LIKE ‘1‘; DROP TABLE ‘adressen‘;--‘“; Tabelle „adressen“ wird gelöscht Weitere Ausnutzung: Neue Benutzer mit Adminrechten anlegen SQL Injection
36
© ika 2012· All rights reservedFolie Nr. 36 · Externe Bedrohungen Prüfung der Eingabedaten Zahlen in Zahlenfeldern Texte in Textfeldern Datum im Datumsfeld In PHP: mysql_real_escape_string() Maskierung von SQL-spezifischen Zeichen Nachteil: Alle Variablen selber prüfen Ausreichend, aber nicht bester Schutz SQL Injection - Schutzmaßnahmen
37
© ika 2012· All rights reservedFolie Nr. 37 · Externe Bedrohungen Besser: PHP Data Object Klassen: PDO, PDOStatement Realisierung von Prepared Statements SQL-Statement mit Platzhaltern $query = “SELECT * FROM ‘mitarbeiter‘ WHERE ‘nachname‘ LIKE :name“; Vorbereiten mit: prepareStatement($query) Statement wird an Server gesendet DB-Treiber kümmert sich um Validierung Nur noch Änderung der freien Parameter bindParam(“:name“, $name) SQL Injection - Schutzmaßnahmen
38
© ika 2012· All rights reservedFolie Nr. 38 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Sicherheit in Linux Externe Bedrohungen SQL Injection Cross-Site-Scripting (XSS) Denial-of-Service (DoS) Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
39
© ika 2012· All rights reservedFolie Nr. 39 · Externe Bedrohungen JavaScript-Code in Formularfeldern Üblicherweise wird GET-Parameter geändert Mangels Validierung wird Befehl ausgeführt Mögliche Folgen: Zugriff auf Login-Daten anderer User Cookie-Informationen anderer User auslesen Bestandteile von Sessions manipulieren Cross-Site-Scripting (XSS)
40
© ika 2012· All rights reservedFolie Nr. 40 · Externe Bedrohungen Validierung aller für DB relevanten Variablen Sowohl GET- als auch POST-Parameter In PHP: htmlentities() HTML wird als Text ausgegeben Bei erwünschten HTML-Tags Eigene Funktionen schreiben Gefahr: HTML-Tags werden übersehen Cross-Site-Scripting (XSS) - Schutzmaßnahmen
41
© ika 2012· All rights reservedFolie Nr. 41 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Sicherheit in Linux Externe Bedrohungen SQL Injection Cross-Site-Scripting (XSS) Denial-of-Service (DoS) Interne Bedrohungen Allgemeine Sicherheit (Ergänzung)
42
© ika 2012· All rights reservedFolie Nr. 42 · Externe Bedrohungen Auslastung des Servers durch zu viele Anfragen DoS durch Ausnutzung von Programmierfehlern Andere Form: DDos (Distributed Denial of Service) Anfragen unzähliger Rechner gleichzeitig (Botnetze) Dienst stürzt ab Annahme weiterer Anfragen verweigert Angreifer kann IP-Adresse „kapern“ Denial-of-Service (DoS)
43
© ika 2012· All rights reservedFolie Nr. 43 · Externe Bedrohungen Solider Schutz durch Sperrlisten Pakete der IP-Adresse werden verworfen Firewall: Begrenzte Anzahl an Paketen pro Zeiteinheit durchlassen DoS-Angriff verliert Effektivität Denial-of-Service (DoS) – Schutzmaßnahmen
44
© ika 2012· All rights reservedFolie Nr. 44 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Missbrauch von Zugriffsrechten Fehlerhafte Datenbankkonfiguration Allgemeine Sicherheit (Ergänzung)
45
© ika 2012· All rights reservedFolie Nr. 45 · Interne Bedrohungen Größte Gefahr ist Mitarbeiter Unerfahrene Benutzer Daten lokal speichern Gefährdung der Daten durch Trojaner / Viren Benutzer mit uneingeschränkten Zugriffsrechten Überschreitung des Zuständigkeitsbereichs Gefährlich bei: Neuen Mitarbeitern Mitarbeitern kurz vor Entlassung Missbrauch von Zugriffsrechten
46
© ika 2012· All rights reservedFolie Nr. 46 · Interne Bedrohungen Rechte auf relevante Tabellen einschränken Kontrolle der Logdateien Verdächtig: Zu häufige Zugriffszahl auf Datenbestand Verhalten der Benutzer beobachten Welche Daten benutzen sie? DB-User für jeden Mitarbeiter Verwendung von „Views“ Missbrauch von Zugriffsrechten - Schutzmaßnahmen
47
© ika 2012· All rights reservedFolie Nr. 47 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Missbrauch von Zugriffsrechten Fehlerhafte Datenbankkonfiguration Allgemeine Sicherheit (Ergänzung)
48
© ika 2012· All rights reservedFolie Nr. 48 · Interne Bedrohungen Sicherheitslücken werden mit der Zeit entdeckt Datenbank wird nach Installation nicht nachbearbeitet Standardbenutzer Standardpasswort Adminzugang ohne Passwort Unterschiedliche Hosts greifen auf DB zu Sicherheitsrisiko Fehlerhafte Datenbankkonfiguration
49
© ika 2012· All rights reservedFolie Nr. 49 · Interne Bedrohungen Sicherheitsupdates installieren Zusätzliche Patches auf Notwendigkeit prüfen Zugriff außerhalb des Firmennetzes verbieten Innerhalb des Firmennetzes nur verschlüsselt Zugriff möglichst nur über localhost Passwort und Benutzername von root ändern Nur root hat alle Privilegien Fehlerhafte Datenbankkonfiguration - Schutzmaßnahmen
50
© ika 2012· All rights reservedFolie Nr. 50 · Interne Bedrohungen Wichtige Konfigurationsdatei: /etc/my.cnf Eigentümerrechte der Datei an root Modifizierungsrecht auch an root Nur Leserecht an alle anderen Benutzer Fehlerhafte Datenbankkonfiguration - Schutzmaßnahmen
51
© ika 2012· All rights reservedFolie Nr. 51 · Agenda Einleitung Allgemeine Sicherheit des DBS Sicherheit in Windows Sicherheit in Linux Externe Bedrohungen Interne Bedrohungen Allgemeine Sicherheit (Ergänzung) Verschlüsselung von Daten
52
© ika 2012· All rights reservedFolie Nr. 52 · Allgemeine Sicherheit (Ergänzung) Am häufigsten benutzt für Passwort Hilft bei unsicherem Passwort wenig Alle sensiblen Daten nur verschlüsselt speichern Funktionen: PASSWORD (41 Zeichen, nur MySQL-intern) MD5 (32 Zeichen) SHA1 (40 Zeichen) SHA1 ist am sichersten Verschlüsselung von Daten
53
© ika 2012· All rights reservedFolie Nr. 53 · Danke
Ähnliche Präsentationen
