Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
oder anderen Kommunikationsserver vor den eigentlichen Datenbankserver geschaltet<br />
hat. Ohne ein sogenanntes Port-Sharing mit dynamischen Ports bleibt dann natütlich die<br />
Zahl der simultanen Clients auf einen begrenzt. Mit aktiviertem Port-Sharing, also beim<br />
Einsatz von ORACLE als "multi threaded" Server, der vielen Clients gleichzeitig Rede <strong>und</strong><br />
Antwort steht, müssen nämlich in der <strong>Firewall</strong> alle Ports > 1024 <strong>für</strong> den Zugriff auf den<br />
SQL Server geöffnet werden. Dies muß aus diesem Gr<strong>und</strong> geschehen, da es ja nicht der<br />
SQL-Server ist, der die Verbindungen zum Client anfordert, sondern es die Clients sind,<br />
die die Ports > 1024 anfordern. Es bleibt also allein <strong>für</strong> <strong>Firewall</strong>s die Aufgabe, die IP -<br />
Nummern der Clients zu selektieren, also nur auf Cirquit-Level den Zugriff auf den<br />
Datenbank-Server einschränken. Für MySQL ab Version 3.20 gilt Port 3333, <strong>für</strong> die<br />
älteren Versionen der Port 3306.<br />
Welches sind die Gefahren, die einer Datenbank drohen ? Hier kann man mehrere<br />
aufzählen:<br />
1. Denial of Service durch zu zuviele Abfragen/Sek<strong>und</strong>e<br />
2. Denial of Service durch zu komplexe Abfragen<br />
3. Denial of Service durch fehlerhafte Statements<br />
4. Denial of Service durch zu lange Ausgabe-Ergebnisse<br />
5. Denial of Service durch Parameter mit Überlänge<br />
6. Denial of Service durch "buffer overflow"<br />
7. Einbruch in die Datenbank durch Ersniffen der Paßworte über das Netzwerk<br />
8. Einbruch durch Fehler in der Konfiguration des Authntifizierungsmechanismus<br />
9. Einbruch über den PDC/BDC im Falle von Microsoft Netzwerken<br />
10. Einbruch über andere unsichere Dienste<br />
11. Einbruch durch Erraten der Paßworte "dictionary attacks"<br />
12. Einbruch durch unsichere Clients<br />
13. Einbruch durch unklare Zugriffsrechte<br />
14. Einbruch durch Replikations-Server von ACCESS<br />
15. Einbruch durch trojanische Pferde (ODBC, ACCESS)<br />
16. Einbruch in den ODBC Treiber (Microsoft Windows NT)<br />
17. Einbruch über andere Sicherheitslücken<br />
18. Ausspähen der Daten bei der Übertragung über das Netzwerk (ACCESS)<br />
19. Zugriff mit gespoofter IP nach der Paßwort-Authentifizierung<br />
Die Probleme sind hier unterschiedlicher Natur <strong>und</strong> von System zu System verschieden.<br />
Hier weitere Erläuterungen zu den obigen Punkten:<br />
1. Denial of Service durch zu viele Abfragen pro Sek<strong>und</strong>e treten häufig bei<br />
Internet Datenbanken auf. Datenbanken sind recht schnell, wenn keine<br />
Schreibzugriffe stattfinden, das weit größere Problem sind aber die Interfaces,<br />
allen voran CGI-BIN´s oder ASP´s <strong>für</strong> die Ausgabe auf WWW-Browser. Eine<br />
besonderes Problem tritt z.B. bei dem IIS-Server unter Windows NT 4.0 auf,<br />
der bei der Eingabe von "https" anstelle von "http" durch die CPU - fressende<br />
Verschlüsselung bei vielen simultanen Abfragen schnell zum Erliegen kommt.<br />
2. Denial of Service durch zu komplexe Abfragen tritt relativ häufig auf. Wer<br />
schon einmal in den großen Suchmaschinen nach Begriffen gesucht hat, die<br />
garantiert nicht enthalten sind, wird feststellen, daß die Suchanfrage viel<br />
Länger dauert, als wenn ein gängiger Begriff recherchiert werden soll. Wenn<br />
mehrere dieser Begriffe noch durch ODER verknüpft werden, dann kann es<br />
passieren, daß die Datenbank schon mit einer Anfrage Minuten beschäftigt<br />
ist.<br />
3. Denial of Service durch fehlerhafte Statements ist weit komplexer, als man<br />
vielleicht ahnen kann. Hinter jeder Datenbank stecken recht viele<br />
Möglichkeiten, Befehle miteinander zu kombinieren. Bei SQL Datenbanken<br />
sind die Möglichkeiten so vielfältig, daß man durchaus duch geschickte<br />
INDIZIERUNG bestimmter Fehler das tausend oder millionenfache an<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins