Dnes: 18. ledna 2018    | Registrace | Hledáme | Redakce | Info | Testy | Školení | Ocenění | Nápověda | Čtenář: nepřihlášen

Rychlé odkazy
  • Hlavní stránka
  • Seznam rubrik
  • Ankety
  • Editoriály
  • TOP 15
  • KONFERENCE 2008
  • KONFERENCE 2007
  • KONFERENCE 2006
  • KONFERENCE 2005
  • KONFERENCE 2004
  • Sborník
  • Testy
  • Virtuální školení
  • Personalizace


  • Hledáte práci?
    Hledáme redaktora - pojďte s námi tvořit Databázový svět!

    Vyhledávání

    Hledej
    na Databázovém světě!



    Rozšířené vyhledávání

    Rubriky
    Aktuality
    Bezpečnost
    Business
    Česká scéna
    Datové sklady
    Dokumentace
    Dotazovací jazyky
    Hardware
    Historie
    Komentáře
    Literatura
    Metodologie
    Nondb
    Open Source
    Poradna
    Produkty
    Případové studie
    Redakce
    Rozhovory
    Standardy
    Technologie
    Tipy - triky
    Tiskové zprávy
    Vývoj
    Vývojové nástroje
    Zajímavosti

    Co je to?
    SŘBD
    (Systém řízení báze dat)

    Programový systém umožňující vytváření, údržbu a použití báze dat. Podle komplexnosti je možné SŘBD rozdělit na nižší (např. PC Fand), střední (FoxPro) a vyspělé (Oracle 9i).

    Akce
    Dynamická Datová Centra
    - na semináři se seznámíte s komplexním řešením a koncepcí Dynamických Datových Center od Fujitsu Siemens Computers se speciálním důrazem na řešení FlexFrame.

    Textová inzerce
    IBPhoenix - Vše o InterBase a Firebirdu.

    Smějete se rádi? - Pak je pro vás Vtipník to pravé!

    Prodejce reklamy - Hledáme schopného prodejce reklamního prostoru, možnost i externí spolupráce.

    Přihlášený čtenář
    Nepřihlášený čtenář

    O portálu
    Databázový svět
    ISSN: 1213-5933

    Web je optimalizován pro rozlišení 1024x768, nicméně kromě větších rozlišení podporujeme i 800x600. Podrobnosti najdete zde.

    Chcete-li mít kdykoliv možnost zkontrolovat obsah našeho portálu, můžete využít podporu rss. Podrobnosti najdete zde.
    Audit a bezpečnostní analýzy V.


    [Bezpečnost] - Přinášíme vám pátý díl rozsáhlého seriálu zaměřeného na problematiku podpory auditu a bezpečnostních analýz v databázových platformách. Dnes se podíváme podrobněji na možnosti auditu ve chvíli, kdy daná databázová platforma nenabízí potřebné prostředky.



    Zachycení síťové komunikace
    Síťové systémy detekce průniků používají jako zdroj dat síťové pakety. Ty jsou zachycovány pomocí vhodného zařízení. Tím může být sniffer paketů před databázovým serverem připojený přes přepínač portů. Zachytávána je veškerá komunikace. Přepínač obyčejně umožní replikovat data ze všech portů do jediného, a tak (i) zachytávat síťovou komunikaci z celé lokální sítě. V první fázi dojde k filtrování paketů na ty, které budou dále propuštěny, a na ty, které budou zaslány do detekčního modulu. Pro databázové prostředky je pak nezbytné extrahování SQL příkazů zaslaných na server.

    ***REKLAMA*** Už jste se registrovali na Dabázový svět 2008? ***REKLAMA***

    Předností síťových přístupů je schopnost monitorování aktivit a odpovědi na ně v reálném čase. Další výhody pak plynou z možné spolupráce databázového se systémovými prostředky a jejich částmi. Síťový přístup může například aktualizovat blacklist firewallu s IP adresami počítačů s podezřením na útočníka. Oproti host-based systémům jsou zde menší náklady na správu, není potřeba instalovat a spravovat zařízení na množství různých hostů a jejich dílčích zařízeních. Je nezávislý na typu operačního systému, má schopnost detekce útoků za firewallem. Přímo se zde nabízí řešení uložení zpráv o útocích na odlišném místě a tím znemožnění útočníkovi vymazat auditní soubory protokolu a zahladit stopy.

    K zachycení TCP/IP komunikace je k dispozici řada volně dostupných nástrojů. Mezi takové patří například tcpdump. Tcpdump je nástroj pro ladění počítačových síťí. K zachytávání paketů využívá knihovnu libpcap. Nástroj pracuje na většině operačních systémů unixového typu, pro Windows existuje port WinDump. Výstup každého snifferu směřuje do odděleného souboru. Vzhledem k tomu, že výstup není primárně určen k bezpečnostním účelům, je zapotřebí v rámci zpracování dat výstupu pomocí vhodného skriptu skenovat všechny tcpdump soubory a extrahovat informace o připojení.

    Volně dostupný nástroj dSniff, sniffer paketů a sada nástrojů analyzujích tok dat, na rozdíl od tcpdump a dalších low-level snifferů, obsahuje i nástroje na dekódování obsahu posílaných informací, proto poněkud neslavně proslul dekódováním hesel.

    Další nástroje v dSniff balíku jsou schopny analyzovat a zachytit známé útoky. Webmitm je schopen rozpoznat man-in-the-middle attack či macof, program určený k prolomení ethernetových switchů zahlcením pakety s falešnými MAC adresami.

    Listener a System Global Area
    I v případě, kdy server neposkytuje žádné prostředky auditu, lze použít nějaké nástroje serveru, které umožňují sledování aktivit v databázi. Pro použitý detekční systém by byl vhodný nějaký `"man-in-the-middle". Tím je typicky naslouchač, listener. Listener je proces, který sídlí na serveru a jehož úkolem "naslouchat" přicházejícím požadavkům klienta a řídit spojení se serverem. Při navázání spojení klienta se serverem listener porovná své údaje s informacemi klienta, vyhovují-li, umožní spojení se serverem. Tímto způsobem lze zajistit monitorování veškeré komunikace, nikoli však v rámci šifrování s ověřením. Nestane se tak, že by například sniffer ignoroval nový interface či přidanou síťovou kartu.

    Další možností je přístup k provedeným SQL příkazům přímo v System Global Area (SGA). V platformě Oracle Database tvoří SGA část operační paměti sdílené všemi procesy patřící k instanci databáze. Pomocí skriptu v Pro*C je možné číst přímo z SQL oblasti SGA. Host-based senzor vyžaduje ke své činnosti administrátorské oprávnění, takže čtení z SGA mu je umožněno.

    Zachycení komunikace pomocí modifikace SŘBD
    Další typ senzoru umožňuje detekci útoků zneužívajících slabých míst ve webových aplikacích k napadení serveru na pozadí. Prováděné SQL dotazy v komunikaci mezi uživatelem a databázovým serverem jsou tunelovány pomocí modifikované knihovny libmysqlclient, která zaznamenává veškeré prováděné SQL příkazy do příslušného souboru. Libmysqlclient je součástí MySQL, kterou využívá většina aplikací, podporující MySQL databázi, pro komunikaci mezi oběma stranami.

    Tato metoda, založená na modifikaci knihovny zodpovědné za komunikaci obou stran, je umožněna díky open-source povaze platformy MySQL. Tento přístup tudíž není možné použít u komerčních systémů.

    Zachycení host-based komunikace
    Databázové soubory protokolu mohou sloužit jako úložiště dat o databázové aktivitě u platforem, které přímo nepodporují uložení auditních záznamů v databázi, například auditních tabulkách jako u Oracle Database. Takových platforem, které mají podobnou úroveň podpory auditu není mnoho. Nicméně většina z nich poskytuje alespoň nějaké informace o databázové aktivitě – ty jsou pak ukládány právě v podobě souborů protokolu. Tento zdroj informací se tak stává hlavním host-based zdrojem informací pro následnou analýzu specifických databázových aktivit pro detekční systémy útoků na úrovni dat, nikoli systému či sítí.

    V reálné praxi se tento přístup uplatní pro méně důkladné hlídání aktivit v databázi, ale také pro prvotní vyhodnocení nastavení zabezpečení. Ze souborů protokolu se zjistí profil aktivit jednotlivých uživatelů. Dojde k vytvoření rolí – bezpečnostních politik, které jsou poté jednotlivým uživatelům přiděleny dle jeho předchozích aktivit. Neobvyklé události pak uživateli nejsou povoleny a musí jejich využití zdůvodnit.

    Extrakce dat
    Aktivity v síťi i na jednotlivých hostech mohou být monitorovány řadou senzorů, které průběžně vytváří tok auditních dat. Jak výstup ze síťových senzorů, tak i senzorů umístěných na jednotlivých hostech, mívá podobu nějakého souboru. Standardizování podoby souborů protokolu však příliš nefunguje a zařízení používají vlastní formáty výstupu. Při rozmístění systému sběru auditních dat tak představují senzory část, která je specifická pro hlídaný server. Typicky tato výstupní data vyžadují další zpracování k získání klíčových položek, které jsou použitelné pro následné analýzy.

    První možnost extrakce dat představuje využití nástrojů SŘBD specifických pro daný server. Jedná se o porovnání pomocí like a funkce typu substr().

    Například pro zaznamenání všech provedených příkazů do souboru protokolu je nutné v PostgreSQL nastavit následující úpravou konfiguračního souboru postgresql.conf:

    log_statement = 'all'
    

    Záznam v souboru protokolu:

     [2007-09-05 12:06:15.800 ADT] 192.168.2.10: LOG:db  statement: SELECT * FROM Projekt
    

    Druhou možností je využití potenciálu regulárních výrazů. Jejich funkcionalita může být vnesena do databázové platformy implementováním uživatelem definované funkce, která bude integrovat běžně využívané knihovny pro práci s regulárními výrazy s databází. Příklad implementace může být na knihovně pcre (Perl-compatible regular expresion).

    Regulární výrazy lze využít i v externí aplikaci. Existuje řada volně dostupných softwarových utilit schopných práce s regulárními výrazy, například standardní unixový nástroj egrep. K parsování samotného SQL příkazu se hodí i nástroje určené přímo k tomuto účelu. Příkladem může být General SQL Parser.

    Výstupem tak bude naplnění datové struktury pro reprezentaci provedených příkazů v databázi.

    Senzory mohou zaznamenávat následující údaje pro potřeby analytických nástrojů auditu:

    • identifikace použitého terminálu či IP adresa
    • ID uživatele
    • ID sezení
    • časová značka – čas zahájení a ukončení transakce
    • SQL příkaz


    Související články:
    Audit a bezpečnostní analýzy XI. (17.02.2009)
    Audit a bezpečnostní analýzy X. (14.01.2009)
    Audit a bezpečnostní analýzy IX. (04.12.2008)
    Audit a bezpečnostní analýzy VIII. (19.11.2008)
    Audit a bezpečnostní analýzy VII. (12.11.2008)
    Audit a bezpečnostní analýzy VI. (05.11.2008)
    Audit a bezpečnostní analýzy IV. (22.10.2008)
    Audit a bezpečnostní analýzy III. (15.10.2008)
    Audit a bezpečnostní analýzy II. (08.10.2008)
    Audit a bezpečnostní analýzy I. (01.10.2008)

    ( Celý článek! | Autor: Lukáš Brůha | Počet komentářů: 0 | Přidat komentář | Informační e-mailVytisknout článek )

    Vyhledávání
     

    Anketa
    Kolik ročně utratíte za dovolené?

    Nic 
     (1548 hl.)
    Do 1 000,- Kč 
     (1068 hl.)
    Do 10 000,- Kč 
     (999 hl.)
    Do 25 000,- Kč 
     (1378 hl.)
    Do 50 000,- Kč 
     (1016 hl.)
    Do 75 000,- Kč 
     (1178 hl.)
    Více než 75 000,- Kč 
     (1019 hl.)

    Celkem hlasovalo: 8206


    Poslední komentáře
    frontierd@126.com
    frontierd@126.com
    frontierd@126.com
    c
    http://www.coachoutl

    Newsletter
    Přihlaste si nezávazně - i bez registrace - odběr informačního newsletteru. Podrobné informace najdete zde.

    Emailová adresa:


    Kalendář
    <<  Leden  >>
    PoÚtStČtSoNe
    1234567
    891011121314
    15161718192021
    22232425262728
    293031    

    Redakci připojuje


    Nejčtenější

    Databáze je prázdná!


    Nejvíce komentářů

    Databáze je prázdná!


    Reklama






    Nenechte si ujít články na dalších webech




    Na této stránce použité názvy programových produktů, firem apod. mohou být ochrannými známkami
    nebo registrovanými ochrannými známkami příslušných vlastníků.

    Databázový svět | dfKlub - digitální fotografie | Vtipník - vtipy přímo k Vám | Reminder - přestaňte zapomínat | Databázový svět

    Copyright (c) 2004 AVRE Publishing, spol. s r.o. Všechna práva vyhrazena