יום רביעי, 9 באפריל 2014

מכללת טרביצקי| פרק שני - DAF





     קשה לתאר את עולם האינטרנט המודרני ללא בסיסי נתונים. הם נמצאים כמעט מאחורי אתר אינטרנט, בכל רכיב עם ממשק וובי, בטלפונים חכמים ואפילו במכוניות.
בסיסי מידע כבר לא מוגבלים ליישומים פנימיים ברשת תקשורת מקומית ורוב יישומים מבוססי אינטרנט מסתמכים עליהם. בפוסט זה, אסביר מה שחומות אש למסדי נתונים ידעים לעשות, איך להתקינם, איך הם מגינים על התקפות יחודיות על בסיסי נתונים וכמה שיטות עבודה מומלצות לאבטחת שרתי בסיסי נתונים.


מה זה מסד/בסיס נתונים ?

מאגר של מידע מאורגן באופן שיטתי או מובנה באינדקס (בדרך כלל כקבוצה של קבצי נתונים מקושרים) שמאפשר שליפה קלה, עדכון, ניתוח, ופלט של נתונים. מאוחסן בדרך כלל במחשב, נתונים אלה יכולים להיות בצורה של גרפיקה, דוחות, סקריפטים, טבלאות, טקסט וכו ', המייצגים כמעט כל סוג של מידע. רוב יישומי המחשב (כולל תוכנות אנטי וירוס, גיליונות אלקטרוניים, מעבדי תמלילים) הם מסדי נתונים בליבה שלהם. קיימים שני סוגים עקריים של מסדי הנתונים - שטוחים ומסדי נתונים יחסיים.
מסד הנתונים של אתרי אנטרנט משמש לאחסון ושליפה של תוכן דינמי, כגון שינוי חדשות יומיות באתרי חדשות, תחזיות מזג אוויר באתרי מזג האוויר, נתוני שוק המניות באתר אינטרנט פיננסי, ציוצים מאתר טוויטר, סטטוסי משתמש בהודעות בפייסבוק, תוכן בלוג נוצר על ידי בלוגרים ומלאי בחנות באתר מסחר אלקטרוני.

מהי חומת האש של מסד נתונים ?

חומות אש של מסד הנתונים (DAF - Database Firewalls) הן סוג של חומות אש אפליקטיביות העוקבות אחר מסדי נתונים כדי לזהות ולהגן מפני התקפות ספציפיות למסדי נתונים אשר בעיקר מבקשים לגשת למידע רגיש המאוחסן במאגרי המידע. DAF מאפשר גם לפקח ולבקר את כל הגישה לבסיס נתונים באמצעות היומנים. DAF יכול ליצור דוחות תאימות ספציפיים לתקנות, כגון PCI, SOX ועוד.

DAF הוא בדרך כלל שרת (אפליינס) או תוכנה מוקשחים שיכולים להיות מותקים גם באינליין מול שרת מסד הנתונים (ממש לפני ששרת מסד הנתונים או בקרבת הנתב/פיירוול רשתי כאשר הוא מגן על מסדי נתונים במספר רב של שרתים). בחלק ממוצרי DAF נותן להתקין אייג׳נט על שרתי מסד נתונים עצמם, כדי לפקח על אירועי מסד נתונים המקומיים. צורת התקנה נוספת היא בעזרת שיכפול תעבורה במתג וביצוע סניפינג ע״י DAF. בתצורה זאת ניתן לחסום עבירות ע״י שליחת פאקטת TCP Reset.


איך DAF עוזר בהגנה על איומים והתקפות ?

בדרך כלל, DAF כולל סט של חוקי audit המוגדרים מראש וניתנים להתאמה אישית, והם יכולים לזהות התקפות מסד נתונים המבוססים על דפוסי תקריות / איומים שנקראים 'חתימה'. לכן, הDAF משווה שאילתות SQL אל מול החתימות אללו, המתעדכנים בתדירות גבוהה על ידי היצרנים כדי לזהות התקפות ידועות במסד הנתונים (משימות רבות בתוך מסד נתונים מבוצעות כסדרה של שאילתות SQL).
אבל היצרנים לא יכולים לצפות כל ההתקפות על מסדי נתונים. לכן, DAF בונה (או מייבא) רשימה לבנה של שאילתות או פקודות SQL אשר ידועים כבטוחים. כל פקודוה או שאילתה נבדקת מול הרשימה הלבנה ורק כשהיא נמצאת ברשימה הלבנה היא נשלחת למסד הנתונים. חומות אש ל מסד הנתונים יכולות גם לשמור רשימה שחורה של פקודות או שאילתות SQL ספציפיות או ומזיקות ואינו מאפשרת להם גישה.
DAFים מסוימים יכולים גם לזהות את סוג מסד נתונים, מערכת ההפעלה ופגיעוית בפרוטוקול במסדי הנתונים ולהתריע למנהל, שיכול לנקוט בצעדים לתיקונם. הDAF יכול גם לנטר את התשובות שמסד נתונים מחזיר כדי לחסום זליגת נתונים פוטנציאלית. DAFים יכולות גם להתריע על פעילויות חשודות, במקום לחסום אותם מייד.
הזרקת SQL וBuffer Overflow הם הסוגים נפוצים של התקפות על מסד נתונים וDAFים יכולים לחסום התקפות כאלה. לפעמים, פרטי גישה גנובים עלולים לגרום לנסיונות פריצה למסד נתונים, אבל מאחר וDAF מנטר את הפעילות החשודה כל הזמן, הוא יזהה ניסיונות כאלה.
ישDAFים אשר בהחלטות שלהם לוקחים בחשבון גם גורמים כמו כתובת ה-IP, זמן, מיקום, סוג של יישומים, וכו, שמהם הDAF גוזר אם זאת בקשת גישה חריגה ולאחר מכן להחליט אם לחסום אותה או לא, בהתבסס על גורמים אלה ולפי המדיניות שנקבעה על ידי מנהל המערכת.

ההמלצות ליישום מוצלח של הגנה על מסד נתונים:

  • השתדלו לתת לעובדים ומשתמשים הרשאות גישה שונות למסד נתונים (קריאה בלבד לעומת הוספה / מחיקה רשומות, לדוגמא).
  • ניתן למחוק חשבונות שאינם בשימוש ומומלץ להימע משימוש בחשבונות משותפים בגישה למסדי נתונים.
  • מומלץ להצפין תוכן רגיש לפני אחסונו בתוך מסד נתונים
  • מומלץ לנטר או להגביל גישה של משתמשים עם הרשאות גבוהות (לרוב DBA) לאיזורים רגישים של מסד נתונים (למשל משכורות העובדים).
  • ניתן להפעיל הזדהות מרחוק (LDAP או RADIUS) למשתמשים במסד נתונים וכך המשתמשים הללו יקבלו רמת הרשאות בהתאם לשיוכם לקבוצות מדיניות בשרתי ההזדהות.


סקירה קצרה של מוצרי DAF

אני מקווה שבעתיד אני אבצע סקירות יותר מעמיקות למוצרים. אבל כרגע זה יהיה קצר.

  • Imperva SecureSphere DAS

בעיניי זה אחד המוצרים הכי טובים והכי ותיקים בשוק. המוצר תומך ברוב מסדי נתונים הקיימים היום בשוק וניתן להתקינו בכל מצב עבודה אפשרי (כולל התקנת אייג׳נט). המוצר מורכב משרת ניהול (MX) ושרת אכיפה אחד או יותר (GW). המוצר מגיע עם סטים של חוקים לצרכים ביצוע auditים, סקרים והכנות לביקורות מסוגים שונים. מבחינת יכולות אכיפה ומדיניות זהו אחד המוצרים הכי גמישים לניהול ותפעול.ניתן לקבל את המוצר באפליינס או כמכונה וירטואלית

  • GreenSQL

שחקן ישראלי צעיר ורענן בתחום. למעשה קיימים שני מוצרים – אחד קוד-פתוח חינמי והשני - מסחרי עם יותר יכולות ותמיכה טכנית (מעולה, יש לומר). ניתן לקבל את המוצר כהתקנת של תוכנה בלבד (שרת וירטאלי). המוצר מגן על מסדי נתונים של חברת מיקרופט,PostgreSQL,MySQL וmariaDB. למוצר יש יכולות מיוחדות כגון ביצוע caching וmasking לשאילתות SQL. היום מדובר במוצר בשל והתקנתו ותפעולו קלים יחסית.

  • (Sentrigo Hedgehog (McAfee

מוצר של חברת סנטריגו (שנמכרה למקאפי ב-2011) מגן על מסדי נתונים כגון Oracle,MSSQL וsybase. הDAF הזה כולל קליינט שמותקן על שרתי מסד נתונים וקונסולת ניהול שמתקשרת עם הקליינטים. הקליינט מתריע לשרת הניהול במקרה של עבירה וזה מציג אותה למנהל.


  • Fortinet FortiDB
מוצר DAF מבית פורטינט בעל יכולות כגון audit, סריקות תקופתיות,יצירת בייסליין אוטומטי למשתמשים, דוחות ועוד.המוצר תומך ברוב מסדי נתונים פופולריים. המוצר קיים כאפליינס מוקשח ומגיע בכמה דגמים לפי רמת ביצועים.

פורסם על ידי ב-

אין תגובות:

הוסף רשומת תגובה

הירשם ל- תגובות לפרסום (Atom)