Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Dringeblieben, oder ich schieße

Test: Datenbank-Extrusion-Prevention-Systeme (DBEP)

Dringeblieben, oder ich schieße

1. März 2008, 11:08 Uhr |
Fortsetzung des Artikels von Teil 2

Guardium SQL Guard

RippleTech Informant

Informant ist ein Tipp für Unternehmen, denen tiefgreifende Datenbank-Logging-Fähigkeiten fehlen. Wer nicht genau weiß, was als anormales Verhalten zu gelten hat, ist mit Informant ebenfalls gut bedient. Das Produkt schützt wichtige Daten, ohne die Bank zu sprengen.

Informant läuft unter Linux. Rippletech offeriert nicht nur die Software, sondern auch Appliances mit verstärkter Linux-Installation und installierter sowie optimierter Informant-Software. Getestet wurde die Appliance-Version.

Selbst mit rund 5000 Dollar für die Appliance-Version ist Informant noch das preiswerteste DBEP-System. Trotzdem fehlt es nicht an Funktionalität. Gegenwärtig unterstützt Informant Oracle, Microsoft-SQL-Server, DB2 und MySQL. Das Produkt überwacht auch HTTP-Verkehr.

Durch Beobachtung der Datenbankaktivität über einen Span-Port inspiziert Informant den gesamten SQL-Verkehr. Das schließt Benutzer- und administrative Aktivitäten ein, nicht aber die von SQL-Queries gelieferten Inhalte. Letzteres ist beachtenswert, denn zu wissen, was die Datenbank zurückgeliefert hat, kann dabei helfen, den Erfolg oder Misserfolg eines Angriffs zu bestimmen. Das Produkt ist aber nicht besonders gehindert durch diesen fehlenden Einblick in Inhalte, denn glücklicherweise kann es, basierend auf der Anzahl der zurückgelieferten Zeilen, alarmieren. Somit zeigt es bei SQL-Injection- oder bösartigen Insider-Angriffen, die in einer großen Menge Daten resultieren, die rote Flagge, ohne dass es dabei Daten enthüllt.

Informant verfolgt nicht nur die Netzwerkaktivität, sondern überwacht auch lokales Datenbank-Management. Dazu nutzt das Produkt auf Hosts basierende Agenten, die für Redhat-Enterprise-Server, »CentOS«, Solaris 8 und 9 (Sparc) sowie AIX 5.2 und 5.3 verfügbar sind. Für Windows gibt es noch kein lokales Monitoring.

Die wahre Kraft von Informant versteckt sich in den Ausdrücke nutzenden Regeln. Administratoren können Regeln manuell konfigurieren oder definierte Regelsammlungen verwenden. Definierte Regeln basieren entweder auf dem Typen der überwachten Datenbank oder dem Zweck des Monitorings, beispielsweise Compliance, Sicherheit, Performance oder Auditing. Für die meisten IT-Gruppen lassen sich die Regeln feinkörnig genug schreiben. Für den Test wurden Regeln geschrieben, die klaglos viele Aufgaben erledigten. Beispielsweise wurde das System veranlasst, einen Alarm auszulösen, wenn über eine unbekannte IP-Adresse versucht wird, auf eine bestimmte Tabelle zuzugreifen oder mehr als zehn Zeilen abzurufen.

Informant funktionierte prima bei Angriffen, bei denen es um Massendaten-Transfers ging, aber weniger gut bei kleineren Mengen leckender Daten. Angriffe von der E-Commerce-Site entdeckte Informant, sobald die Datenbank mehr als eine Zeile zurücklieferte. Erfolgreich war der Angriff, als die Datenbank langsam Satz für Satz durchsucht wurde. Für die Windows-Plattform stand kein Agent zur Verfügung. Somit konnten Insider-Angriffe unter Verwendung der lokalen Konsole nicht getestet werden. Allerdings lösten alle Versuche, Daten abzurufen, die durch die Privilegien des aktuellen Benutzers nicht erlaubt waren, den Regelmechanismus aus.

Informant enthält deutlich mehr Logging-Features als die Produkte von Imperva und Pyn Logic. Die Protokollierung und Alarmierung erfolgt über Standard-Syslog, SNMP-Traps, SMTP-Nachrichten, die Ausführung von benutzerdefinierten Scripts oder Einfügung in Microsoft-SQL-Server. Es gibt kein Dashboard für das Monitoring von Alerts. Unternehmen können ein externes Siem nutzen, einen Syslog/SNMP-Monitor implementieren oder sich auf das Logging zum Microsoft-SQL-Server verlassen. Für den Test wurde der letzte Weg gewählt. Die entsprechende SQL-Server-Instanz nutzte Rippletechs Log-Caster für das Log-Management und die Reporting-Dienste von SQL-Server-2005 für das Ereignis-Monitoring, Compliance-Reporting und forensisches Auditing. Dies erwies sich als kraftvolle Kombination für Berichterstellung und Auditing.

Das Management von Informant ist extrem simpel. Zu verdanken ist das der für Konfiguration und Management genutzten Web-Schnittstelle. Wer sich für die Appliance entscheidet, wird die Open-Source-Webmin-Software für das System-Management finden.

Informant ist ein kraftvolles Werkzeug, das zeigt, was in den Unternehmensdatenbanken vor sich geht. Der Preis des Produkts ist unter den getesteten Systemen gegenwärtig der niedrigste.

Guardium wirft nahezu jedes Feature in die Schlacht, das Administratoren benötigen, um wertvolle Daten zu verriegeln. Lediglich ein sich kümmernder, sympathischer Auditor fehlt.

SQL-Guard kam auf einem saftigen Dell-1HE-Server, der entweder inline oder out-of-band eingesetzt werden kann. In beiden Fällen arbeitet SQL-Guard als echtes Extrusion-Prevention-System, das inline Verkehr fallen lässt und out-of-band TCP-Reset-Pakete zum Angreifer und zur Datenbank sendet. Während des Tests gab es mit keiner Variante Schwierigkeiten. Das alltägliche Management war dank einer gut entworfenen Web-Schnittstelle eine Kleinigkeit. Aber so intuitiv sich die Schnittstelle auch bedienen lässt, die schiere Anzahl der auf jeder Seite verfügbaren Features verlangt gelegentlich den Griff zur Dokumentation.

SQL-Guard unterstützt Oracle-8i, -9i und -10G, Microsoft-SQL-Server-2000 und -2005, Sybase-ASE/IQ, IBM-DB2 und Informix. Die primäre Methode, Datenbankaktivität zu analysieren, ist das Monitoring des Netzwerkverkehrs zum Datenbankserver. Das funktioniert hervorragend, wenn die Topologie das Hinzufügen einer Netzwerk-Appliance unterstützt. Wo dies ein Problem ist, unterstützt Guardium das Monitoring der Datenbankaktivität mit ihrer S-TAP-Software-Probe. S-TAP kann sowohl Netzwerk-Datenbankaktivität als auch die Aktivität der lokalen Konsole beobachten. Die Probe unterstützt HP-UX, Solaris, Linux, AIX, OSF1 und Windows-Betriebssysteme.

Für den Test wurde S-TAP ohne Probleme auf einem Windows-Server-2003-R2-System installiert. SQL-Guard berichtete über sämtliche durch die lokale SQL-Managementkonsole generierte Datenbankaktivität.

  1. Dringeblieben, oder ich schieße
  2. Dringeblieben, oder ich schieße (Fortsetzung)
  3. Guardium SQL Guard
  4. Crossroads StrongBox DB Protector
  5. Dringeblieben, oder ich schieße (Fortsetzung)
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Xelion GmbH

Xelion GmbH
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
easybell GmbH

easybell GmbH
Securepoint GmbH

Securepoint GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
Vodia Networks GmbH

Vodia Networks GmbH