Mit den Tipps und Workshops im ADMIN-Magazin 03/2013 sichern Administratoren ihre Webserver und Netze gegen Angriffe ab: gegen Abhören sensibler Informationen, ... (mehr)

GreenSQL als IDS

Als IDS oder IPS wird GreenSQL zusammen mit einem Risiko-Profil betrieben. Hier entscheiden nicht die Queries darüber, ob eine Anfrage erlaubt ist, sondern die ausgeführte Aktion. Je nach Konfiguration blockiert das IDS die Datenbankverbindung und informiert einen Administrator über den mutmaßlichen Einbruchsversuch.

IDS und IPS haben gemeinsam, dass sie SQL Injections erkennen können. Dazu greifen sie auf eine von GreenSQL zusammengetragene Datenbank bekannter Angriffsmuster zurück. Ferner gelten alle suspekten Anfragen als SQL Injection. Sollte eine Anfrage fälschlich erkannt werden, kann der Administrator sie der Query-Gruppe Injections Patterns oder einer anderen Gruppe zuordnen, die GreenSQL als erlaubte Anfragen akzeptiert.

Die fein abgestuften Risiko-Profile legen Sie ebenfalls unter »Database Security« an. Sie sind nicht auf einzelne Queries beschränkt, sondern beziehen sich auf Datenbankoperationen, die Server, Sicherheit oder Datenbanken betreffen. Dazu zählen unter anderem, aktive Prozesse oder Logs abzufragen, Passwörter und Privilegien zu ändern, Datenbanken und Tabellen auszugeben oder Informationen zu Datenbankschemata abzurufen (Abbildung 4).

Abbildung 4: Im Risikoprofil dürfen Admins fein abgestuft festlegen, welche DB-Operationen erlaubt sind und welche nicht.

Logging und Berichte

GreenSQL ist in der Lage, den Administrator bei verschiedenen Ereignissen zu benachrichtigen. Dazu zählen beispielsweise Änderungen an den Systemeinstellungen, Einbruchsversuche oder Verstöße gegen Firewall-Regeln. Um die Funktionalität zu aktivieren, sind unter dem Punkt Alerts Kontaktlisten und SMTP-Server einzurichten. Die Benachrichtigung selbst ist ebenso leicht konfigurierbar wie der Rest der Firewall-Lösung. Neben einem aussagekräftigen Namen sind der Typ des Alarms und ein Intervall anzugeben. »System« informiert beispielsweise über neu hinzugekommene oder geänderte Policies, »Traffic« über geblockte Queries und »Intrusion« über alle Queries, die einen Einbruchsversuch vermuten lassen.

Da hier schnell sehr viele Mails zusammenkommen können, erlaubt GreenSQL den Versand gesammelter Meldungen. Hier kommt das Intervall ins Spiel: Statt mehrerer kurz aufeinanderfolgender Mails werden mit dieser Einstellung nur eine alle paar Minuten, Stunden oder einmal pro Tag versandt. Wer ein Häkchen bei »Verbose« setzt, erhält von GreenSQL neben der Alarmmeldung auch den SQL-Query, der sie veranlasste.

Dank umfangreicher Logging-Funktionen können Sie bei Problemen schnell feststellen, wo der Schuh drückt. Im Falle des Bibliothekssystems Koha hatte GreenSQL mit der Anweisung »set autocommit=1« Schwierigkeiten, die dazu führten, dass Koha den Dienst mit einer Fehlermeldung quittierte. Die Lösung bestand darin, das Log auszuwerten und GreenSQL die entsprechende Query beizubringen. Für das manuelle Lernen gibt es zwei Wege. Entweder Sie fügen die Query unter »Database Sequrity | Query Groups | Learned Patterns« über den Punkt »Create New« hinzu oder klicken auf den betreffenden Eintrag im Log und ordnen das Pattern einer Query Group zu.

GreenSQL loggt nicht nur Traffic und Einbruchsversuche. Die Software gibt auch Informationen zu Effizienzstatistiken, Systemereignissen oder den populärsten Queries aus. Neben eigenen Logfiles sendet es auf Wunsch auch ausgewählte Meldungen an den Syslog-Daemon, um sie zum Beispiel mit einem Monitoring-System auszuwerten.

Eine ausgefeilte Berichtsfunktion ermöglicht es, Informationen aus den Logs komfortabel aufzubereiten. Reports können beispielsweise dazu dienen, Entwicklungen zu dokumentieren oder Entscheidungen zu unterstützen. GreenSQL hat bereits viele Berichtsarten eingebaut, sodass Admins sofort ausgeben können, welche Queries lange verarbeitet, am häufigsten angefragt oder geblockt wurden und von welchen IP-Adressen die meisten Einbruchsversuche erfolgten. Die Berichte lassen sich als PDF oder im Excel-Format exportieren.

Ist GreenSQL einmal eingerichtet, sollten Sie die Konfiguration sichern. Ein Backup ist mit den entsprechenden Punkten unter »System | Backup & Restore« schnell erstellt. Das Backup-Passwort wird nur einmal abgefragt. Hier ist es sinnvoll, sofort nach dem Backup ein Restore durchzuführen. So prüfen Sie, ob sich kein Tippfehler eingeschlichen hat. Im Ernstfall bleiben Ihnen so böse Überraschungen erspart.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019