Bundesamt für Sicherheit in der Informationstechnik

M 5.117 Integration eines Datenbank-Servers in ein Sicherheitsgateway

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Bei der Aufstellung von Datenbank-Servern zum Zugriff aus einem nicht-vertrauenswürdigen Netz sind zwei Haupt-Anwendungsfälle zu unterscheiden:

  1. Zugriff auf die Daten der Datenbank über ein Web-Frontend
  2. Direkter Zugriff auf die Daten der Datenbank (z. B. mittels SQL)

Beide Anwendungsfälle werden in den folgenden beiden Abschnitten beschrieben:

Zugriff über Web-Frontend

Der Webserver und der Datenbank-Server sollten in unterschiedlichen DMZ stehen, damit bei einer Kompromittierung des Webservers ein Schutz des Datenbank-Servers durch einen Proxy des Application Level Gateways ( ALG ) besteht. Der Schutz durch den Proxy ist allerdings nur gering, beispielsweise wird der TCP/IP-Stack des Datenbank-Servers geschützt. Zudem können Angriffe auf Basis von TCP/IP-Header-Daten verhindert werden. Falls keine besonderen Sicherheitsanforderungen bestehen, so kann der Server auch in der gleichen DMZ wie der Webserver aufgestellt werden.

Der Aufbau und die Kommunikationsbeziehungen sind in diesem Fall wie folgt:

  • Der Zugriff vom Internet aus erfolgt ausschließlich per HTTP oder HTTPS auf den Webserver. Die Zugriffe werden durch das ALG entsprechend abgesichert.
  • Eine auf dem Webserver laufende Anwendung setzt die Anfrage in entsprechende Datenbankabfragen um, führt diese Abfragen auf der Datenbank aus und bereitet die Ergebnisse entsprechend auf.
  • Die Administration des Datenbankrechners, des Datenbanksystems und die Pflege der Daten in der Datenbank erfolgen über entsprechend abgesicherte Verbindungen aus dem internen Netz.

Diese Verbindungen sind ebenfalls in der folgenden Abbildung dargestellt.

Der Client im nicht-vertrauenswürdigen Netz kann ausschließlich an den Webserver über Webseiten Anfragen stellen, ein direkter Zugriff auf die Datenbank selbst ist nicht möglich.

Bei diesem Aufbau ist es über die Absicherung auf der Transportebene hinaus wichtig, dass die Anwendung auf dem Webserver, welche die Anfragen und Ergebnisse aufbereitet, entsprechend sicher programmiert ist und keine Möglichkeiten für Angriffe auf die Datenbank (beispielsweise SQL Injection) bietet. Falls über das Web-Frontend sogar direkt Datenbankanfragen in der betreffenden Datenbanksprache (beispielsweise SQL) formuliert werden können sollte der Zugriff auf das Web-Frontend nur über HTTPS erfolgen.

Direkter Zugriff

Soll auf die Datenbank direkt aus dem nicht-vertrauenswürdigen Netz heraus zugegriffen werden, so sollte der Server in einer eigenen DMZ aufgestellt werden. Da nur wenige Proxies für Datenbankprotokolle existieren, ist der Einsatz eines TCP- oder UDP-Relays oftmals unumgänglich.

Da sich, wegen der fehlenden Sicherheitsproxies für Datenbankabfrage-Protokolle kaum mittels Sicherheitsproxies kontrollieren lassen, ist die zuerst vorgestellte Lösung mit einem Web-Frontend in der Regel die sichere Variante.

Je nach dem Schutzbedarf der Daten in der Datenbank wird dringend empfohlen, nicht die "Echtdatenbank" für den externen Zugriff freizugeben, sondern nur eine Kopie der Daten auf einer separaten Datenbank, die in entsprechenden Intervallen mit der "Echtdatenbank" synchronisiert wird.

Prüffragen:

  • Sofern ein Zugriff auf die Daten der Datenbank aus einem nicht-vertrauenswürdigen Netz über ein Web-Frontend erfolgt, befinden sich Webserver und Datenbank-Server in unterschiedlichen DMZ ?

  • Erfolgt die Administration der im Sicherheitsgateway integrierten Server über einen vertrauenswürdigen Pfad?

  • Betrifft Datenbankzugriff über Web-Frontend: Werden direkte Datenbankzugriffe aus dem externen Netzwerk unterbunden?

  • Sofern ein direkter Zugriff auf die Daten der Datenbank aus einem nicht vertrauenswürdigen Netz heraus erfolgen muss, befindet sich der Datenbank-Server in einer eigenen DMZ zusätzlich geschützt durch einen Proxy oder nur als Kopie der führenden Datenbank?

  • Betrifft den direkten Datenbankzugriff aus einem unsicheren Netzwerk: Befindet sich der Datenbank-Server in einer DMZ ?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK