image

"Half miljoen database servers mist firewall"

woensdag 14 november 2007, 16:56 door Redactie, 17 reacties

Volgens beveiligingsonderzoeker David Litchfield hebben een half miljoen op het internet aangesloten database servers geen firewall. De onderzoeker baseert zijn uitspraak op een steekproef onder 1 miljoen willekeurige IP-adressen. Hij trof 157 SQL servers en 53 Oracle servers aan. De uitkomst paste hij toe op het totaal aantal bekende systemen. "Er zijn ongeveer 368.000 Microsoft SQL servers en 124.000 Oracle database servers direct toegankelijk via het Internet." Twee jaar geleden voerde de onderzoeker een soortgelijk onderzoek uit, toen vond hij 350.000 systemen die "wijd open" stonden.

Niet alleen ontbreekt bij deze systemen een firewall, vier procent van de SQL Server databases was nog steeds kwetsbaar voor de SQL Slammer worm uit 2003. Zo'n 82% van de SQL servers draaide nog de oudere SQL Server 2000 software, en minder dan de helft had het meest recente service pack geïnstalleerd. Wat Oracle betreft blijkt dat 13% van de servers een oudere versie gebruikt die niet meer met beveiligingsupdates ondersteund wordt. Hoewel het rapport met de bevindingen nog moet verschijnen, is de conclusie al duidelijk. "Het kan bedrijven ondanks alle aandacht voor het lekken van gegevens en andere incidenten helemaal niet schelen."

Reacties (17)
14-11-2007, 17:05 door Anoniem
"Half miljoen" is meervoud, dus "missen firewall"
14-11-2007, 17:18 door SirDice
Volgens beveiligingsonderzoeker David Litchfield hebben een half miljoen op het internet aangesloten database servers geen firewall.
Beetje moeilijk om bij je DB server te komen als'ie gefirewalled is. Belangrijker is dat'ie up2date is en voorzien van fatsoenlijke username/password combinaties.
14-11-2007, 17:20 door Anoniem
Door SirDice
Volgens beveiligingsonderzoeker David Litchfield
hebben een half miljoen op het internet aangesloten database
servers geen firewall.
Beetje moeilijk om bij je DB server te komen als'ie
gefirewalled is. Belangrijker is dat'ie up2date is en
voorzien van fatsoenlijke username/password combinaties.

Jij begrijpt Firewalls.... NOT !
14-11-2007, 18:14 door wimbo
DB servers moeten zo af en toe ook benaderbaar zijn vanaf
het internet. Kan je 30.000 firewalls tussen gooien, maar
poortje 'x' moet nog steeds openstaan.
Misschien dat meneer ook eens uit kan zoeken of er misschien
ssh servers aan het internet hangen......
14-11-2007, 18:30 door EricC
poortje x opengooien? maar dan toch niet voor de hele
wereld? of zitten jullie nog allemaal met een linksys modem
of Alcatel?
14-11-2007, 22:17 door Anoniem
Heeft David Litchfield toevallig een nieuw boek uit over
database security?

Dit is een advertorial.
14-11-2007, 22:53 door Anoniem
"Half miljoen" is de verkorte vorm van "Een half miljoen",
dus taaltechnisch enkelvoud, dus "mist firewall" :)
Hoeveel miljoenen domain controllers missen een firewall en
zijn dus van binnenuit relatief eenvoudig te (cr/h)acken
(misschien moeten we het houden op chacken?
Als een server alleen reageert op poorten die echt nodig
zijn (en die poorten staan sowieso open op een firewall),
waarom is er dan een firewall nodig?
Gaat het niet om de veiligheid van de daemons/services?
15-11-2007, 00:35 door [Account Verwijderd]
[Verwijderd]
15-11-2007, 08:12 door SirDice
Weet 't wel zeker... Ik niet zo heel veel meer risico als dat poortje voor de hele wereld open staat. Mits verder goed gehardend. De enige DB die ik nooit voor de wereld open zou zetten is Oracle. En dat komt omdat die vrij vaak nogal vette bugs heeft die heel lang niet gefixed worden.
15-11-2007, 09:39 door Anoniem
Door SirDice
Weet 't wel zeker... Ik niet zo heel veel meer risico als
dat poortje voor de hele wereld open staat. Mits verder goed
gehardend. De enige DB die ik nooit voor de wereld open zou
zetten is Oracle. En dat komt omdat die vrij vaak nogal
vette bugs heeft die heel lang niet gefixed worden.

Dat blijkt helaas niet uit de eerste reactie en deze laat
ook te wensen over; "Ik niet zo heel veel meer risico als
dat poortje voor de hele wereld open staat." !?

Theorie en praktijk verschillen, ik hoop dat je in de
praktijk wel nadenkt en je producten controleert... ;)
15-11-2007, 11:47 door SirDice
Door Anoniem
Theorie en praktijk verschillen, ik hoop dat je in de praktijk wel nadenkt en je producten controleert... ;)
Zoals ik al zei, hardenen van de server... Fatsoenlijke rechten/accounts/passwords etc. Audits, logging.. En een IDS die nog eens
extra de boel in de gaten houdt zodat je tenminste weet wat er op je afgevuurd wordt. IPS'en doe ik niet aan, die geven toch alleen maar een vals gevoel van veiligheid. Liever 10 false positives dan 1 false negative.
15-11-2007, 13:17 door Jan-Hein
Door Anoniem
Door SirDice
Weet 't wel zeker... Ik niet zo heel veel meer risico als
dat poortje voor de hele wereld open staat. Mits verder goed
gehardend. De enige DB die ik nooit voor de wereld open zou
zetten is Oracle. En dat komt omdat die vrij vaak nogal
vette bugs heeft die heel lang niet gefixed worden.

Dat blijkt helaas niet uit de eerste reactie en deze laat
ook te wensen over; "Ik niet zo heel veel meer risico als
dat poortje voor de hele wereld open staat." !?

Theorie en praktijk verschillen, ik hoop dat je in de
praktijk wel nadenkt en je producten controleert... ;)
Hoe gaat een firewall dan wel toegevoegde waarde leveren?
15-11-2007, 13:52 door Anoniem
Correct me if I'm wrong.
Ik heb slechts zijdelings met servers te maken maar er is
een groot verschil tussen een database server en web server!

Een web server serveert de data over het WWW naar de cliënt.
Een database server bewaard, indexeert en serveert gegevens
van en naar de web server.

Deze servers, en wellicht nog een aantal anderen, hoeven
niet persé een eigen fysieke locatie te hebben, alhoewel dat
beveiliging technisch wel overzichtelijker is.

Het punt is namelijk dat de web server (en eventueel de
validatie server) de query eerst valideert voordat deze aan
de database server doorgeeft. Zo kan bijvoorbeeld een
eenvoudige SQL-injectie voorkomen worden.

De firewall staat alleen toe dat er verkeer tussen beide
servers over het interne netwerk zal plaats vinden. Verder
zal de firewall alleen WWW toegang verlenen aan de web
server. Op deze manier blijft de database volledig vrij van
het WWW.

Zoals het artikel al aangeeft is er vaak wat mis met de
beveiliging. Wat ik zelf in diverse data centra heb
meegemaakt, vermoed ik dat dit slechts een heel klein topje
van de ijsberg is!

Marcel
15-11-2007, 15:59 door Anoniem
Ik mag hopen dat jullie in het dagelijks leven geen database beveiliging
advies geven. Mensen zouden niet eens een open poort op de database
moeten zien omdat een firewall zou moeten zorgen dat alleen
communicatie van vertrouwde bronnen (je webserver bv) e.d. bij de
database server kan komen. Natuurlijk zijn er dingen zoals SQL injectie
maar het is gewoonweg van de zotte om een database server open op het
internet te laten ook met hardening, IDS, etc, etc.
15-11-2007, 16:37 door SirDice
Door Anoniem
Een web server serveert de data over het WWW naar de cliënt.
Een database server bewaard, indexeert en serveert gegevens
van en naar de web server.
Je kunt database servers ook op andere manieren gebruiken.
16-11-2007, 12:07 door Anoniem
In onze omgevingen zetten we alleen de webserver met poort
80 open voor het hele internet. De webserver mag babelen met
de applicatieserver, en de applicatieserver mag weer met
sqlnet praten tegen de database server. Alleen vanaf het
interne beheer netwerk mag je met sqlnet rechstreeks tegen
de database server aan praten, vanaf internet nooit!

"Beetje moeilijk om bij je DB server te komen als'ie
gefirewalled is", is natuurlijk een slechte reden om dan
maar de poorten voor het hele internet open te zetten.
11-04-2008, 09:11 door Anoniem
Hoeveel procent van de onderzoeksresultaten zouden honeypots zijn?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.