"Half miljoen database servers mist firewall"
Volgens beveiligingsonderzoeker David Litchfield hebben een half miljoen op het internet aangesloten database servers geen firewall. De onderzoeker baseert zijn uitspraak op een steekproef onder 1 miljoen willekeurige IP-adressen. Hij trof 157 SQL servers en 53 Oracle servers aan. De uitkomst paste hij toe op het totaal aantal bekende systemen. "Er zijn ongeveer 368.000 Microsoft SQL servers en 124.000 Oracle database servers direct toegankelijk via het Internet." Twee jaar geleden voerde de onderzoeker een soortgelijk onderzoek uit, toen vond hij 350.000 systemen die "wijd open" stonden.
Niet alleen ontbreekt bij deze systemen een firewall, vier procent van de SQL Server databases was nog steeds kwetsbaar voor de SQL Slammer worm uit 2003. Zo'n 82% van de SQL servers draaide nog de oudere SQL Server 2000 software, en minder dan de helft had het meest recente service pack geïnstalleerd. Wat Oracle betreft blijkt dat 13% van de servers een oudere versie gebruikt die niet meer met beveiligingsupdates ondersteund wordt. Hoewel het rapport met de bevindingen nog moet verschijnen, is de conclusie al duidelijk. "Het kan bedrijven ondanks alle aandacht voor het lekken van gegevens en andere incidenten helemaal niet schelen."
hebben een half miljoen op het internet aangesloten database
servers geen firewall.
gefirewalled is. Belangrijker is dat'ie up2date is en
voorzien van fatsoenlijke username/password combinaties.
Jij begrijpt Firewalls.... NOT !
het internet. Kan je 30.000 firewalls tussen gooien, maar
poortje 'x' moet nog steeds openstaan.
Misschien dat meneer ook eens uit kan zoeken of er misschien
ssh servers aan het internet hangen......
wereld? of zitten jullie nog allemaal met een linksys modem
of Alcatel?
database security?
Dit is een advertorial.
dus taaltechnisch enkelvoud, dus "mist firewall" :)
Hoeveel miljoenen domain controllers missen een firewall en
zijn dus van binnenuit relatief eenvoudig te (cr/h)acken
(misschien moeten we het houden op chacken?
Als een server alleen reageert op poorten die echt nodig
zijn (en die poorten staan sowieso open op een firewall),
waarom is er dan een firewall nodig?
Gaat het niet om de veiligheid van de daemons/services?
Weet 't wel zeker... Ik niet zo heel veel meer risico als
dat poortje voor de hele wereld open staat. Mits verder goed
gehardend. De enige DB die ik nooit voor de wereld open zou
zetten is Oracle. En dat komt omdat die vrij vaak nogal
vette bugs heeft die heel lang niet gefixed worden.
Dat blijkt helaas niet uit de eerste reactie en deze laat
ook te wensen over; "Ik niet zo heel veel meer risico als
dat poortje voor de hele wereld open staat." !?
Theorie en praktijk verschillen, ik hoop dat je in de
praktijk wel nadenkt en je producten controleert... ;)
Theorie en praktijk verschillen, ik hoop dat je in de praktijk wel nadenkt en je producten controleert... ;)
extra de boel in de gaten houdt zodat je tenminste weet wat er op je afgevuurd wordt. IPS'en doe ik niet aan, die geven toch alleen maar een vals gevoel van veiligheid. Liever 10 false positives dan 1 false negative.
Weet 't wel zeker... Ik niet zo heel veel meer risico als
dat poortje voor de hele wereld open staat. Mits verder goed
gehardend. De enige DB die ik nooit voor de wereld open zou
zetten is Oracle. En dat komt omdat die vrij vaak nogal
vette bugs heeft die heel lang niet gefixed worden.
Dat blijkt helaas niet uit de eerste reactie en deze laat
ook te wensen over; "Ik niet zo heel veel meer risico als
dat poortje voor de hele wereld open staat." !?
Theorie en praktijk verschillen, ik hoop dat je in de
praktijk wel nadenkt en je producten controleert... ;)
Ik heb slechts zijdelings met servers te maken maar er is
een groot verschil tussen een database server en web server!
Een web server serveert de data over het WWW naar de cliënt.
Een database server bewaard, indexeert en serveert gegevens
van en naar de web server.
Deze servers, en wellicht nog een aantal anderen, hoeven
niet persé een eigen fysieke locatie te hebben, alhoewel dat
beveiliging technisch wel overzichtelijker is.
Het punt is namelijk dat de web server (en eventueel de
validatie server) de query eerst valideert voordat deze aan
de database server doorgeeft. Zo kan bijvoorbeeld een
eenvoudige SQL-injectie voorkomen worden.
De firewall staat alleen toe dat er verkeer tussen beide
servers over het interne netwerk zal plaats vinden. Verder
zal de firewall alleen WWW toegang verlenen aan de web
server. Op deze manier blijft de database volledig vrij van
het WWW.
Zoals het artikel al aangeeft is er vaak wat mis met de
beveiliging. Wat ik zelf in diverse data centra heb
meegemaakt, vermoed ik dat dit slechts een heel klein topje
van de ijsberg is!
Marcel
advies geven. Mensen zouden niet eens een open poort op de database
moeten zien omdat een firewall zou moeten zorgen dat alleen
communicatie van vertrouwde bronnen (je webserver bv) e.d. bij de
database server kan komen. Natuurlijk zijn er dingen zoals SQL injectie
maar het is gewoonweg van de zotte om een database server open op het
internet te laten ook met hardening, IDS, etc, etc.
Een web server serveert de data over het WWW naar de cliënt.
Een database server bewaard, indexeert en serveert gegevens
van en naar de web server.
80 open voor het hele internet. De webserver mag babelen met
de applicatieserver, en de applicatieserver mag weer met
sqlnet praten tegen de database server. Alleen vanaf het
interne beheer netwerk mag je met sqlnet rechstreeks tegen
de database server aan praten, vanaf internet nooit!
"Beetje moeilijk om bij je DB server te komen als'ie
gefirewalled is", is natuurlijk een slechte reden om dan
maar de poorten voor het hele internet open te zetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
