Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

26. Sicherung von SQL-Datenbanken

Angesichts der Bedeutung von SQL Datenbanken in größeren Unternehmen muß man ganz klar sagen, daß Angreifer sich für die Inhalte von SQL Datenbanken besonders interessieren. Sie enthalten zumeist für ein Unternehmen im Konkurrenzkampf überlebenswichtige Informationen. Microsofts Backoffice basiert ebenfalls auf der MS SQL Datenbank bzw. Sybase SQL Datenbank. Nach dem Start von Backoffice ist diese SQL Datenbank entweder mit dem Standardpaßwort zugänglich, welches Microsoft bei der Installation standardmäßig aktiviert hat, oder der Angreifer kommt über das Ausspähen von Paßworten anderer Dienste (WWW, Mail...) auf dasjenige Paßwort, was wahrscheinlich Sie auch als Login in das System verwenden. Da bei Microsoft alles so schön zusammenhängt, hat somit ein Angreifer auch vollen Zugriff auf die SQL Datenbank, die er dann sogar mit Hilfe von Visual Basic Script in einem Makro von Winword oder Excel versteckt, ansprechen kann. Die Absicherung von SQL-Datenbanken ist nur unter ganz bestimmten Bedingungen möglich. Eine Firewall kann hier nicht helfen. Wichtig ist es, die Angriffsmöglichkeiten genau zu kennen, und an geeigneter Stelle, meistens in den Interfaces, Filter einzubauen. Diese muß man auf den Datenbestand, die Datenstruktur und auf die Abfragemöglichkeiten hin konstruieren. Was passiert, wenn man z.B. einen S.u.S.E. LINUX Server mit einer SQL Datenbank ins Internet stellt, oder wie man die Backoffice Datenbank mit Visual Basic ausliest, und in das Internet versendet, sollen ein paar Beispiele zum besseren Verständnis zeigen.


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING