Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.117 Integration eines Datenbank-Servers in ein Sicherheitsgateway - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.117 Integration eines Datenbank-Servers in ein Sicherheitsgateway

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator

Bei der Aufstellung von Datenbank-Servern zum Zugriff aus einem nicht-vertrauenswürdigen Netz sind zwei Haupt-Anwendungsfälle zu unterscheiden:

Beide Anwendungsfälle werden in den folgenden beiden Abschnitten beschrieben:

Zugriff über Web-Frontend

Der Webserver und der Datenbank-Server sollten in unterschiedlichen DMZ stehen, damit bei einer Kompromittierung des Webservers ein Schutz des Datenbank-Servers durch einen Proxy des Application Level Gateways (ALG) besteht. Der Schutz durch den Proxy ist allerdings nur gering, beispielsweise wird der TCP/IP-Stack des Datenbank-Servers geschützt. Zudem können Angriffe auf Basis von TCP/IP-Header-Daten verhindert werden. Falls keine besonderen Sicherheitsanforderungen bestehen, so kann der Server auch in der gleichen DMZ wie der Webserver aufgestellt werden.

Der Aufbau und die Kommunikationsbeziehungen sind in diesem Fall wie folgt:

Diese Verbindungen sind ebenfalls in der folgenden Abbildung dargestellt.

Zugriff auf eine Datenbank durch Nutzung eines Web-Frontends

Abbildung 1: Zugriff auf eine Datenbank durch Nutzung eines Web-Frontends

Der Client im nicht-vertrauenswürdigen Netz kann ausschließlich an den Webserver über Webseiten Anfragen stellen, ein direkter Zugriff auf die Datenbank selbst ist nicht möglich.

Bei diesem Aufbau ist es über die Absicherung auf der Transportebene hinaus wichtig, dass die Anwendung auf dem Webserver, welche die Anfragen und Ergebnisse aufbereitet, entsprechend sicher programmiert ist und keine Möglichkeiten für Angriffe auf die Datenbank (beispielsweise SQL Injection) bietet. Falls über das Web-Frontend sogar direkt Datenbankanfragen in der betreffenden Datenbanksprache (beispielsweise SQL) formuliert werden können sollte der Zugriff auf das Web-Frontend nur über HTTPS erfolgen.

Direkter Zugriff

Soll auf die Datenbank direkt aus dem nicht-vertrauenswürdigen Netz heraus zugegriffen werden, so sollte der Server in einer eigenen DMZ aufgestellt werden. Da nur wenige Proxies für Datenbankprotokolle existieren, ist der Einsatz eines TCP- oder UDP-Relays oftmals unumgänglich.

Direkter Zugriff auf eine Datenbank

Abbildung 2: Direkter Zugriff auf eine Datenbank

Da sich, wegen der fehlenden Sicherheitsproxies für Datenbankabfrage-Protokolle kaum mittels Sicherheitsproxies kontrollieren lassen, ist die zuerst vorgestellte Lösung mit einem Web-Frontend in der Regel die sichere Variante.

Je nach dem Schutzbedarf der Daten in der Datenbank wird dringend empfohlen, nicht die "Echtdatenbank" für den externen Zugriff freizugeben, sondern nur eine Kopie der Daten auf einer separaten Datenbank, die in entsprechenden Intervallen mit der "Echtdatenbank" synchronisiert wird.

Ergänzende Kontrollfragen: