The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Увидел свет GreenSQL-FW 1.2.0, межсетевой экран для защиты СУБД

03.12.2009 20:53

Вышел релиз проекта GreenSQL-FW 1.2.0, представляющий собой прокси-сервер, анализирующий транзитные SQL запросы, выявляющий аномалии и блокирующий опасные операции. В настоящий момент в GreenSQL-FW поддерживается защита СУБД PostgreSQL и MySQL. Исходные тексты программы распространяются в рамках лицензии GPL. Для дистрибутивов CentOS, Debian, Fedora и Ubuntu созданы готовые установочные пакеты.

GreenSQL поддерживает несколько режимов работы:

  • Симуляция - работа в качестве пассивной системы обнаружения атак (IDS);
  • Защита - работа в режиме системы предотвращения атак (IPS) с адаптивным принятием решения о блокировании аномальных запросов;
  • Обучение - автоформирования белого списка, для предотвращения ложных срабатываний эвристического анализатора запросов;
  • Активная защита - блокирование всех неизвестных запросов (межсетевой экран для БД).

Для обнаружения атак, направленных на подстановку SQL запросов, для каждого обращения к СУБД GreenSQL вычисляет степень риска, при превышении определенного порога запрос блокируется. В качестве фактов повышающих коэффициент риска, может быть обращение к служебным таблицам, использование комментариев внутри запроса, операции сравнения констант ("1=1"), наличие выражений заведомо возвращающих TRUE, обнуление полей с паролем, появление "OR" внутри запроса и т.д.

Программа позволяет блокировать выполнение административных операций, подобных DROP и CREATE, а также определить список допустимых и запрещенных масок для таких операций, как DELETE, UPDATE и INSERT. Например, можно в настройках указать блокирование запросов с упоминанием id администратора. Управление программой и просмотр статистики работы производится через консоль, GUI или web-интерфейс.

В версии 1.2 добавлена поддержка СУБД PostgreSQL. В состав пакета интегрирован GUI интерфейс GreenSQL-Console, позволяющий в наглядном виде настраивать все аспекты работы прокси, а также просматривать и анализировать статистику блокировок. GreenSQL-Console также позволяет выполнять операции резервного копирования и централизованно управлять защитой нескольких СУБД.

  1. Главная ссылка к новости (http://www.greensql.net/node/8...)
  2. OpenNews: GreenSQL - межсетевой экран для защиты MySQL
  3. OpenNews: Перевод статьи про защиту MySQL от подстановки SQL запросов злоумышленником
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/24520-proxy
Ключевые слова: proxy, firewall, database, postgresql, mysql
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:48, 03/12/2009 [ответить]  
  • +/
    давно не присматривался, но точно помню, что некоторое время назад phpMyAdmin штатно пользвала конструкции ... WHERE 1=1 AND...
     
     
  • 2.2, tmc (?), 22:54, 03/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    да и не один phpMyAdmin, вообще частенько можно увидеть, ведь таким образом удобно глушить шаблонные но не нужные в конкретный момент условия, что с теоретической точки зрения мож конечно и не идеально, но с практической зачастую самое то. Обращение к служебным таблицам тоже явление обычное, особенно если в базе много логики и динамики то вообще не обойтись, основная системная операция получается, по поводу комментариев и OR вообще помоему явный перебор, нет оно конечно понятно что там могут быть всякие условные конструкции, но вот так сразу это уж больно грубо. Получается что вся эта автоматика может серьезно добавить гемороя в то время как от самой примитивной подстановки например подзапроса не спасет. Хотя плюсы конечно есть.
     

  • 1.3, hatewindows (ok), 10:01, 04/12/2009 [ответить]  
  • +/
    на ЛОРе мегакомпетентные аналитики уже сказали "не нужно". по сути дополнительное звено в обороне может стать как защитой, так и троянцем, имея какой-либо эксплоит. Такие программы приучают программистов не думать о безопасности.
     
     
  • 2.6, Stanislaus (ok), 16:10, 04/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен. Безопасность стоит планировать в первую очередь средствами самой СУБД. Благо в PostgreSQL таких средств предостаточно и _думаю_ в MySQL тоже есть над чем подумать.

    А вот как своеобразный SQL-IDS стоит попробовать использовать, но вот только не блокирующий.

     
  • 2.7, Аноним (-), 22:44, 06/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >на ЛОРе мегакомпетентные аналитики

    лучшие игроки всегда сидят на трибунах - закон футбола. Здесь примерно то же самое.

     

  • 1.4, 999 (??), 10:41, 04/12/2009 [ответить]  
  • +/
    а возможно такую штуку повесить на freebsd перед mssql??
     
     
  • 2.5, kontur (??), 11:43, 04/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Исходники качай, и вперед
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру