CC BY
13
Актуальные проблемы авиации и космонавтики - 2018. Том 2
УДК 004.056
КОНТРОЛЬ ИНФОРМАЦИОННЫХ ПОТОКОВ СУБД МЕЖСЕТЕВЫМ ЭКРАНОМ ПРИКЛАДНОГО УРОВНЯ
А. Г. Ситдикова Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: sital95@mail.ru
Рассматриваются способы контроля и фильтрации информационных потоков СУБД. Приводится описание этапов развертывания и тестирования межсетевого экрана прикладного уровня.
Ключевые слова: информационная безопасность, база данных, СУБД, межсетевой экран прикладного уровня.
CONTROL OF INFORMATION FLOWS THE DATABASE MANAGEMENT SYSTEM
WITH APPLICATION FIREWALL
A. G. Sitdikova Scientific Supervisor - V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation
E-mail: sital95@mail.ru
The article considers methods of control and filtering of database management system information flows. The stages of deployment and testing of the application firewall are described.
Keywords: information security, database, database management system, application firewall.
Контроль и фильтрация информационных потоков систем управления базами данных (СУБД) может осуществляться при помощи различных средств, таких как маршрутизаторы, межсетевые экраны, системы обнаружения вторжений и т. д. Наиболее перспективным средством является межсетевой экран прикладного уровня. Межсетевой экран прикладного уровня -это тип межсетевого экрана, который контролируют входные, выходные данные и/ или доступ к, из, или с помощью приложения или службы [l].
Существует несколько типов межсетевых экранов прикладного уровня, например, межсетевые экраны уровня веб-сервера, межсетевые экраны для защиты СУБД и т. д.
Межсетевые экраны для защиты СУБД представляют собой сетевой шлюз безопасности, который может работать либо в режиме мониторинга копии трафика, либо в режиме, когда трафик к защищаемым серверам проходит через шлюз и возможно блокирование атак «на лету». Безопасность баз данных обеспечивается, как правило, за счет того, что решения такого класса интегрируются с СУБД или базами данных. Они способны отслеживать активность пользователей, выявлять случаи отклонения от разрешенного или нормального поведения, и предпринимать различные меры реагирования.
Согласно NIST Special Publication 800-41 Guidelines on Firewalls and Firewall Policy развертывание межсетевого экрана состоит из нескольких этапов [2].
1. Планирование. Для исследования работы межсетевого экрана прикладного уровня был создан веб-сайт, содержащий информацию о студентах. При вводе логина и пароля пользователю выдается номер группы и номер зачетной книжки. Информация хранится в базе данных под
Секция «Информационнаябезопасность»
управлением СУБД MySQL. Для межсетевого экранирования прикладного уровня был выбран межсетевой экран DataArmor [3 ] в режиме шлюза безопасности.
2. Настройка. В настройках DataArmor была создана учетная запись целевой СУБД, базы данных и прокси-сервера для нее.
2.1. Настройка аудита. Для аудита всех обращений, осуществляющихся к базе данных и веб-сайту, было создано правило, определяющее условие активации функции аудита (любое обращение к базе данных).
2.2. Настройка защиты. Было создано правило, блокирующее SQL-инъекции. DataArmor для определения SQL-инъекций использует систему «штрафных баллов», которые начисляются перехваченному запросу при обнаружении в его коде признаков SQL-инъекций. При наборе запросом установленного правилом количества баллов, он считается SQL-инъекцией и блокируется.
2.3. Настройка маскировки. Для скрытия паролей пользователей сайта, было создано правило, выводящее вместо значений колонки «password» звездочки.
3. Тестирование. Согласно Technical Guide to Information Security Testing and Assessment тестирование межсетевого экрана также делится на этапы [4].
3.1. Планирование. Этап планирования определяет основы для успешного проведения тестирования. На данном этапе ставятся цели тестирования, никакого фактического тестирования не производится. Целью данного тестирования является проверка работоспособности межсетевого экрана, правильности его конфигурации и настройки и полноты выполняемых им функций.
3.2. Исследование. Этап исследования включает в себя начало фактического тестирования и охватывает сбор информации о системе, сканирование и анализ уязвимостей системы. Определяются требования к межсетевому экрану, какие задачи он должен выполнять и что должно быть проверено в процессе тестирования межсетевого экрана. Таким образом, в конце данного этапа было определено, что межсетевой экран для данной системы должен выполнять аудит, защиту и маскировку данных.
3.3. Атака. На этапе атаки производится непосредственное тестирование.
Для тестирования подсистемы защиты было использовано программное обеспечение sqlmap [5]. Была проведена проверка веб-сайта перед установкой межсетевого экрана DataArmor. В результате была выдана информация о том, что база данных уязвима к sql-инъекциям (рис. 1).
C:\Python27>python C:NsqlNsqlmap.py -u "http://localhost/site/?name=Ivanov&passw prd=1234"
there Mere multiple injection points, please select the one to use for following inject ions:
[0] place: GET, parameter: password, type: Single quoted string (default)
[1] place: GET, parameter: name, type: Single quoted string [q] Quit
Рис. 1. Уязвимые параметры базы данных
После развертывания межсетевого экрана DataArmor стало невозможным провести sql-инъекции. Sqlmap предположил, что, возможно, используется межсетевой экран прикладного уровня (рис. 2).
[03:06:44] [CRITICAL] all tested parameters do not appear to be injectable. Try to increase values for '—level'/'—risk' options if you wish to perform more te sts. As heuristic test turned out positive you are strongly advised to continue on with the tests. If you suspect that there is some kind of protection mechanis m involved (e.g. UAF> maybe you could try to use option '—tamper' <e.g. '—tamp er=space2comment')
Рис. 2. Результат работы программного обеспечения Sqlmap
Sqlmap проводит тестирования при помощи sql-запросов, информация о которых была занесена в журнал событий межсетевого экрана DataArmor.
Актуальные проблемы авиации и космонавтики - 2018. Том 2
Для тестирования работы подсистемы аудита и подсистемы маскировки данных был сделан запрос к целевой базе данных («SELECT * FROM members»). В результате пароли в колонке password замаскированы (заменены строкой «****») (рис. 3).
rnvsql) select * fron members;
! id ! name ! password ! status ! books !
1 I напои KMMM : i ! 12345678
2 Petrov KMMM : 2 : 87654321
3 S idoroua MMMM : 3 ! 54784321
4 Sokoloua KMMM : 4 : 14725836
5 Semyonou KMMM : s ! 36925814
Рис. 3. Запрос к целевой базе данных
Тестирование было проведено успешно, в процессе не было найдено никаких проблем и ошибок.
3.4. Отчет. Этап отчета проводится одновременно со всеми вышеперечисленными стадиями. В заключение тестирования также создается отчет, описывающий результат тестирования.
4. Развертывание межсетевого экрана на предприятии в соответствии с политикой организации.
5. Техническое обслуживание. Необходимо отслеживать производительность компонентов межсетевого экрана, проверять журналы, проводить периодическое тестирование, регулярно создавать резервные копии политик и правил межсетевого экрана и т. д.
Межсетевой экран прикладного уровня обеспечивает защиту СУБД и баз данных, перехватывая запросы к базам данных и анализируя их на соответствие/ несоответствие правилам. Кроме того, он может использоваться для повышения защищенности веб-серверов, контролируя информационные потоки к веб-сайтам и веб-приложениям.
Библиографические ссылки
1. Check Point. Glossary of Security Terms [Электронный ресурс]. URL: https://www. checkpoint.eom/definition/#application_firewall (дата обращения: 05.03.2018).
2. NIST Special Publication 800-41 Guidelines on Firewalls and Firewall Policy [Электронный ресурс]. URL: http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1.pdf (дата обращения: 23.03.2018).
3. DataArmor [Электронный ресурс]. URL: https://www.dataarmor.ru/ (дата обращения: 02.03.2018).
4. NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment [Электронный ресурс]. URL: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-115.pdf (дата обращения: 22.03.2018).
5. Sqlmap [Электронный ресурс]. URL: http://sqlmap.org/ (дата обращения: 31.03.2018).
© Ситдикова А. Г., 2018
