Безопасность СУБД СУБД имеет свои собственные: Пользовательские бюджеты Механизм ведения аудита Механизм разграничения доступа Язык программирования Механизм управления паролями
Microsoft SQL Server (организация системы безопасности)
Службы SQL Server Local System Account Domain User Account
Режимы доступа к серверу Стандартный (Standard Security) Интегрированный (Integrated Security)
Системные таблицы Syslogins SysusersSysprotects Sysmemebrs Sysobjects
Таблица Syslogins Syslogins Sysusers Одна на сервер Идентификаторы и пароли пользователей SQL Server Информация о пользователях и группах Windows NT
Таблица Sysusers Syslogins Sysusers Есть в каждой БД Права доступа к БД Права доступа к объектам БД
Таблицы Sysprotects и Sysobjects SysprotectsSysobjects Есть в каждой БД Информация об объектах БД
Таблица Sysmembers Syslogins Sysusers Sysmembers Одна на сервер Принадлежность пользователей к ролям
Стандартные идентификаторы пользователей SA BULTIN/Administrators
Доступ к БД Идентификатор пользователя (Login) Учётное имя в БД (User account)
Стандартные учётные имена Dbo guest Системный администратор Пользователь, не имеющий учётного имени
Роли Именованный набор прав Уровень сервера Уровень БД
Доступ без учётного имени Учётная запись guest роль Public
Разрешения (Permissions) Выполнение SQL-выражений Действия с объектами Предопределённые (стандартные)
Разрешения (Permissions) Выполнение SQL-выражений оператор CREATE DATABASE операторы создания объектов БД
Разрешения (Permissions) Действия с объектами Исполнение хранимых процедур Работа с таблицами и видами Доступ к определённым полям
Разрешения (Permissions) Предопределённые (стандартные) На основе принадлежности к роли Разрешения владельца объекта
Database Scanner Взгляд на СУБД с точки зрения безопасности Поддержка MS SQL, Oracle, Sybase Интеграция с Internet Scanner
Уязвимости СУБД Microsoft SQL Server Sybase Adaptive Server Oracle Default Admin sa sys, system Default Admin passwords blank sys - "change_on_install" system - "manager" Default OS accounts "Local System" for NT "sybase" for Unix "Local System" for NT "oracle" for Unix "Local System" for NT Бюджеты по умолчанию
Уязвимости СУБД ELEMENT MS SQL ServerSybase AS Login / Account Management Password Management Rights / Permissions Oracle Strength Aging Stale Logins/Accts. Off Hours Usage Attacks Trojan Horses Stale Logins/Accts.No Control No Control in 7 Бюджет, неиспользуемый в течение долгого времени
ELEMENT MS SQL ServerSybase AS Login / Account Management Password Management Rights / Permissions Oracle Strength Aging Stale Logins/Accts. Off Hours Usage Attacks Trojan Horses Off Hours Usage No Control Отсутствие средств разграничения доступа по времени работы Контроль соединений в запрещённые часы работы Уязвимости СУБД
ELEMENT MS SQL ServerSybase AS Login / Account Management Password Management Rights / Permissions Oracle Strength Aging Stale Logins/Accts. Off Hours Usage Attacks Trojan Horses AttacksNo Protection in 7 Серия неудачных попыток входа за короткий промежуток времени Microsoft SQL Server, Sybase, Oracle 7 не блокируют бюджеты Oracle 8 FAILED_LOGIN_ATTEMPT parameter Login Attempt Уязвимости СУБД
Атака по словарю
Регистрация сервера с использованием Standard Security сохраняет пароль SA в реестре –HKEY_CURRENT_USER\SOFTWARE\Microsoft\Micros oft SQL Server\SQLEW\Registered Server\SQL 6.5. Уязвимости СУБД Открытый пароль SA
Microsoft SQL Server, Sybase, and Oracle 7 не имеют механизмов контроля возраста пароля Определение разумного интервала смены пароля уменьшает риск Oracle 8 имеет средства контроля возраста пароля: –Password Grace Time –Password Life Time –Password Reuse Max –Password Reuse Time ELEMENT MS SQL ServerSybase AS Login / Account Management Password Management Rights / Permissions Oracle Strength Aging Stale Logins/Accts. Off Hours Usage Attacks Trojan Horses Aging No Facility in 7 Уязвимости СУБД Возраст пароля
sp_password SA New Password Уязвимости СУБД Троянские кони в хранимых процедурах
Уязвимости СУБД Доступ к ОС через СУБД
ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ Database Scanner Database Scanner
Характеристики Database Scanner Выявление слабых паролей. Проверка срока действия пароля. Обнаружение атак. Выявление неиспользуемых бюджетов. Проверка ограничений по времени работы.
Authentication Параметры идентификации и аутентификации Authorization Права и допуски пользователей к объектам БД System Integrity Параметры ОС (платформы) Группы выполняемых проверок