Fachartikel

Fünf To-dos für sichere MySQL-8.0-Datenbanken

Einbrüche in Datenbanken und der damit einhergehende Informationsklau gehören fast schon zur Normalität. Oft profitieren Angreifer dabei von einer unterlassenen Sicherheitskonfiguration. Der Beitrag legt dar, dass Datenbankupdates wie MySQL 8.0 zwar Verbesserungen hinsichtlich Security bringen, aber von Seiten der IT-Administration ein paar wichtige Anpassungen benötigen.
Der Schutz von Datenbanken bedarf bei IT-Verantwortlichen ganz besonderer Aufmerksamkeit.
Falsche oder unsichere Einstellungen in Datenbanken bergen ein hohes Risiko: Niedrige Security-Standards machen es Angreifern leicht, Passwörter zu knacken und Unternehmensdaten abzuschöpfen. Regelmäßige Datenbankupdates und Plug-ins sorgen für Abhilfe – sie schließen Sicherheitslücken und schützen vor unbefugtem Zugriff. Version 8.0 von MySQL bietet wichtige Neuerungen zur Verbesserung der Sicherheit. Im Fokus stehen vor allem die Absicherung von User-Accounts, die Verwaltung von Passwörtern und Zugriffsrechten sowie die Datenverschlüsselung.

  • Passwortänderungen reglementieren: Passwörter in Nutzerkonten lassen sich relativ einfach ändern, sofern die E-Mail-Adresse des Nutzers bekannt ist. Sicherer wird ein Nutzerkonto, wenn bei jeder Passwortänderung das aktuelle Passwort angegeben werden muss. So hindern IT-Verantwortliche Angreifer daran, die Datenbanksitzung mithilfe einer Web-Shell im Hintergrund zu übernehmen und Anwender durch eine Passwortänderung auszusperren. Darüber hinaus lässt sich festlegen, in welchem Zeitraum Anwender ältere Passwörter erneut verwenden dürfen. Dabei kann sowohl die Anzahl der zurückliegenden Passwörter als auch der Nutzungszeitraum hinterlegt werden. Ebenso kann Nutzern untersagt werden, alte Passwörter erneut verwenden zu dürfen
  • SHA-256-Algorithmen nutzen: Ältere MySQL-Versionen nutzten zur Authentifizierung von Usern SHA1-Algorithmen. Allerdings sind diese anfällig gegenüber Cyberangriffen, weil sich der Hash-Wert mit SHA1 ausschließlich aus dem Passwort des Anwenders errechnet. Nutzen also zwei User dasselbe Passwort, wird ihnen im System auch der gleiche Hash-Wert zugeordnet. Die Generierung eines Hash-Werts unter SHA1 macht es Angreifern leicht, Zugriff zum Hash-Wert und Datenbankzugang des Nutzers zu erlangen und mithilfe einer Rainbow Table das Passwort zu entschlüsseln. Mit MySQL 8.0 wurden hingegen SHA-256-Algorithmen als Standard-Authentifizierungs-Plug-in eingeführt. SHA-256 nutzt 5000 Transformationsrunden eines Salted Passwords (Kombination eines Passworts mit einem zufälligen Datensatz). Das macht es nahezu unmöglich, das Passwort eines anderen Nutzers über Rainbow Tables zu ermitteln und zurückzusetzen.
  • Rollenkonzepte für Zugriffsrechte verwenden: Ebenfalls wichtig in Sachen Sicherheit von Datenbanken sind die Zugriffsrechte für einzelne Anwender. Nicht jeder Mitarbeiter benötigt einen vollen Zugriff auf alle Daten und Unternehmensbereiche. Schränkt die IT-Abteilung den Datenzugriff durch ein Rollenkonzept ein, sind auch Angreifern die Hände gebunden. Ein Rollenkonzept ist wichtig, wie der Verizon Data Breach Investigations Report 2018 zeigt: So standen im vergangenen Jahr mehr als 200 von 2216 Datenlecks im Zusammenhang mit der Ausnutzung von Datenbank-Zugriffsrechten. Um Regularien wie DSGVO, DISA und CIS einhalten zu können, sind rollenbasierte Zugriffsrechte zudem essenziell.
  • Dynamische Berechtigungen einsetzen: Eine weitere Möglichkeit zur Einschränkung von Zugriffsrechten bieten dynamische Berechtigungen. Dabei verknüpft der Administrator das Zugriffsrecht eines Mitarbeiters beispielsweise mit dem Ort oder dem Zeitpunkt des Zugriffs. Loggt sich also ein User von einem anderen Computer ein, bleibt ihm der Zugriff verwehrt. Möglich wird dies dadurch, dass der Server bei jeder Verbindung die Parameter prüft, die für eine Benutzerberechtigung gültig sind. Viele Datenbankanbieter setzen mittlerweile auf rollenbasierte Nutzerprofile in Kombination mit dynamischen Berechtigungen und verzichten auf Super-Privilegien. Das gilt auch für MySQL 8.0.
  • Integrierte Verschlüsselung nutzen: Durch die Verschlüsselung der Daten selbst erlangen Dritte keine Einsicht in Unternehmensdaten. MySQL 8.0 bietet hier den FIPS-Modus und die Überwachung von Schreibprozessen über Redo- und Undo-Daten. Beim FIPS-Modus handelt es sich um einen Verschlüsselungsalgorithmus. Er nutzt Master-/Slave-Replikationen, Gruppenreplikationen und das X-Plug-in. Die verwendeten Algorithmen und Protokolle sind durch die US-amerikanischen Federal Information Processing Standards (FIPS) reglementiert und sorgen für eine chiffrierte Client-Server-Verbindung. Redo-Log und Undo-Log hingegen verschlüsseln und sichern die Vorgänge in einer Datenbank. Sie sind aktiv, sobald ein Mitarbeiter auf die Informationen der Datenbank zugreift, diese verändert, löscht oder neue hinzufügt. Eine Verschlüsselung der Daten ist selbst im Ruhezustand sehr wichtig für die Sicherheit der Datenbank.
27.03.2019/ln/Avidan Reich, Security Research Engineer bei Imperva

Nachrichten

Mimikatz bleibt die größte Gefahr [26.06.2019]

62 Prozent mehr Malware im Vergleich zum Vorquartal und Cyberkriminelle, die zunehmend verschiedene Angriffstechniken kombinieren – der Internet Security Report von WatchGuard für das erste Quartal 2019 zeichnet ein klares Bild der aktuellen Bedrohungssituation. Eine besondere Rolle spielt Mimikatz. [mehr]

IP-Kameras im Visier [25.06.2019]

IP-Kameras sind massiven Cyberangriffen ausgesetzt. So hat Trend Micro nach eigenen Angaben innerhalb von fünf Monaten insgesamt fünf Millionen Attacken gegen IP-Kameras abgewehrt. 75 Prozent aller abgewehrten Angriffe waren dabei Login-Versuche mittels Brute-Force. [mehr]

Tipps & Tools

Hyper-Threading Ein- und Abschalten [9.06.2019]

Simultaneous Multithreading (SMT) oder Hyper- Threading sind Technologien, die entwickelt wurden, um die CPU-Leistungsfähigkeit durch Parallelisierung von Berechnungen zu verbessern. Dieser Tipp zeigt Ihnen, wie Sie Hyper-Threading aktivieren und deaktivieren und weist auf Besonderheiten hin, die auf unterstützter Hardware zu beachten sind. [mehr]

Ubuntu-VM in Citrix erstellen [19.05.2019]

In Citrix-Umgebungen lassen sich unter Umständen nicht alle Applikationen als sogenannte 'Published Apps' bereitstellen, da es Abhängigkeiten zwischen Anwendungen gibt oder diese teils miteinander interagieren müssen, wofür ein kompletter Desktop benötigt wird. Möglicher Ausweg kann dann sein, für bestimmte Nutzer dedizierte Linux-VMs auf Basis von Ubuntu 16.04 zur Verfügung zu stellen, die per Machine Creation Services aus einem gemeinsamen Image erzeugt werden. Die Vorgehensweise dabei ist jedoch nicht ganz einfach. [mehr]

Buchbesprechung

Anzeigen