Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties
Bron: PCWorld

De ontwikkelaars van Symantec hebben een netwerkmonitor gebouwd die het database-gerelateerde netwerkverkeer in de gaten houdt. De tool draait op een speciaal geconfigureerde server die is aangesloten op het netwerk. Uit het langskomende dataverkeer worden de pakketten gefilterd die met databasebewerkingen te maken hebben. De netwerkmonitor kijkt bijvoorbeeld of er verdachte queries worden uitgevoerd. Op deze manier is eventueel misbruik makkelijk op te sporen. De aanvragen worden niet geblokkeerd, er wordt alleen afgeluisterd en de resultaten worden gerapporteerd. In de toekomst kan wel een mogelijkheid tot blokkeren worden ingebouwd.

Symantec logoAan de software is verschillende jaren gewerkt. Er is gebruik gemaakt van de al in gebruik zijnde intrusion detection methoden maar er is ook nieuwe code ontwikkeld. De technologie om het netwerk te sniffen wordt gebruikt in de Network Security 7100 Series, de code voor het analyseren van de database queries is nieuw ontwikkeld. De netwerkmonitor zal nog zeker tot eind dit jaar getest worden. Daarna kan Symantec bepalen wanneer het product op de markt zal verschijnen.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (18)

Oftewel, transparente sniffer die filtert op sql queries?
Start ethereal en je kan hetzelfde doen (zonder de eenvoudige gui dan)

Leuk initiatief maar of het nut heeft?
Het lijkt me beter om de gebruikers te restricten en geen rechten te geven voor bepaalde queries.
De titel "Symantec ontwikkelt 'Big Brother' netwerkmonitor" is een beetje verwarrend (alhoewel ik de achterliggende gedachte wel begrijp).

Er bestaat namelijk een Big Brother netwerkmonitor:
professional edition of non-commercial version van Quest software.

Een resultaatje ervan kun je hier zien: teunissen enabling netwerk monitor

Symantec is niet bezig met een kloon hiervan, maar met een geheel nieuw DB-monitorpakket via het netwerk.
Op een aparte server?
Een switch levert een netwerkpakketje toch direct bij de eindbestemming af en gaat niet langs de sniff-server?
De server draait met een netwerkkaart in promiscious-mode waardoor deze alle pakketten te zien krijgt op zijn broadcastsegment.

Pakketten worden namelijk gebroadcast met een afzender en een aankomstadres (MAC). In promiscious-mode accepteert de netwerkkaart dus elk pakketje, dit gaat niet ten koste van het pakketje dat voor de doelbestemming is.
Alleen heeft dat niet veel zin als de server achter een switch zit zoals rrenzo al schrijft. Een netwerkkaart in promiscious mode ziet alleen al het verkeer als deze achter een hub zit. De enige mogelijkheid om achter een switch al het netwerk verkeer te monitoren is dmv DNS- of MAC-spoofing.
Daarom heb je in een managed switch ook de mogelijkheid om een span poort aan te maken waar al het verkeer heen gekopieerd wordt, zodat je daar je sniffer/IDS aan kunt hangen.
Of je hangt je sniffing-server en de database-server samen in 1 hub die je weer in de switch hangt (poor man's solution). Zou zeker in het geval van alleen maar sniffen weinig tot geen netwerkvertraging mogen opleveren.
Dit kan op het eerste gezicht een goed idee lijken, maar dit soort spullen is zo gevoelig aan misbruik dat ik het toch wat link vind.

Volgens mij zitten we hier niet echt op te wachten...
In bijvoorbeeld de financiele sector zou daar best nog wat enthousiasme voor kunnen zijn. Ad-hoc database toegang is daar permanent een bron van zorg, dus als ze iets echt intelligents hebben verzonnen belangstelling genoeg. Vraag me wel af of je iets dergelijks niet liever in je DB kernel wil zetten in plaats van ergens op je netwerk
Niet alleen de financiŽle sector hoor.
Wat dacht je van (lokale) overheden waar belasting en persoongegevens worden opgeslagen.
Inderdaad... wellicht juist ideaal om privacy te beschermen, ipv het kwetsbaar te maken.
Dat vroeg ik me ook al af. :)

Deze software zou naar patronen kijken, maar wat is bijvoorbeeld het patroon van de standaard db.user van t.net? Pure chaos, het enige dat je kan zien is dat er geen DROP, TRUNCATE en DELETE statements langskamone (als het goed is ;) ). Maar die hoort de standaard user al op DB niveau uberhaupt niet te hebben.

Tegen SQL injection beschermen is moeilijk, hoe kan de software nou weten dat je niet express 2 queries in 1x stuurt, of gewoon loopt te klooien met booleans (de albekende 'OR iets dat true is' toevoegen aan de query). Als er iets ergs geÔnjecteerd wordt, gebeurd dat als nog omdat deze appliance niets blokt.

Het zal best wel enige extra bescherming toevoegen, maar volgens mij moet je het vooral op DB-niveau oplossen met rechten, op code niveau door SQL injection etc. tegen te gaan en op sociaal niveau door vertrouwen in de almachtige DBA te hebben. :)
Ik zou juist verwachten dat je op T.net juist veel identieke queries ziet, met een hoop verschillende parameters. Je zou natuurlijk gewoon queries met een afwijkende vorm kunnen blokkeren, maar ik verwacht toch wel dat ze met wat meer op de proppen komen.

Edit: het lijkt hier over te gaan.
Kennelijk zoeken ze naar bekende aanvals patronen. Wordt niks gezegd over hoe ze met nieuwe patronen omgaan.
Ben benieuwd hoe intelligent de tool is?
Of zou het alleen maar kijken naar queries die nooit voorkomen en/of sql injection?
Verschillende jaren aan gewerkt? Oh ik snap hem. 1992, 1993... ach jongens het wordt niks. 2005 - we hebben weer wat nieuws nodig.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True