HERVÉ SCHAUER CONSULTANTS
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Spécialisé sur Unix, Windows, TCP/IP et Internet
Sécurité des bases de
Sécurité des bases de
données
données
Nicolas JombartAlain Thivillon
Nicolas Jombart Alain Thivillon
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
2
2 /24
/24
Place des bases de données
Place des bases de données
dans la sécurité du SI
dans la sécurité du SI
Budgets Securi
vont d'abord à l'achat de système de sécuri(firewalls, IDS, ...)
à la formation
à la sécurisation des applications
le SGBD est le parent pauvre de la sécuri
Complexité
Les BD sont une affaire de scialistes:
au niveau de leur gestion : DBA
au niveau de la programmation
On ne peut pas sérieusement faire de l'Oracle deux fois par an
Quand c'est le cas, la sécuriest encore pire !
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
3
3 /24
/24
Contraintes sur la sécuri
Contraintes sur la sécuri
le du DBA
maintenir le SGBD
rer les comptes, les applications, ...
pas de formation sécuri : ne peut pas « imaginer » les attaques
possibles
Mises à jour des systèmes
d'expérience, 80% des serveurs de BD meurent avec le sysme et le
SGBD initial: (Informix 7.2, Oracle 7.2, ...)
« If it works, don't fix it »
Conséquence : de nombreuses failles sysme et applicatives ne sont
JAMAIS corries, surtout sur les réseaux internes
Criticité des applications : Arrêts impossibles
La sécurité passe en dernier
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
4
4 /24
/24
Contraintes (2)
Contraintes (2)
Le SGBD est souvent un composant
installé par ou avec un logiciel tiers
ERP (SAP, Lawson)
DataMining
Gestion de parc (SMS, ...)
Pour SQL Server : 223 Applications recensées en 2003
Géré via ce logiciel tiers
Dans une version limitée (exemple MSDE pour Epolicy Manager)
dans un mode d'installation par défaut
Sa configuration de sécurité est bien souvent encore plus
obscure !
et personne ne veut/peut prendre la responsabilité de modifier le
paramétrage
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
5
5 /24
/24
Types d'attaques
Types d'attaques
Attaques sur le SGBD luime
failles connues classiques (buffer overflows, bugs d'autentification,
injections SQL dans les procédures stockées, ...)
failles dans les applications associées: serveurs Web d'administration,
applications Web, serveurs LDAP, mons snmp, programmes setuid
root installés par le SGBD, ...
Mauvaises configurations
modes d'authentificationgras (.rhosts, OPS$... ...)
mots de passe par défaut
Interception de mots de passe
par écoute du réseau
par lecture de fichiers de configuration sur disque
1 / 24 100%
La catégorie de ce document est-elle correcte?
Merci pour votre participation!

Faire une suggestion

Avez-vous trouvé des erreurs dans linterface ou les textes ? Ou savez-vous comment améliorer linterface utilisateur de StudyLib ? Nhésitez pas à envoyer vos suggestions. Cest très important pour nous !