GreenSQL

[fulltilt]

Was haltet Ihr von GreenSQL (Datenbank-Firewall) hat schon jemand Erfahrungen damit - wie wirkt es sich auf die Performance und Load aus?
http://www.heise.de/security/meldung/Fr ... 75681.html

[Roger Wilco]

Ich erlaube mir mal einen Beitrag aus einem anderen Forum zu zitieren:

bringt es das oder wird man nur eher mehr eingeschränkt?

Ja und ja.

Bringt was wofür? Du musst schon sagen, in welchem Kontext du GreenSQL konkret einsetzen willst.

Auf einem Einzelsystem, auf dem nur lokale Anwendungen Zugriff auf die Datenbank haben und diese Anwendungen unter deiner Kontrolle stehen, bringt GreenSQL herzlich wenig - außer einem nicht zu unterschätzenden Performanzverlust.

Auf einem exponierten System mit vielen Benutzern, das die Datenbank nach außen hin anbietet, kann GreenSQL (oder generell ein Application-Level-Filter) durchaus einen Sicherheitsgewinn bringen. Man sollte sich aber nicht der Illusion hingeben, dass GreenSQL alle Angriffe erkennt und verhindert.

[fulltilt]

Also GreenSQL und MySQL auf dem selben Host führt dann wohl eher zu Performanzverlust?

[fulltilt]

Danke - war bisher mit einer guten PHP config und modsecurity immer gut gefahren, aber interessant find ichs schon - vieleicht auf "einem" System mit entsprechenden Hardware Resourcen ...
Gruss

[daemotron]

Ich würde das differenzierter betrachten wollen. GreenSQL ist ein Application Layer Filter und kann als solcher auf unerwünschte SQL-Befehle "wegfangen". Das wird immer dann interessant, wenn z. B. auf einem System mit vielen virtuellen Webhostings eines dieser Hostings anfällig für SQL Injection ist, oder gar ganz geknackt wurde und ein Angreifer von dort versucht, auf die Datenbanken anderer User zuzugreifen.

Prinzipiell wäre GreenSQL dann überflüssig, wenn gewährleistet ist, dass

1. von außen nur DB-gestützte Applikationen erreichbar sind, die immun gegen SQL Injection Angriffe sind
2. ausschließlich lange, schwer zu erratende Kennwörter für die User-Accounts verwendet werden
3. die eigenen User so vertrauenswürdig sind, dass sie ihren (legitimen) Zugang zur Datenbank nicht für Unfug zu missbrauchen

Auf einem Massenhosting-System lassen sich die Punkte 1 und 3 meistens nicht gewährleisten, und Punkt 2 wird durch faule User ebenfalls oft genug ausgehebelt. In solchen nicht-vertrauenswürdigen Umgebungen kann der Einsatz von GreenSQL Sinn machen, um die übrigen Kunden vor Kollateralschäden zu schützen - sozusagen als Fallback. In einer vertrauenswürdigen oder anderweitig leicht kontrollierbaren Umgebung macht GreenSQL allerdings wirklich keinen Sinn.

[fulltilt]

Auf einem Massenhosting-System lassen sich die Punkte 1 und 3 meistens nicht gewährleisten, und Punkt 2 wird durch faule User ebenfalls oft genug ausgehebelt. In solchen nicht-vertrauenswürdigen Umgebungen kann der Einsatz von GreenSQL Sinn machen

das wäre hier auch der Fall - interessant wäre zu wissen wie sich das mit der Performance auf "normalo" Systemen (4-6 GBRam) verhält.
Na ja und dann gibts wahrscheinlich noch Probleme mit einigen Anwendungen wegen dem Port:

Code: Select all

mysql_connect('127.0.0.1:3305', 'mysql_user', 'mysql_password');

Kann man dafür eine Regel erstellen die automatisch mysql Anfragen für localhost mit Standardport auf 127.0.0.1:3305 setzt?

[Joe User]

Der Performance-Verlust sollte auch bei komplexeren Regeln weit unter mod_security liegen, also auch für "normalo" Systeme zu verkraften. Letztendlich hilft aber nur ausprobieren und hier berichten ;)

[Joe User]

Na ja und dann gibts wahrscheinlich noch Probleme mit einigen Anwendungen wegen dem Port:

Code: Select all

mysql_connect('127.0.0.1:3305', 'mysql_user', 'mysql_password');

Kann man dafür eine Regel erstellen die automatisch mysql Anfragen für localhost mit Standardport auf 127.0.0.1:3305 setzt?

Stelle den Port für den MySQLd auf 3305 und den für GreenSQL auf 3306, schon ist der Port erledigt. Eine Lösung für localhost->127.0.0.1 gibt es allerdings nicht, da der MySQL-Client für localhost grundsätzlich den UNIX-Socket statt (wie bei 127.0.0.1) TCP/IP nutzt. OK, man könnte das patchen, aber das will man sich nicht antun...

[fulltilt]

UNIX-Socket statt (wie bei 127.0.0.1) TCP/IP nutzt. OK, man könnte das patchen, aber das will man sich nicht antun...

und die Settings in der my.cnf localhost oder 127.0.0.1 haben die keinen Einfluss darauf?

[Joe User]

UNIX-Socket statt (wie bei 127.0.0.1) TCP/IP nutzt. OK, man könnte das patchen, aber das will man sich nicht antun...

und die Settings in der my.cnf localhost oder 127.0.0.1 haben die keinen Einfluss darauf?

Nein, das ist hardcoded und somit by-design.

[fulltilt]

hm - das bedeutet dann viel Stress mit den Kunden :-)

[daemotron]

Andererseits bieten viele Mietserver heute so starke Hardware, dass man die verschiedenen Dienste locker in virtuelle Umgebungen (sei es nun Xen, OpenVZ, Jails, Zones, ...) einsperren kann. Wenn MySQL und Webdienste auf getrennten (virtuellen) Maschinen laufen (wie das bei großen Providern eh üblich ist), dann erfolgt der Zugriff eh über TCP, so dass man GreenSQL quasi transparent dazwischen flanschen kann.

[fulltilt]

bei mir machts wenig sinn da alles auf einem system lokal installiert ist - wäre wohl auch eher ein performance killer.
Aber wenn mysql eh schon ausgelagert ist ...