Hallo liebe Netzwerkexperten,
Mein PostgreSQL-Datenbankserver ist direkt über das Internet auf Port 5432 erreichbar. Dies bietet laut dem Buch PostgreSQL-Administration (Peter Eisentraut, erschienen bei O’Reilly) die Möglichkeit eines Denial of Service Angriffs - was mir einleuchtet: Ist dem Angreifer die IP-Adresse des Servers bekannt, sucht er nach einem offenen Port und sendet eine Unmenge an Paketen an ihn, sodass die Durchsatzkapazität der Verbindung zum Datenbankserver überlastet wird.
Zur Verhinderung dieses Szenarios wird in dem zitierten Buch empfohlen, keine direkte Verbindung des Datenbankservers mit dem Internet einzurichten, sondern ein VPN zu verwenden, über das mit dem Server kommuniziert wird.
Aber kann ein Angreifer nun nicht - selbst bei einem gut konfigurierten VPN - einen Denial of Service Angriff auf den VPN Server verüben?
Mir leuchtet ein, dass man den Datenbankserver dann zwar immer noch problemlos von innerhalb des Netzwerks erreichen könnte, aber wenn die meisten Anwender von außen über das VPN zugreifen ist das Endergebnis eigentlich das gleich wie bei einer direkten Verbindung des Datenbankservers zum Internet.
Wie seht ihr die Sache? Vielen Dank bereits im Voraus für eure Antworten.
Hallo,
was würde denn gegen eine Firewall sprechen?
Wobei du bei einem „guten“ Dosangriff schon recht aktiv und flott sein musst, um den abzuwehren.
hth
PS: Angreifen kann man jeden Server, der vom Netz aus erreichbar ist, es gibt aber sehr viele Möglichkeiten des Angriffs und der Abwehr
Aber kann ein Angreifer nun nicht - selbst bei einem gut
konfigurierten VPN - einen Denial of Service Angriff auf den
VPN Server verüben?
Im Prinzip ja. Früher war das aber eher ein Problem als heute, da konnte man mit eine guten Anbindung „Gegner“ aus dem „Netz blasen“ - mit einer einfachen Pingflood. Und selbst wenn man dann ICMP sperrt am nächsten Router, wird der Weg dorthin auch erst mal verstopft…
Bei den heutigen Anbindungen der Rechenzentren ist das nicht mehr so einfach, mit Masse an Paketen Leitungen zu fluten. Was aber nicht bedeutet, daß man keine DoS mehr fahren kann, man muss sich nur das Ziel besser aussuchen. Reagiert eine Anwendung auf Port X auf eingehende Verbindungen, so verbraucht das zumindest schon mal Rechenzeit und Arbeitsspeicher. Verzögert man dann Antworten usw. kann man so Dienste komplett lahm legen und auch Rechner auslasten. Ich könnte mir aber vorstellen, daß VPN-Dienste das eher abkönnen als ein db-daemon, von möglichen Sicherheitslücken mal ganz abgesehen. Nicht umsonst werden lokal genutzte Datenbankserver meist auf 127.0.0.1 gebunden. Wenn das nicht geht, weil andere (lokale) Rechner zugreifen müssen, mietet man entweder ein eigenes nicht geroutetes Subnetz* im RZ oder verwendet VPN oder ssh etc.
*Dazu reicht i.d.R. eine dedizierte Switch und ein paar Netzwerkkarten und Kabel mehr. Gute Hoster bieten das an.
Gegen eine Firewall spricht nichts, es ist im Gegenteil schon eine Firewall eingerichtet.
Aber mit welcher Regel kann damit ein Denial of Service Angriff mit Sicherheit ausgeschlossen werden?
Es ist ja nicht im Voraus bekannt von welchen IP Adressen gewünschte Nutzer sich am VPN anmelden, womit es gleichzeitig schwierig wird, unerwünschte IP-Adressen zu definieren.
Die Herstellung von Paketen an den VPN Server, die jenen von erwünschten Nutzern ähneln, ist für einen Angreifer ebenfalls prinzipiell möglich.