Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Intranetanwendung absichern Klient - Webserver - Datenbank

0 views
Skip to first unread message

newsgro...@arcor.de

unread,
Oct 16, 2009, 12:28:07 PM10/16/09
to
Hallo zusammen,

ich stehe vor der Aufgabe, eine Intranetanwendung absichern zu mᅵssen.
Die Umgebung sieht wie folgt aus:

- Datenbank
- Apache-Webserver
- PHP

Die Verbindung Webbrowser - Webserver wird durch SSL abgesichert, die
Client-Authentifizierung erfolgt durch Zertifikat.

Nun zum Problem:

Der Administrator des Webservers darf nicht auf die Datenbank kommen und
der Administrator der Datenbank darf nicht auf die Daten zugreifen
kᅵnnen. Dazu kann man die Daten auf der Datenbank verschlᅵsseln. Dann
stellt sicher allerdings das Problem wie man den Schlᅵssel vom Klienten
an beiden Administratoren auf die Datenbank bringt. Kurzum, ich mᅵchte
Daten vom und zum Klienten bringen ohne dass unterwegs jemand mitliest.

Danke fᅵr Tipps und Hinweise

Carsten Krueger

unread,
Oct 16, 2009, 6:32:42 PM10/16/09
to
Am Fri, 16 Oct 2009 18:28:07 +0200 schrieb newsgro...@arcor.de:

> Der Administrator des Webservers darf nicht auf die Datenbank kommen und
> der Administrator der Datenbank darf nicht auf die Daten zugreifen

> k�nnen.

Geht nicht.

> an beiden Administratoren auf die Datenbank bringt. Kurzum, ich m�chte

> Daten vom und zum Klienten bringen ohne dass unterwegs jemand mitliest.

Daten auf dem Client verschl�sseln und verschl�sselt in der DB ablegen.
Ein Browser ist dann allerdings ohne Addon ungeeignet, da ein Javaapplet
was das �bernehmen k�nnte auch vom Webserver ausgeliefert wird und daher
manipulierbar w�re.

Gru� Carsten
--
ID = 0x2BFBF5D8 FP = 53CA 1609 B00A D2DB A066 314C 6493 69AB 2BFB F5D8
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://www.temporaryinbox.com/ - Antispam
cakruege (at) gmail (dot) com | http://www.geocities.com/mungfaq/

Bernd Hohmann

unread,
Oct 16, 2009, 7:16:56 PM10/16/09
to
newsgro...@arcor.de schrieb:

> Der Administrator des Webservers darf nicht auf die Datenbank kommen und
> der Administrator der Datenbank darf nicht auf die Daten zugreifen

> können.

So eine Anforderung hab ich das letzte Mal bei Kiddies gehört denen man
einen V-Server für 5 EUR/Monat geschenkt hat und die damit die Homepage
eines WoW-Clans hochziehen wollen und sich nun um die Förmchenverteilung
streiten.

Sollte das eine ersthafte Anforderung eines Unternehmens sein und Du der
externe Dienstleister: ergreife die Flucht.

Bernd

--
Visit http://www.nixwill.de and http://www.spammichvoll.de
jean....@nixwill.de & bernado....@spammichvoll.de

newsgro...@arcor.de

unread,
Oct 17, 2009, 4:35:02 AM10/17/09
to
Was w�re das beispielsweise f�r ein Addon?

Jan Schejbal

unread,
Oct 18, 2009, 8:35:54 AM10/18/09
to
Hallo,

> Der Administrator des Webservers darf nicht auf die Datenbank kommen
> und der Administrator der Datenbank darf nicht auf die Daten
> zugreifen

Der Admin der DB darf nicht an die Daten -> Entweder entsprechende
Zugriffsrechte/Vier-Augen-System oder die Daten vor der Ablage
verschlᅵsseln (Hardwaresicherheitsmodul im Webserver?)

1. Der Admin des Webservers darf nicht an die DB.
2. Der Webserver darf an die DB.
3. Der Admin des Webservers soll den Webserver vollstᅵndig verwalten.

Passt nicht. Eine der Sachen wirst du rauswerfen mᅵssen. Entweder du
verbietest dem Webserver auf die DB zuzugreifen, oder du nimmst dem
Webserveradmin so viele Zugriffsrechte, dass er nicht mehr auf die DB
zugreifen kann, auch nicht indirekt indem er z. B. eine Anwendung
ᅵndert, die auf die DB zugreifen soll. Beide Maᅵnahmen dᅵrften dem Sinn
des Webservers bzw. des Admins entgegenstehen.

Gruᅵ
Jan

--
Bitte mᅵglichst in die Newsgroup antworten.
Blog: http://janschejbal.wordpress.com/
Bei e-Mail-Antworten bitte im Betreff "FROM NG" verwenden,
sonst wird die Mail ungelesen gelᅵscht! (Danke, Spammer!)

Arno Welzel

unread,
Oct 18, 2009, 11:45:57 AM10/18/09
to
newsgro...@arcor.de schrieb:

> ich stehe vor der Aufgabe, eine Intranetanwendung absichern zu mᅵssen.
> Die Umgebung sieht wie folgt aus:
>
> - Datenbank
> - Apache-Webserver
> - PHP
>
> Die Verbindung Webbrowser - Webserver wird durch SSL abgesichert, die
> Client-Authentifizierung erfolgt durch Zertifikat.
>
> Nun zum Problem:
>
> Der Administrator des Webservers darf nicht auf die Datenbank kommen und

Das geht prinzipiell nicht, da er als Admin logischerweise an die
Anwendung kann, die auf dem Webserver lᅵuft - und die muss ja wohl auch
an die DB kommen. Also kann auch der Web-Admin an die DB, da die
Anwendung irgendwie ja auch den Login zur Datenbank kennen muss - und
damit auch der Web-Admin.

> der Administrator der Datenbank darf nicht auf die Daten zugreifen
> kᅵnnen. Dazu kann man die Daten auf der Datenbank verschlᅵsseln. Dann

Und wie soll der DB-Admin dann seinen Job machen, wenn er nicht an die
Datenbank herandarf?

> stellt sicher allerdings das Problem wie man den Schlᅵssel vom Klienten
> an beiden Administratoren auf die Datenbank bringt. Kurzum, ich mᅵchte
> Daten vom und zum Klienten bringen ohne dass unterwegs jemand mitliest.

Tunnel via SSH, OpenVPN o.ᅵ. vom Webserver zum DB-Server und darᅵber die
DB-Verbindung aufbauen. Die anderen Anforderungen sind ziemlich unsinnig
- ein Admin fᅵr irgendetwas muss nun mal ᅵblicherweise auch Zugriff auf
das irgendetwas haben, dass er administrieren soll.


--
http://arnowelzel.de
http://de-rec-fahrrad.de

Carsten Krueger

unread,
Oct 19, 2009, 8:01:41 AM10/19/09
to
Am Sat, 17 Oct 2009 10:35:02 +0200 schrieb newsgro...@arcor.de:

> Was w�re das beispielsweise f�r ein Addon?

Google: Firefox Addon

newsgro...@arcor.de

unread,
Oct 19, 2009, 12:27:49 PM10/19/09
to
Was genau nochmal trᅵgt dein Posting zur Lᅵsung meines Problems bei?

* On 17.10.2009 01:16, Bernd Hohmann wrote:
> newsgro...@arcor.de schrieb:
>
>> Der Administrator des Webservers darf nicht auf die Datenbank kommen
>> und der Administrator der Datenbank darf nicht auf die Daten zugreifen

>> kᅵnnen.
>
> So eine Anforderung hab ich das letzte Mal bei Kiddies gehᅵrt denen man
> einen V-Server fᅵr 5 EUR/Monat geschenkt hat und die damit die Homepage
> eines WoW-Clans hochziehen wollen und sich nun um die Fᅵrmchenverteilung

newsgro...@arcor.de

unread,
Oct 19, 2009, 12:35:21 PM10/19/09
to
* On 18.10.2009 17:45, Arno Welzel wrote:
[...]

>> der Administrator der Datenbank darf nicht auf die Daten zugreifen
>> kᅵnnen. Dazu kann man die Daten auf der Datenbank verschlᅵsseln. Dann
>
> Und wie soll der DB-Admin dann seinen Job machen, wenn er nicht an die
> Datenbank herandarf?

Ich sprach davon, dass der Admin nicht auf die Daten zugreifen kᅵnnen
soll. Wenn beispielsweise ein Attribut verschlᅵsselt ist, warum sollte
der Admin seine Arbeit nicht mehr machen kᅵnnen - da fehlt mir der
Zusammenhang.

>> stellt sicher allerdings das Problem wie man den Schlᅵssel vom
>> Klienten an beiden Administratoren auf die Datenbank bringt. Kurzum,
>> ich mᅵchte Daten vom und zum Klienten bringen ohne dass unterwegs
>> jemand mitliest.
>
> Tunnel via SSH, OpenVPN o.ᅵ. vom Webserver zum DB-Server und darᅵber die
> DB-Verbindung aufbauen. Die anderen Anforderungen sind ziemlich unsinnig
> - ein Admin fᅵr irgendetwas muss nun mal ᅵblicherweise auch Zugriff auf
> das irgendetwas haben, dass er administrieren soll.

Manchmal will man eben selbst dem Admin nicht den Zugriff erlauben...

Helmut Hullen

unread,
Oct 19, 2009, 12:42:00 PM10/19/09
to
Hallo, newsgroups2009,

Du meintest am 19.10.09:

> Was genau nochmal tr�gt dein Posting zur L�sung meines Problems bei?

Du scheinst die Prinzipien von Newsgroups noch nicht so recht zu kennen.
Erkennbar schon daran, dass Du mit einem kindischen Spitznamen
auftrittst. Das sichert Dir allemal Antworten, die Du nicht haben
willst.

Du kannst nat�rlich, wenn Dir die Antwort nicht passt, Dein Geld
zur�ckfordern.

Viele Gruesse!
Helmut

newsgro...@arcor.de

unread,
Oct 19, 2009, 1:07:44 PM10/19/09
to
Och, irgendwann wird man auch erwachsen und k�mmert sich nicht mehr um
solche Nebens�chlichkeiten wie Realname und dieses ganze Bla, Bla.
Danach rufen immer die am lautesten, die technisch am wenigsten
beizutragen haben. Mir fehlt immer noch dein Input zum Thema...

Carsten Krueger

unread,
Oct 19, 2009, 1:05:48 PM10/19/09
to
Am Mon, 19 Oct 2009 18:35:21 +0200 schrieb newsgro...@arcor.de:

> Ich sprach davon, dass der Admin nicht auf die Daten zugreifen k�nnen
> soll. Wenn beispielsweise ein Attribut verschl�sselt ist, warum sollte
> der Admin seine Arbeit nicht mehr machen k�nnen - da fehlt mir der
> Zusammenhang.

Verschl�sseln ist ok, nicht zugreifen k�nnen nicht.

> Manchmal will man eben selbst dem Admin nicht den Zugriff erlauben...

Nein, dann will man 4-Augenprinzip, einen neuen Admin oder die Daten schon
verschl�sselt ablegen.

Carsten Krueger

unread,
Oct 19, 2009, 1:09:03 PM10/19/09
to
Am Sat, 17 Oct 2009 10:35:02 +0200 schrieb newsgro...@arcor.de:

> Was w�re das beispielsweise f�r ein Addon?

Google: Firefox Addon

Gru� Carsten

PS: Starke Crypto-Algorithmen die man in ein Addon einbauen k�nnte:
http://code.google.com/p/crypto-js/

PPS: Addons auf denen man aufbauen k�nnte:
https://addons.mozilla.org/de/firefox/search?q=aes&cat=1%2C12

foobar

unread,
Oct 19, 2009, 1:13:36 PM10/19/09
to
Super, danke dir!

Bernd Hohmann

unread,
Oct 19, 2009, 6:20:02 PM10/19/09
to
newsgro...@arcor.de schrieb:

> Was genau nochmal trägt dein Posting zur Lösung meines Problems bei?

Na da:

>> Sollte das eine ersthafte Anforderung eines Unternehmens sein und Du der
>> externe Dienstleister: ergreife die Flucht.

Denn: wäre die Idee auf Deinem Mist gewachsen, könntest Du das Szenario
so schildern, dass sich eine Lösung finden wird.

So aber hast Du eine Anforderung gestellt, die sich eher nach
"Pointy-Haired Boss" anhört und sofortigen Fluchtreflex auslöst.

Arno Welzel

unread,
Oct 19, 2009, 6:26:07 PM10/19/09
to
newsgro...@arcor.de schrieb:

> * On 18.10.2009 17:45, Arno Welzel wrote:
> [...]
>>> der Administrator der Datenbank darf nicht auf die Daten zugreifen
>>> kᅵnnen. Dazu kann man die Daten auf der Datenbank verschlᅵsseln. Dann
>>
>> Und wie soll der DB-Admin dann seinen Job machen, wenn er nicht an die
>> Datenbank herandarf?
>
> Ich sprach davon, dass der Admin nicht auf die Daten zugreifen kᅵnnen
> soll. Wenn beispielsweise ein Attribut verschlᅵsselt ist, warum sollte
> der Admin seine Arbeit nicht mehr machen kᅵnnen - da fehlt mir der
> Zusammenhang.

ᅵblicherweise muss der DB-Admin auch die Struktur der Datenbank
zumindest grob kennen, wenn es z.B. um die Beseitigung von
Performance-Problemen geht oder wenn beurteilt werden soll, wieviel
Speicherplatz die Datenbank braucht usw.

Daher beschrᅵnkt man sich bei der Verschlᅵsselung auch wirklich nur auf
einzelne Angaben, die generell *niemand* ausser den berechtigten
Benutzern kennen sollen - z.B. Passwᅵrter, PINs etc.

Dass eine Datenbank *komplett* verschlᅵsselt wird, so dass auch der
DB-Admin mit dem Inhalt nichts anfangen kann, ist absolut unᅵblich, da
technisch extrem aufwendig - erst recht in PHP.

Konkretes Beispiel:

Man hat ein SQL-Statement, um Daten alphabetisch sortiert auszugeben:

select title, id from articles order by title

So - nun stelle man sich vor, die Daten im Feld "title" wᅵren komplett
verschlᅵsselt, damit auch der DB-Admin nicht sehen kann, was da im
Klartext enthalten ist.

Das Ergebnis wird nun eben nach dem verschlᅵsselten Inhalt sortiert -
passt also gar nicht mehr. Zudem mᅵsste die Anwendung *jeden* einzelnen
Datensatz wieder entschlᅵsseln und das Ganze lokal im Speicher oder
temporᅵr erzeugten Dateien sortieren, was die Leistung auch nicht gerade
verbessert. Zudem sollte die Verschlᅵsselung schon einigermassen gut
sein und nicht nur ein bisschen ROT13 o.ᅵ. - ob PHP das halbwegs schnell
hinbekommt mit einigen hundert oder tausend Eintrᅵgen, wage ich zu
bewzeifeln.

Gerade deshalb gibt es fᅵr die Datenbank Login und Passwort und nicht
jeder kann da einfach so reinlangen. Man kᅵnnte den DB-Server auch
physisch so absichern, dass der DB-Admin nur in Anwesenheit einer
zweiten Person an das System kann.

Wenn es ein Problem ist, dass der Web-Admin zwangslᅵufig auch Zugriff
auf die DB erlangen kann oder der DB-Admin Daten in der DB sehen kann,
muss man das halt organisatorisch regeln - das ist kein rein technisches
Problem. Irgendjemand hat immer Zugriff auf die Daten.

>>> stellt sicher allerdings das Problem wie man den Schlᅵssel vom
>>> Klienten an beiden Administratoren auf die Datenbank bringt. Kurzum,
>>> ich mᅵchte Daten vom und zum Klienten bringen ohne dass unterwegs
>>> jemand mitliest.
>>
>> Tunnel via SSH, OpenVPN o.ᅵ. vom Webserver zum DB-Server und darᅵber
>> die DB-Verbindung aufbauen. Die anderen Anforderungen sind ziemlich
>> unsinnig - ein Admin fᅵr irgendetwas muss nun mal ᅵblicherweise auch
>> Zugriff auf das irgendetwas haben, dass er administrieren soll.
>
> Manchmal will man eben selbst dem Admin nicht den Zugriff erlauben...

Dann macht ihr organisatorisch was falsch.

Bernd Hohmann

unread,
Oct 19, 2009, 7:21:10 PM10/19/09
to
Arno Welzel schrieb:

> Das Ergebnis wird nun eben nach dem verschlüsselten Inhalt sortiert -

> passt also gar nicht mehr.

Das ist nicht so sehr das Problem: es gibt Datenbanken, welche die Daten
verschlüsselt ablegen und als Indecies neutrale Sortierschlüssel verwenden.

Dekodierung geht dann anhand diverser Module, auch für PHP verwendbar.

Ist aber eher Militärware und zb. über Detica et al zu beziehen.

>> Manchmal will man eben selbst dem Admin nicht den Zugriff erlauben...
>
> Dann macht ihr organisatorisch was falsch.

Ich tippe mal auf die (Lohn)buchhaltung der Geschäftsleitung, damit
keiner sieht wie das Unternehmen ordnungsgemäss geplündert wird.

Message has been deleted
0 new messages