Zugriff von Extern auf MariaDB

Nur VPN nutzen oder wenn das nicht möglich ist, die Datenbank bei einem Provider einrichten.

NAS öffentlich im Netz ist gefährlich!

Ansonsten evtl. noch VM auf dem NAS mit aktuellem(!) Linux und dort die Datenbank hosten.

Tschau

Uwe

Zitat von gkobler

daher wollte ich eine Einschätzung wie gefährlich der spezifisch offene Port ist.

Der Port ist genauso sicher wei der dahinter laufende Dienst.

VPN ist natürlich immer am besten. aber mit PAT machste auch nix verkehrt.

ICH könnte damit leben. Ist eine Sache der Definition und dem Blickwinkel. Wobei ich das nicht pauschalisieren will. Es kommt auch drauf an was in der DB gespeichert werden soll.

Ich habe mir die sichere Anmeldung aus Neugier einmal angeschaut. Ich nutze auch viel MariaDB, aber nur unverschlüsselt im lokalen Netzwerk.

1. MariaDB ohne TLS

Nur im lokalen Netzwerk akzeptabel. Selbst das Passwort wird im Klartext übertragen.

2. MariaDB mit Server-Zertifikat (One Way TLS)

Die Kommunikation ist sicher und kann derzeit nicht gebrochen werden. Das Zertifikat verschlüsselt nur, sichert die Anmeldung aber nicht ab.

Risiken:

- Das Passwort wird erraten (brute force) oder gerät andersweitig in die Hände des Angreifers

- Es gibt vergessene oder unbemerkt von Programmen angelegte Accounts mit Trivial- oder Defaultpasswörtern.

- Auf Grund eines Fehlers in MariaDB kann man auch ohne Kenntnis von Passwörtern eindringen oder Code ausführen.

3. MariaDB mit Server-Zertifikat und Client-Zertifikat (Two Way TLS) inkl. Einschränkung der Anmeldung nur mit bekanntem Zertifikat

Die Kommunikation ist sicher und kann derzeit nicht gebrochen werden. DB-Accounts können so konfiguriert werden, dass die Anmeldung nur mit einem bestimmten Client-Zertifikat möglich ist. So wie ich gesehen habe, ist es aber nicht möglich, dies für alle Zugänge generell zu verlangen.

Risiken:

- Es gibt vergessene oder unbemerkt von Programmen angelegte Accounts mit Trivial- oder Defaultpasswörtern ohne Erforderung eines Zertifikats.

- Auf Grund eines Fehlers in MariaDB kann man auch ohne Kenntnis von Passwörtern eindringen oder Code ausführen.

Dann gibt es noch die Möglichkeit, statt über Zertifikate den Zugriff über einen SSH-Tunnel zu gestalten.

4. MariaDB mit ssh-Tunnel, ssh-Anmeldung mit Passwort

Die Kommunikation ist sicher und kann derzeit nicht gebrochen werden. Alle DB-Anmeldungen müssen über den ssh-Tunnel erfolgen.

Risiken:

- Das Unix/qts-Passwort wird erraten (brute force) oder gerät andersweitig in die Hände des Angreifers

- Es gibt vergessene Unix/qts-Accounts mit Trivial- oder Defaultpasswörtern

- Auf Grund eines Fehlers im Open-SSH-Server kann man auch ohne Kenntnis von Passwörtern eindringen oder Code ausführen.

5. MariaDB mit ssh-Tunnel, ssh-Anmeldung mit ssh-Keys, Anmeldung ohne ssh-Keys abgeschaltet

Die Kommunikation ist sicher und kann derzeit nicht gebrochen werden. Die Anmeldung kann nicht geknackt werden. Leider macht es Qnap einem schwer, die Passwort-Anmeldung zu unterbinden.

Risiken:

- Auf Grund eines Fehlers im Open-SSH-Server kann man auch ohne Kenntnis von Passwörtern eindringen oder Code ausführen.

Meine Einschätzung:

Die Anmeldung über ssh halte ich für sicherer, da der SSH-Server viel häufiger für die sichere Anmeldung verwendet wird als MariaDB und entsprechend besser getestet und überprüft worden ist. Mit der Einschränkung auf ssh-Keys entfällt auch das Risiko von vergessenen oder automatisch angelegten Accounts. ssh mit ssh-Keys bietet dieselbe Sicherheit wie ein VPN.

Bei MariaDB mit Two-Way-Zertifikaten sehe ich ein relativ geringes Risiko einer Sicherheitslücke, die von den Folgen her aber gravierend sein könnte. Wenn sich der Schaden eines Datenabflusses in Grenzen hält und das Backup sicher ist gegen Verschlüsselungssoftware, halte ich das Risiko für vertretbar.

Zitat von gkobler

Auch wenn jetzt mein NAS verschlüsselt werden sollte, kann ich es neu Aufsetzten.

Das macht die Sache schon mal sehr viel entspannter.