Wie überprüft man, ob DataSunrise Datenverkehr von der Clientanwendung und der geschützten Datenbank erhält

Grundsätzlich sollte als erstes das Dashboard überprüft werden, um festzustellen, ob eine Verbindung mit dem DataSunrise Security Suite Proxy hergestellt wurde. Die Anzahl der hergestellten Verbindungen wird im Dashboard-Bereich angezeigt:

Zum Beispiel sehen Sie in diesem Screenshot, dass drei Verbindungen hergestellt wurden, die in der Liste der Proxys -> Spalten Sitzungen sichtbar sind. Laut dem Abschnitt „Active Audited Sessions“ gehören zwei dieser Sitzungen zur DBeaver-Anwendung, die mit dem Proxy verbunden ist.

Weiterhin erfahren Sie in diesem Dokument detaillierter, wie Sie überprüfen können, ob alle erforderlichen Verbindungen korrekt hergestellt wurden.

Erforderliche Werkzeuge

Sie müssen die spezifischen Werkzeuge installieren, die Ihnen helfen, den erforderlichen Datenverkehr zu erfassen.

Alle Installationen sollten auf einem Rechner vorgenommen werden, auf dem die DataSunrise Security Suite installiert ist.

Falls die Verkehrserfassung auf einem Rechner mit Windows-Betriebssystem erfolgt, wird die Verwendung des Tools Wireshark empfohlen: https://www.wireshark.org/download/

Falls die Erfassung auf einem UNIX-basierten Betriebssystem erfolgt, wird das Tool Tcpdump empfohlen: https://en.wikipedia.org/wiki/Tcpdump

sudo yum install –y tcpdump

Erforderliche Informationen

Um festzustellen, ob der Datenverkehr zwischen einer Datenbank, dem Client und DataSunrise fließt, ist es notwendig, die IP-Adressen der folgenden Elemente zu kennen:

1. Datenbankserver
2. DataSunrise-Server
3. Clientanwendungsmaschine
4. Proxy-Portnummer

Sobald Sie die Informationen über die IP-Adressen haben, können Sie den Überprüfungsprozess starten.

WICHTIG: Stellen Sie sicher, dass alle Vorbereitungen auf der DataSunrise-Seite (die Instanz ist konfiguriert und der Proxy lauscht auf der gewünschten Portnummer) und auf der Clientanwendungsseite (Clientanwendung ist konfiguriert, um sich mit dem DataSunrise-Proxy zu verbinden) korrekt durchgeführt wurden.

Überprüfungsprozess auf Linux

Nachdem das Tcpdump-Paket korrekt installiert wurde, führen Sie den folgenden Befehl aus und ersetzen Sie die IP-Werte durch diejenigen, die Ihrer Umgebung entsprechen:

sudo tcpdump -nn --number \(host DatabaseIP and host DataSunrise\) 
or \(host DataSunriseIP and host ClientIP\) and ProxyPort

Die Tcpdump-Anwendung beginnt, auf die Verbindungen zu lauschen, die gemäß dem von Ihnen festgelegten Filter hergestellt werden.

Nun müssen Sie eine Verbindung mit dem DataSunrise-Proxy herstellen und überprüfen, ob die gewünschte Verbindung ordnungsgemäß von der IP-Adresse der Clientanwendung zur IP-Adresse von DataSunrise und von der IP-Adresse von DataSunrise zur IP-Adresse der Datenbank hergestellt wurde.

Beispiel:

Versuchen wir, einen Test durchzuführen und zu sehen, was passiert, wenn ich versuche, eine Verbindung zu einer Amazon EC2-Maschine herzustellen, auf der DataSunrise installiert ist und DataSunrise so konfiguriert ist, dass es eine MySQL-Datenbank schützt. Die IP-Adressen für die Testumgebung:

172.31.17.62 - Datenbank
172.31.14.182 - DataSunrise
17.72.172.31 - Clientanwendung
3306 – Proxy-Port

Wie Sie hier sehen können, hat sich die Clientanwendung beim Herstellen einer Verbindung von Port 27217 zur DataSunrise-Maschinen-IP-Adresse zum Port 3306 verbunden (Zeile 1) und danach hat sich DataSunrise selbst von Port 47000 zu Port 3306 mit der Datenbank verbunden (Zeile 4). Die MySQL-Datenbank antwortet ebenfalls zu DataSunrise (Zeile 5) und antwortet nicht direkt an die Clientanwendung. Das bedeutet, dass die Verbindung korrekt hergestellt wurde und die Clientanwendung direkt mit dem DataSunrise-Hostname verbunden ist.

Windows

In der WireShark-Benutzeroberfläche müssen Sie im Textfeld Filter einen Filter angeben.

Um den Datenverkehr korrekt zu identifizieren, müssen Sie den folgenden Filter eingeben und die IP-Werte durch diejenigen ersetzen, die Ihrer Umgebung entsprechen:

((ip.addr==DataSunriseIP  and ip.addr==ClientIP) and tcp.port == ProxyPort) 
or (ip.addr==DatabaseIP and ip.addr==DataSunriseIP)

Nachdem der Filter angegeben wurde, müssen Sie, wie bei Linux, versuchen, eine Verbindung mit dem DataSunrise-Proxy herzustellen und überprüfen, ob alle Verbindungen ordnungsgemäß zu den gewünschten Zielen gehen.

Beispiel:

Versuchen wir, einen Test durchzuführen und zu sehen, was passiert, wenn ich versuche, eine Verbindung zu der Maschine herzustellen, auf der DataSunrise installiert ist und DataSunrise so konfiguriert ist, dass es eine PostgreSQL-Datenbank schützt. Die IP-Adressen für die Testumgebung:

18.0.14.148 - Datenbank
192.168.1.35 - DataSunrise
192.168.1.109 - Clientanwendung
5433 – Proxy-Port

Wie Sie im Screenshot sehen können, geht der Datenverkehr, wenn ich auf die Schaltfläche zum Testen der Verbindung auf der Clientmaschine drücke, von der ClientIP zur DataSunriseIP-Adresse durch Port 5433 (Zeile 191). Danach beginnt DataSunrise damit, den Datenverkehr an die DatabaseIP weiterzuleiten (Zeile 194). Es gibt auch viele andere Zeilen, die beweisen, dass der Datenverkehr zum PostgreSQL-Server geht (Spalte Protokoll). Zum Beispiel zeigt Zeile 198, dass DataSunrise Datenverkehr an die Datenbank gesendet hat und danach zeigt Zeile 200, dass die Datenbank ihre Antwort unter Verwendung des PGSQL-Protokolls an DataSunrise gesendet hat.

Das bedeutet, dass der Datenverkehr direkt zur gewünschten IP-Adresse der DataSunrise-Maschine geht.