Sicherheit Konzepte für die Datenbanksicherheit. TOAD User Konferenz 2008 Dr. Günter Unbescheid Database Consult GmbH

Größe: px

Ab Seite anzeigen:

Download "Sicherheit Konzepte für die Datenbanksicherheit. TOAD User Konferenz 2008 Dr. Günter Unbescheid Database Consult GmbH"

Caroline Ackermann
vor 8 Jahren
Abrufe

1 Konzepte für die Datenbanksicherheit TOAD User Konferenz 2008 Dr. Günter Unbescheid Database Consult GmbH

2 Besinnliches... Cryptography is a branch of mathematics,...(it) is perfect. Security,... involves people,... (it) is a process, not a product Bruce Schneier, Secrets & Lies Wenn man den Kopf in den Sand steckt,... bleibt immer noch der Hintern zu sehen! Japanisches Sprichwort

.. (it) is a process, not a product Bruce Schneier, Secrets & Lies

3 Bäume statt Wald? Single Sign On VPD Authentication DAC Secure Files Databsase Vault Auditing FGA Authorisation Wallets Application Context Enterprise Users Roles Audit Vault CRL Shared Schema SSL Object Privs Labels Global Roles System Privs Network Data Encryption RLS password policies TDE Enterprise Roles Proxy Authentication MAC certificates

Authorisation Wallets Application Context Enterprise Users Roles Audit Vault CRL

4 Agenda Intro: in Oracle-basierten Systemen Grundlegende Konzepte Begriffe Ausgewählte Features zum Thema Neuheiten der Version 11g Klassische Highlights

5 Intro

6 Infomation Security - Ziele Secrecy / Privacy Integrity System Availability

7 Information Security Bereiche 1 Datenbank Anwendung Betriebssystem Netzwerke erfordert ein ganzheitliches Vorgehen! Technisch...

8 Information Security Bereiche 2 Features Security by Design Prozesse Menschen... und organisatorisch...

9 Information Security - Prinzipien Separation of Duties Reconstruction of Events Least Privilege need-to know Accountability Authenticated Users Identified Security steht und fällt mit identifizierbaren Benutzern

need-to know Accountability Authenticated Users

10 Infomation Security - Prozess protect detect recover

11 Risikoanalysen DB-Tends mehr Systeme mehr Daten neue Datenklassen DBA-Trends weniger Administratoren externe Dienstleister Security-Anforderungen Schutzbedarf per Risikoanalyse Konzentration auf exponierte Systeme Zugriffskontexte Datensensibilität Schutzbedarf Datenfluss

Security-Anforderungen Schutzbedarf per Risikoanalyse Konzentration

12 Bedrohungsszenarien SQL Injection Einschleusen von SQL-Klauseln über Eingabefelder Manipulation des dynamisch erzeugten SQL-Strings Rootkit Softwarewerkzeuge auf kompromittierten Systemen, die ihre Aktionen verschleiern Exploit Programm zur Ausnutzung von Schwachstellen z.b. zur Demonstration derselben

Softwarewerkzeuge auf kompromittierten Systemen, die ihre Aktionen

13 Security Universum

14 Security Universum

15 Security Universum

16 Security Universum

17 Security Universum

18 Security Universum

19 Massnahmen

20 Ausgewählte Features

21 Password Hashing Version <= 10gR2 PW maximal 30 Zeichen Hash über username upper(password) Hash per 64-Bit DES Username als SALT (random value) Ersatz Werte abrufbar per DBA_USERS und USER$ daher können rainbow tables für Passwort Attacken genutzt werden (precompilierte Hashes) USERNAME PASSWORD FRANZ 1C6AC1D0538D523F OTTO CA706757CFD6A12C (Passwort = tiger )

22 Password Hashing 11g: Stärkerer Algorithmus bit SHA-1 SALT wird genutzt keine username concatenation Optional PW bis zu 50 Zeichen + case sensitive sec_case_sensitive_logon = true modifizierbar (system immediate) password Spalte nicht mehr in DBA_USERS Migration 10g: sensitive nach erstem PW-Wechsel SYS.USER$ NAME PASSWORD SPARE FRANZ 1C6AC1D0538D523F S:E DE873F7A46FF79E81431AF7F0556C18031EACB6127E174E361 OTTO CA706757CFD6A12C S:742ACDFA0D10D078C7B193893E3A DB42F13958FA8C9D2665CEA40 DBA_USERS: username, password, password_versions

23 Password Hashing Passwordfile orapwd file=orapw entries=100 ignorecase=n Database Links Passwort Angabe 11g 11g case sensitive = exakte Eingabe 11g 10g nicht case sensitive =beliebige Eingabe 10g 11g re-create Passwort in uppercase Neue View dba_users_with_defpwd User mit default Passwörtern Unterstützung von multibyte-zeichen

24 Password Verify Neue Function unter 11g verfügbar angelegt erzeugt verify_function_11g und verify_function (a la 10g) ändert default profile auf verify_function_11g Function ist eher als Template gedacht, ggf. anpassen! Passwort Regeln (u.a.) mindestens 3 Zeichen Unterschied zu altem PW <> oracle (1-100), <> servername (1-100), <> username(1-100) minmale Dictionary Samples

25 Delayed Failed Login Verzögerte Login-Bearbeitung bei ungültigem Passwort (default) Wirksam ab dem dirtten Versuch erschwert brute-force-attacks Prozentuale Verzögerung bis zur Account-Sperrung (default 10) Init.ora sec_max_failed_login_attempts (nicht dynamisch) time echo "show user" sqlplus -S <user>/<pwd> ,488 0,492 0,485 1,677 2,75 3,855 4,903 5,742 6,548 7,904 0,551 real time

26 Transparent Tablespace Encryption DBMS_OBFUSCATION_TOOLKIT >= 8i (DES) Verschlüsselung ab 10gR1 -> DBMS_CRYPTO TDE ab Version 10gR2 mittels Database Wallet Basis einzelne Columns ab 11g Tablespace Encryption: Tabellen und Indizes (inklusive LOBs außer BFILEs) Schützt auch Temp Daten, redo und Undo Index Range Scans nun möglich! Prozedere: Wallet erzeugen (owm/mkstore/alter system) Location und Master Key setzen, Wallet öffnen Tablespace anlegen

27 Transparent Tablespace Encryption -- alter system set encryption key -- alter system set wallet open -- nur NEUE TBS, keine Umwandlung -- CREATE TABLESPACE securespace DATAFILE '/home/user/oradata/secure01.dbf' SIZE 150M ENCRYPTION USING '3DES168' DEFAULT STORAGE(ENCRYPT) /

28 Nun zum zweiten Teil...

Ähnliche Dokumente

Datenbank Sicherheit Standards, Prozesse, Werkzeuge

SIG Security 3. März 2011 Datenbank Sicherheit Standards, Prozesse, Werkzeuge Dr. Günter Unbescheid Database Consult GmbH Database Consult GmbH Gegründet 1996 Kompetenzen rund um ORACLE Tätigkeitsbereiche