Projekt: Vertrauenswürdige Verbindung Angriffsvektor Connection-Pool

Transkript

1 Angriffsvektor Connection-Pool Norman Sibbing BU Core & Cloud Technologies Oracle Deutschland B.V. & Co KG Copyright 2018 Oracle and/or its affiliates. All rights reserved. BU Core & Cloud Technologies

2 Ausgangssituation Verarbeitung hochsensibler Daten Datenzugriff ausschließlich nur berechtigtes Fachpersonal Moderne 3-Schichten-Architektur Benutzer Authentifizierung durch Identity Provider (Token) Datenbank durch Database Vault und Transparent Data Encryption gesichert Risiko: Applikationsserver / Connection-Pool Copyright 2018 Oracle and/or its affiliates. All rights reserved. BU Core & Cloud Technologies 2

3 Risiko: Applikationsserver Kommunikation des JDBC Connection-Pools oft unverschlüsselt Passwort in Data-Source Konfigurationsdatei <password>geheim</password> - manchmal sogar verschlüsselt Einfache Möglichkeit zum Kapern des Connection-Pools DataSource ds = (DataSource) ctx.lookup("jdbc/hrsession"); Connection connection = (Connection)ds.getConnection(); Nutzung eines privilegierten technischen Benutzers Reale Benutzer oft nicht in der Datenbank sichtbar Copyright 2018 Oracle and/or its affiliates. All rights reserved. BU Core & Cloud Technologies 3

4 Risikominderung: Kommunikation des JDBC Connection-Pools verschlüsseln Verschlüsselung der Kommunikation SQL*Net Nativ Zentral über den Datenbankserver (sqlnet.ora -> SQLNET.ENCRYPTION_SERVER = requested) Die Standardeinstellung Client/Server ist accepted (Gilt auch für Oracle JDBC-Thin) Individuelle Einstellung für JDBC-Thin mittels Connnection-Properties (oracle.net.encryption_client=rejected) SSL/TLS Zertifikate notwendig Datenbank-Listener mit TCPS Endpunkt Individuelle Einstellung für JDBC-Thin mittels Connnection-Properties (javax.net.ssl.keystore=/data/oracle/wallet/hrapp/cwallet.sso) Copyright 2018 Oracle and/or its affiliates. All rights reserved. BU Core & Cloud Technologies 4

5 Risikominderung: Kein Passwort in der Data-Source Konfigurationsdatei Connection-Pool Authentifizierungsmethode Passwort mittels Oracle Secure Enterprise Password Store (SEPS) Passwort im Oracle Wallet gespeichert Passwortänderung komplex Kerberos Kein Passwort vorhanden Authentifizierung über Kerberos-Ticket PKI (TLS / SSO) Kein Passwort vorhanden Authentifizierung über Zertifikat Copyright 2018 Oracle and/or its affiliates. All rights reserved. BU Core & Cloud Technologies 5

6 Risikominderung: Kein Passwort in der Data-Source Konfigurationsdatei Connection-Pool Properties für Kerberos oracle.net.encryption_client=requested java.security.krb5.conf=/etc/krb5.conf oracle.net.authentication_services=kerberos5 oracle.net.kerberos5_cc_name=/data/oracle/kerberos_ticket/krbticket_1000.cc PKI SSO (implizite SSL/TLS Kommunikationsverschlüsselung) oracle.net.encryption_client=rejected oracle.net.authentication_services=tcps javax.net.ssl.keystoretype=sso javax.net.ssl.keystore=/data/oracle/wallet/hrapp/cwallet.sso javax.net.ssl.truststoretype=sso javax.net.ssl.truststore=/data/oracle/wallet/hrapp/cwallet.sso Copyright 2018 Oracle and/or its affiliates. All rights reserved. BU Core & Cloud Technologies 6

7 Risikominderung: Nutzung eines unprivilegierten technischen Benutzers Connection-Pool verwendet unprivilegierten technischen DB-Benutzer Nur das Create Session Privileg notwendig Weitere Vergabe von Privilegien durch Secure Application Roles Steuerung der Privilegienvergabe durch entsprechendes Benutzer-Authentifizierungs Token mit kurzer Gültigkeit {"username_or_ ":"nsibbing-de","deptname":"sales","app_id":"4711", "expire_date":" ","ip_address":" "} Missbrauch des Connection-Pools nicht ganz vermeidbar (Restrisiko) Abfangen des Tokens auf dem Applikationsserver Copyright 2018 Oracle and/or its affiliates. All rights reserved. BU Core & Cloud Technologies 7

8 Token AuthZ und AuthN: Schematischer Ablauf Vertrauenswürdige Verbindung IAM Identity Provider Token Encryption Key Anmeldung Token Applikationsserver DB Token Browser-Client {"username_or_ ":"nsibbing-de", "deptname":"sales", "app_id":"4711", "expire_date":" ", "ip_address":" "} Applikation Connection Pool AuthN = PKI/Kerberos AuthZ = Create Session Token Decrypt Token Set Contexts Set SAR* * Secure Application Roles Copyright 2018 Oracle and/or its affiliates. All rights reserved. BU Core & Cloud Technologies 8

9 Token AuthZ und AuthN Datenbank-Logik Vertrauenswürdige Verbindung Token Decrypt Token DBMS_CRYPTO.DECRYPT (V_RAW, V_MOD, V_KEY); Parse Token Set Context Set Secure Application Role Execute Statement Clear Roles Clear Context APEX_JSON.PARSE DBMS_SESSION.SET_CONTEXT('hr_ctx', 'appid', appid_value); DBMS_SESSION.SET_IDENTIFIER(userid); DBMS_SESSION.SET_ROLES('SET ROLE HR_SAR_ROLE ); SELECT * FROM EMPLOYEES; DBMS_SESSION.SET_ROLES( none'); DBMS_SESSION.CLEAR_IDENTIFIER; DBMS_SESSION.CLEAR_CONTEXT('hr_ctx' 'appid'); Copyright 2018 Oracle and/or its affiliates. All rights reserved. BU Core & Cloud Technologies 9

10 Risikominimierung Verschlüsselte Kommunikation und Daten Connection-Pool ohne Passwort-Authentifizierung Datenzugriff nur mit gültigem Token möglich Token wird nur im Datenbank-Server entschlüsselt Token beinhaltet wichtige Kontext-Informationen z.b. realen Benutzer Session-basierte Berechtigungsvergabe gemäß des Tokens AuthZ und AuthN-Logik durch Database Vault vor Manipulation geschützt Viele weitere AuthZ/N Varianten denkbar (TOTP über Google Authenticator) Copyright 2018 Oracle and/or its affiliates. All rights reserved. BU Core & Cloud Technologies 10

11 Q & A Copyright 2018 Oracle and/or its affiliates. All rights reserved. 11

12 Connect With Us /OracleDatabase /OracleSecurity blogs.oracle.com/ SecurityInsideOut Oracle Database Insider /Oracle/database /OracleLearning oracle.com/database/security oracle.com/technetwork/database/security Copyright 2018 Oracle and/or its affiliates. All rights reserved. 12

13 Copyright 2018 Oracle and/or its affiliates. All rights reserved. 13

14