Neue Security Features mit Oracle 11g



Ähnliche Dokumente
Neue Security Features mit Oracle 11g

Oracle Transparent Data Encryption

How to install freesshd

Oracle Database Backup Service - DR mit der Cloud

Datensicherung. Beschreibung der Datensicherung

OP-LOG

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Daten am USB Stick mit TrueCrypt schützen

Secure by Default in Oracle 11g Die sichere Datenbank out-of-the-box?

Betriebshandbuch. MyInTouch Import Tool

Verwendung des IDS Backup Systems unter Windows 2000

Benutzerverwaltung mit Zugriffsrechteverwaltung (optional)

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Daten Sichern mit dem QNAP NetBak Replicator 4.0

Dokumentation für das Web-basierte Abkürzungsverzeichnis (Oracle mod_plsql / Apache)

Oracle Audit Vault. Sven Vetter Principal Consultant, Partner DOAG, Stuttgart, Jan. 2008

Reporting Services und SharePoint 2010 Teil 1

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)

Updateanleitung für SFirm 3.1

Live Update (Auto Update)

SEMINAR Modifikation für die Nutzung des Community Builders

1. Einführung. 2. Archivierung alter Datensätze

Ihr IT-Administrator oder unser Support wird Ihnen im Zweifelsfall gerne weiterhelfen.

Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Internet online Update (Internet Explorer)

Upgrade-Leitfaden. Apparo Fast Edit 1 / 7

Lizenzen auschecken. Was ist zu tun?

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Restore Exchange Server 2007 SP2

Professionelle Seminare im Bereich MS-Office

PeDaS Personal Data Safe. - Bedienungsanleitung -

Ihr Benutzerhandbuch SOPHOS ENDPOINT SECURITY

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

G DATA INTERNET SECURITY FÜR ANDROID

Verschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen.

Options- und Freitext-Modul Update-Anleitung

Wie richten Sie Ihr Web Paket bei Netpage24 ein

BEDIENUNG ABADISCOVER

Schrittweise Anleitung zur Installation von Zertifikaten der Bayerischen Versorgungskammer im Mozilla Firefox ab Version 2.0

Lokale Installation von DotNetNuke 4 ohne IIS

Artikel Schnittstelle über CSV

Installation von Updates

OpenVPN unter Linux mit KVpnc Stand: 16. Mai 2013

Datensicherung EBV für Mehrplatz Installationen

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Step by Step VPN unter Windows Server von Christian Bartl

mysoftfolio360 Handbuch

GeoPilot (Android) die App

Anleitung über den Umgang mit Schildern

BSV Software Support Mobile Portal (SMP) Stand

Installation SQL- Server 2012 Single Node

Verbinden von IBM Informix mit Openoffice mittels JDBC

! " # $ " % & Nicki Wruck worldwidewruck

Update-Anleitung für SFirm 3.1

KURZANLEITUNG CLOUD OBJECT STORAGE

AutoCAD Dienstprogramm zur Lizenzübertragung

Anhang zum Handbuch. Netzwerk

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Installationsanleitung für Magento-Module

Acer edatasecurity Management

SANDBOXIE konfigurieren

Quickstep Server Update

Anleitung zum Einspielen der Demodaten

Das Starten von Adami Vista CRM

Installationsanleitung für CashPro im Mehrbenutzerzugriff/Netzwerkbetrieb

Implaneum GmbH. Software Lösungen. Implaneum GmbH, Hänferstr. 35, Achern-Mösbach

1. Loggen Sie sich mit Ihrem Benutzernamen in den Hosting-Manager (Confixx) auf Ihrer entsprechenden AREA ein.

Tutorial -

Bedienungsanleitung für den SecureCourier

Analyse der Verschlüsselung von App- Daten unter ios 7

Adminer: Installationsanleitung

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird.

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Sicherer Datenaustausch mit EurOwiG AG

Internationales Altkatholisches Laienforum

Geschütztes FTP-Verzeichnis erstellen

Anleitung Thunderbird Verschlu sselung

Dokumentation für die software für zahnärzte der procedia GmbH Onlinedokumentation

PHOENIX EDM 3.6 Installationsanleitung Server-Installation Sync-Client-Installation

Hilfe zur Urlaubsplanung und Zeiterfassung

Einrichtung des WS_FTP95 LE

OFFLINE SYNCHRONISATION - ENIQ ACCESSMANAGEMENT PROGRAMMIER-CLIENT (ENIQ DEVICEMANAGEMENT) EINRICHTEN INSTALLATION DER SQL SERVER INSTANZ

bizsoft Rechner (Server) Wechsel

1. Wordpress downloaden

Handbuch zur Anlage von Turnieren auf der NÖEV-Homepage

IBIS Professional. z Dokumentation zur Dublettenprüfung

Teamschool Installation/ Konvertierungsanleitung

Erste Schritte mit Microsoft Office 365 von Swisscom

EDI Connect goes BusinessContact V2.1

Transkript:

Neue Security Features mit Oracle 11g Sven Vetter Technology Manager Principal Consultant, Partner DOAG SIG Security Stuttgart, 23.09.2008 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart Wien Agenda Übersicht Tablespace Encryption "Secure by Default" Daten sind immer im Spiel. Besserer Passwortschutz Erweiterungen im Database Control Oracle Database 11g Security 2 1

Security Wünsche Verschlüsselung von Daten in Datenfiles mit weniger Einschränkungen Sicherere Datenbank Out-of-the-box Erhöhte Passwortsicherheit Hacken von Passwörtern nicht mehr so einfach Integration fehlender Security Tools im Database Control Oracle Database 11g Security 3 Agenda Übersicht Tablespace Encryption "Secure by Default" Daten sind immer im Spiel. Besserer Passwortschutz Erweiterungen im Database Control Oracle Database 11g Security 4 2

Motivation Endbenutzer, Entwickler, DBA Zugriff auf die Instanz ist geschützt durch Datenbank Authentifizierung, Autorisierung und Auditing (AAA) Hacker Instanz Datenbank Files O-SEC: Authentifizierung 5 Tablespace Encryption (1) Transparent Data Encryption wurde mit Oracle Database 10.2 eingeführt, hatte dort aber einige Einschränkungen: Es konnten nur einzelne Spalten verschlüsselt werden Nicht alle Datentypen konnten verschlüsselt werden (Long, LOB) Während Operationen waren die Daten nicht verschlüsselt, so dass eventuell unverschlüsselte und vertrauliche Daten im TEMP- Tablespace oder im REDO sichtbar waren Ausschliesslich B*Tree Indizes werden unterstützt (keine FBI) Index Range Scans werden nur bei Abfragen auf Gleichheit unterstützt Fremdschlüssel können nicht auf verschlüsselten Spalten definiert werden Alle diese Einschränkungen wurden mit Oracle Database 11g aufgehoben Oracle Database 11g Security 6 3

Tablespace Encryption (2) Es können nun Tablespaces komplett verschlüsselt werden Ist nur beim Anlegen des Tablespaces einschaltbar Alle Daten im Tablespace (einschliesslich Lobs, Indexes,...) sind verschlüsselt ausser BFILES Daten bleiben verschlüsselt bei Dateioperationen wie Joins und Sorts, damit sind sie auch verschlüsselt in UNDO, REDO und TEMP Daten sind nicht verschlüsselt im Shared Memory! Oracle Database 11g Security 7 Vorgehen Identisch wie bei Oracle Database 10g wird mit folgendem Befehl ein Master-Key in einem Wallet erstellt: ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY {password} Existiert noch kein Wallet, wird ein neues erzeugt, wenn der Pfad $ORACLE_BASE/admin/$ORACLE_SID/wallet existiert Im Wallet muss Autologin eingeschaltet sein (gefährlich!) oder es muss nach dem Mounten (oder Öffnen) der Datenbank geöffnet werden: ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY {password} Oracle Database 11g Security 8 4

Tablespace erzeugen Nun können verschlüsselte Tablespaces erzeugt werden Beispiel: CREATE TABLESPACE enc_test DATAFILE SIZE 50M ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT) Als Verschüsselungsalgorithmen können 3DES168, AES128, AES192 oder AES256 gewählt werden Oracle Database 11g Security 9 Auswirkungen Performance Daten müssen beim Schreiben verschlüsselt, beim Lesen entschlüsselt werden dies benötigt Ressourcen... Folgender Performance-Impact wurde gemessen (Tabelle mit 150'000 Zeilen, Tablespace verschlüsselt mit AES256): Operation Impact Massen-Insert (zeilenweise) 10% Massen-Deletes/Updates 10% Massen-Insert (IDL) 1% Full-Table Scan 1% Index-Scan <1% CPU-Verbrauch ist höher Grösse der Datenfiles ändert sich bei Verschlüsselung nicht Oracle Database 11g Security 10 5

Auswirkungen Tools EXP exportiert keine Daten aus verschlüsselten Tablespaces: exp enc_test/manager file=test.dmp tables=test_enc... EXP-00111: Table TEST_ENC resides in an Encrypted Tablespace ENC_TEST and will not be exported... EXPDP exportiert die Daten unverschlüsselt in das Dump-File (es sei denn, ENCRYPTION ist definiert) RMAN lässt den Tablespace verschlüsselt Das bedeutet, bei einer Recovery muss das Wallet vorhanden sein! Oracle Database 11g Security 11 TDE und HSM Um die potentiell unsichere Konfiguration mit Wallets zu verbessern, können Hardware Security Module benutzt werden Getestet haben wir dies mit einem HSM von ncipher (nethsm-500 - offiziell von Oracle unterstützt) Der Master Encryption Key wird dabei nicht im Wallet gespeichert, sondern im HSM, die Tablespace- bzw. Tabellen- Keys weiterhin in der Datenbank Die Entschlüsslung dieser Keys erfolgt dann innerhalb des HSM, so dass der Master Encryption Key niemals das HSM verlässt Daten werden innerhalb DB ver- und entschlüsselt Leider ist ein 4-Augenprinzip nicht möglich O-SEC: Authentifizierung 12 6

TDE und HSM Tipps PKCS#11-Library muss in folgenden Pfad kopiert werden: /opt/oracle/extapi/32/hsm/ncipher/1.58.21/libcknfast.so sqlnet.ora muss angepasst werden Es muss zuerst ein normales Wallet erstellt werden und dies dann in das HSM migriert werden: ALTER SYSTEM SET encryption key IDENTIFIED BY "<HSM-Password>" MIGRATE USING "<Wallet-PAsswort>"; Steckt nicht die richtige Karte im HSM, kommt folgender Fehler: ORA-00600: internal error code, arguments: [kzthsminit: C_OpenSession], [3],[], [], [], [], [], [] O-SEC: Authentifizierung 13 Agenda Übersicht Tablespace Encryption "Secure by Default" Daten sind immer im Spiel. Besserer Passwortschutz Erweiterungen im Database Control Oracle Database 11g Security 14 7

"Secure by Default" Mit "Secure by Default" meint Oracle, dass die Datenbank durch diverse Massnahmen out-of-the-box sicherer ist, als eine vergleichbare 10g-Installation Dazu gehören: Standardmässiges Auditing Eingebauter Passwort-Komplexitäts-Checker Eingebautes Benutzer-Profile Fine-Grained Access Control bei Netzwerk Call-outs aus der Datenbank Oracle Database 11g Security 15 Standardmässiges Auditing (1) Der DBCA fragt ab, ob die "Enhanced default security settings" eingeschaltet werden sollen: Oracle empfiehlt, diese Frage mit "ja" zu beantworten Dies hat aber einige Auswirkungen: Platzbedarf im SYSAUX-Tablespace (kein automatisches Löschen) Eventueller Performance-Impact Oracle Database 11g Security 16 8

Standardmässiges Auditing (2) Eingeschaltet ist dann (Auszug aus Oracle Dokumentation): Ausgeführt wird das Script secconf.sql sql automatisch aus catproc.sql (immer!!) Werden die "Enhanced default security settings" nicht eingeschaltet, werden nach dem Anlegen der DB diese wieder ausgeschaltet... Oracle Database 11g Security 17 Verbesserte Passwort-Verifizierungs-Funktion Die durch das Script utlpwdmg.sql erzeugte Passwortfunktion wurde verbessert/erweitert: Passwort mindestens 8 Stellen (alt: 4 Stellen) Passwort ungleich <username>1 - <username>100 (neu) Passwort ungleich rückwärts geschriebener Username (neu) Passwort ungleich DB-Name (neu) Passwort ungleich <DB-Name>1 - <DB-Name>100 (neu) Mehr "einfache" Wörter werden getestet (user1234, password1,...) Passwort ungleich oracle1 - oracle100 (neu) Das Script wird weiterhin nicht automatisch ausgeführt Sollte es aber ausgeführt werden, ändert es das Default-Profile, welches für alle Benutzer gilt!! Oracle Database 11g Security 18 9

Standardmässige Passwortprüfung im Default-Profile Werden bei der Installation der Datenbank die "Enhanced default security settings" eingeschaltet, wird das Standardprofile wie folgt angepasst: SQL> SELECT resource_name, limit 2 FROM dba_profiles 3 WHERE profile='default'; RESOURCE_NAME LIMIT ------------------------- ---------- FAILED_LOGIN_ATTEMPTS 10 PASSWORD_LIFE_TIME 180 PASSWORD_REUSE_TIME REUSE UNLIMITED PASSWORD_REUSE_MAX UNLIMITED PASSWORD_VERIFY_FUNCTION NULL PASSWORD_LOCK_TIME 1 PASSWORD_GRACE_TIME 7 DBAs und Batch-Benutzer müssen dann Passwörter ändern!! Oracle Database 11g Security 19 Fine-Grained Access für Netzwerk-Callouts (1) Hat ein Benutzer EXECUTE-Rechte auf eines der folgenden Packages, kann er an beliebige Hosts Informationen schicken: UTL_TCPTCP UTL_SMTP UTL_MAIL UTL_HTTP UTL_INADDR Mit dem neuen Package DBMS_NETWORK_ACL_ADMIN können nun Access Control Listen erzeugt werden, mit denen definiert wird, welcher Benutzer an welchen Host Callouts durchführen kann Oracle Database 11g Security 20 10

Fine-Grained Access für Netzwerk-Callouts (2) Dies geht aber leider nur, wenn XDB installiert ist... exec dbms_output.put_line(utl_inaddr.get_host_name); BEGIN dbms_output.put_line(utl_inaddr.get_host_name); inaddr name); END; * ERROR at line 1: ORA-24248: XML DB extensible security not installed ORA-06512: at "SYS.UTL_INADDR", line 4 ORA-06512: at "SYS.UTL_INADDR", line 35 ORA-06512: at line 1 Ansonsten kann nur ein SYSDBA diese 5 Packages nutzen... Oracle Database 11g Security 21 Fine-Grained Access für Netzwerk-Callouts (3) ACL definieren BEGIN DBMS_NETWORK_ACL_ADMIN.CREATE_ACL _ ( acl => 'scott_trivadis.xml', description => 'Allow scott to connect to trivadis', principal => 'SCOTT', is_grant => TRUE, privilege => 'connect' ); END; / BEGIN DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL ( acl => 'scott_trivadis.xml', host => 'www.trivadis.com' ); END; / Oracle Database 11g Security 22 11

Agenda Übersicht Tablespace Encryption "Secure by Default" Daten sind immer im Spiel. Besserer Passwortschutz Erweiterungen im Database Control Oracle Database 11g Security 23 Besserer Passwortschutz Übersicht Bis Oracle Database 10g war es einfach, Passwörter von einer Datenbank auf eine andere zu übertragen, um z.b. zu versuchen, diese dort zu hacken Der Zeichensatz der Passwörter war begrenzt, da die Passwörter nicht case-sensitiv waren Es gab diverse Passwort-Checker auf dem Markt, die über Wörterbücher oder per Brute-Force-Attack recht schnell Passwörter herausbekamen Die ersten beiden Punkte wurden mit Oracle Database 11g verbessert Inzwischen gibt es aber wieder genügend Hackertools, da der Passwort-Algorithmus im wesentlichen bekannt ist... Oracle Database 11g Security 24 12

Case sensitive Passwörter Mit folgendem Initialisierungsparameter wird festgelegt, ab die Passwörter case sensitiv sind: SEC_CASE_SENSITIVE_LOGON CASE SENSITIVE = TRUE FALSE Achtung: Gut prüfen, ob der Default-Wert mit Ihrer Applikation wirklich funktioniert! Z.B. TOAD wandelt vor dem Anmelden alle Passwörter in Grossbuchstaben um... Bei der Migration bleiben zuerst alle Passwörter case insensitiv, bis das Passwort erstmalig in 11g geändert wird Oracle Database 11g Security 25 Neuer Passwort Algorithmus Passwörter über das Netzwerk werden neu mit dem Industriestandard AES verschlüsselt In SYS.USER$.SPARE4 wird das Passwort zusätzlich mit einem Salt zusammengesetzt und ein Hash mit SHA-1 gebildet Dadurch sind direkte Updates auf USER$.PASSWORD nicht mehr möglich "ALTER USER <username> IDENTIFIED BY VALUES..." geht aber weiterhin... (Passwort ist nicht case-sensitive) In USER$.PASSWORD wird immer noch das Passwort identisch wie in 10g (in Grossschreibung) abgespeichert, so dass Hackertools das Passwort identisch ermitteln können und dann nur noch auf Gross-Kleinschreibung testen müssen... Oracle Database 11g Security 26 13

Check auf Standardpasswörter Über eine neue View kann einfach kontrolliert werden, ob die Standardpasswörter der von Oracle angelegten Benutzer geändert wurden: SELECT * FROM dba_users_with_defpwd; USERNAME ------------------------------ DIP HR OUTLN EXFSYS SCOTT SYSTEM... Oracle Database 11g Security 27 Agenda Übersicht Tablespace Encryption "Secure by Default" Daten sind immer im Spiel. Besserer Passwortschutz Erweiterungen im Database Control Oracle Database 11g Security 28 14

Erweiterungen im Database Control "Enterprise Security Manager" und "Oracle Policy Manager" im Database Control integriert (bis 10g nur als Java-Tools) Oracle Database 11g Security 29 Erweiterungen im Database Control LogMiner Beispiel des Ergebnisses Oracle Database 11g Manageability 30 15

Security Wünsche und Realität Wissen vermitteln ist der Anfang. Wissen umsetzen das Entscheidende. Verschlüsselung von Daten in Datenfiles mit weniger Einschränkungen Sicherere Datenbank Out-of-the-box Auswirkungen beachten! Erhöhte Passwortsicherheit Hacken von Passwörtern nicht mehr so einfach Integration fehlender Security Tools im Database Control Oracle Database 11g Security 31 Security Kernaussagen Es wird einfacher, eine sicherere Datenbank zu installieren Tablespace Encryption wird für vertrauliche Daten eine wichtige Option werden Wissen vermitteln ist der Anfang. Wissen umsetzen das Entscheidende. Oracle unternimmt viel, um sicherzustellen, dass wirklich nur die richtige Person die richtigen Daten lesen kann Leider wird immer noch viel Altlast mitgeschleppt, so dass z.b. der an sich sicherere Passwortalgorithmus aus Kombatibilitätsgründen doch wieder unsicher ist Oracle Database 11g Security 32 16

Vielen Dank!? www.trivadis.com Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart Wien 17

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback