In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Neue Security Features mit Oracle 11g

Werbung 
Neue Security Features mit Oracle 11g
Sven Vetter
Technology Manager
Principal Consultant, Partner
DOAG SIG Security
Stuttgart, 23.09.2008
Basel
·
Baden
·
Bern
·
Lausanne
·
Zürich
·
Düsseldorf
·
Frankfurt/M.
·
Freiburg i. Br.
·
Hamburg
·
München
·
Stuttgart
·
Wien
Agenda
Übersicht
Tablespace Encryption
"Secure by Default"
Besserer Passwortschutz
Daten sind
immer im Spiel.
Oracle Database 11g – Security
Erweiterungen im Database Control
2
© 2008
1
Security – Wünsche
Verschlüsselung von Daten in Datenfiles mit weniger
Einschränkungen
Sicherere Datenbank Out-of-the-box
Erhöhte Passwortsicherheit
Hacken von Passwörtern nicht mehr so einfach
Integration fehlender Security Tools im Database Control
Oracle Database 11g – Security
3
© 2008
Agenda
Übersicht
Tablespace Encryption
"Secure by Default"
Besserer Passwortschutz
Daten sind
immer im Spiel.
Oracle Database 11g – Security
Erweiterungen im Database Control
4
© 2008
2
Motivation
Endbenutzer, Entwickler, DBA
Zugriff auf die Instanz ist geschützt
durch Datenbank Authentifizierung,
Autorisierung und Auditing (AAA)
Hacker
Instanz
Datenbank Files
O-SEC: Authentifizierung
5
© 2008
Tablespace Encryption (1)
Transparent Data Encryption wurde mit Oracle Database 10.2
eingeführt, hatte dort aber einige Einschränkungen:
Es konnten nur einzelne Spalten verschlüsselt werden
Nicht alle Datentypen konnten verschlüsselt werden (Long, LOB)
Während Operationen waren die Daten nicht verschlüsselt, so dass
eventuell unverschlüsselte und vertrauliche Daten im TEMPTablespace oder im REDO sichtbar waren
Ausschliesslich B*Tree Indizes werden unterstützt (keine FBI)
Index Range Scans werden nur bei Abfragen auf Gleichheit
unterstützt
Fremdschlüssel können nicht auf verschlüsselten Spalten definiert
werden
Alle diese Einschränkungen wurden mit
Oracle Database 11g aufgehoben
Oracle Database 11g – Security
6
© 2008
3
Tablespace Encryption (2)
Es können nun Tablespaces komplett verschlüsselt werden
Ist nur beim Anlegen
g des Tablespaces
p
einschaltbar
Alle Daten im Tablespace (einschliesslich Lobs, Indexes, ...) sind
verschlüsselt – ausser BFILES
Daten bleiben verschlüsselt bei Dateioperationen wie Joins und
Sorts, damit sind sie auch verschlüsselt in UNDO, REDO und
TEMP
Daten sind nicht verschlüsselt im Shared Memory!
Oracle Database 11g – Security
7
© 2008
Vorgehen
Identisch wie bei Oracle Database 10g wird mit folgendem Befehl
ein Master-Key in einem Wallet erstellt:
ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY {password}
Existiert noch kein Wallet, wird ein neues erzeugt, wenn der Pfad
$ORACLE_BASE/admin/$ORACLE_SID/wallet existiert
Im Wallet muss Autologin eingeschaltet sein (gefährlich!) – oder
es muss nach dem Mounten (oder Öffnen) der Datenbank
geöffnet werden:
ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY {password}
Oracle Database 11g – Security
8
© 2008
4
Tablespace erzeugen
Nun können verschlüsselte Tablespaces erzeugt werden
Beispiel:
p
CREATE TABLESPACE enc_test
DATAFILE SIZE 50M
ENCRYPTION USING 'AES256'
DEFAULT STORAGE (ENCRYPT)
Als Verschüsselungsalgorithmen können 3DES168, AES128,
AES192 oder AES256 gewählt werden
Oracle Database 11g – Security
9
© 2008
Auswirkungen – Performance
Daten müssen beim Schreiben verschlüsselt, beim Lesen
entschlüsselt werden – dies benötigt Ressourcen...
Folgender Performance-Impact wurde gemessen (Tabelle mit
150'000 Zeilen, Tablespace verschlüsselt mit AES256):
Operation
Impact
Massen-Insert (zeilenweise)
10%
Massen-Deletes/Updates
10%
Massen-Insert ((IDL))
1%
Full-Table Scan
1%
Index-Scan
<1%
CPU-Verbrauch ist höher
Grösse der Datenfiles ändert sich bei Verschlüsselung nicht
Oracle Database 11g – Security
10
© 2008
5
Auswirkungen – Tools
EXP exportiert keine Daten aus verschlüsselten Tablespaces:
exp enc_test/manager file=test.dmp tables=test_enc
...
EXP-00111: Table TEST_ENC resides in an Encrypted
Tablespace ENC_TEST and will not be exported
...
EXPDP exportiert die Daten unverschlüsselt in das Dump-File
(es sei denn, ENCRYPTION ist definiert)
RMAN lässt den Tablespace verschlüsselt
Das bedeutet, bei einer Recovery muss das Wallet vorhanden
sein!
Oracle Database 11g – Security
11
© 2008
TDE und HSM
Um die potentiell unsichere Konfiguration mit Wallets zu
verbessern, können Hardware Security Module benutzt werden
Getestet haben wir dies mit einem HSM von nCipher
(netHSM-500 - offiziell von Oracle unterstützt)
Der Master Encryption Key wird dabei nicht im Wallet
gespeichert, sondern im HSM, die Tablespace- bzw. TabellenKeys weiterhin in der Datenbank
Die Entschlüsslung dieser Keys erfolgt dann innerhalb des HSM,
so dass der Master Encryption Key niemals das HSM verlässt
Daten werden innerhalb DB ver- und entschlüsselt
Leider ist ein 4-Augenprinzip nicht möglich
O-SEC: Authentifizierung
12
© 2008
6
TDE und HSM – Tipps
PKCS#11-Library muss in folgenden Pfad kopiert werden:
/opt/oracle/extapi/32/hsm/ncipher/1.58.21/libcknfast.so
sqlnet.ora muss angepasst werden
Es muss zuerst ein normales Wallet erstellt werden und dies
dann in das HSM migriert werden:
ALTER SYSTEM SET encryption key
IDENTIFIED BY "<HSM-Password>"
MIGRATE USING "<Wallet-PAsswort>";
Steckt nicht die richtige Karte im HSM, kommt folgender Fehler:
ORA-00600: internal error code, arguments: [kzthsminit:
C_OpenSession], [3],[], [], [], [], [], []
O-SEC: Authentifizierung
13
© 2008
Agenda
Übersicht
Tablespace Encryption
"Secure by Default"
Besserer Passwortschutz
Daten sind
immer im Spiel.
Oracle Database 11g – Security
Erweiterungen im Database Control
14
© 2008
7
"Secure by Default"
Mit "Secure by Default" meint Oracle, dass die Datenbank durch
diverse Massnahmen out-of-the-box sicherer ist, als eine
vergleichbare 10g-Installation
Dazu gehören:
Standardmässiges Auditing
Eingebauter Passwort-Komplexitäts-Checker
Eingebautes Benutzer-Profile
Fine-Grained Access Control bei Netzwerk Call-outs aus der
Datenbank
Oracle Database 11g – Security
15
© 2008
Standardmässiges Auditing (1)
Der DBCA fragt ab, ob die "Enhanced default security settings"
eingeschaltet werden sollen:
Oracle empfiehlt, diese Frage mit "ja" zu beantworten
Dies hat aber einige Auswirkungen:
Platzbedarf im SYSAUX-Tablespace (kein automatisches Löschen)
Eventueller Performance-Impact
Oracle Database 11g – Security
16
© 2008
8
Standardmässiges Auditing (2)
Eingeschaltet ist dann (Auszug aus Oracle Dokumentation):
Ausgeführt wird das Script secconf.sql
secconf sql automatisch aus
catproc.sql (immer!!)
Werden die "Enhanced default security settings" nicht
eingeschaltet, werden nach dem Anlegen der DB diese wieder
ausgeschaltet...
Oracle Database 11g – Security
17
© 2008
Verbesserte Passwort-Verifizierungs-Funktion
Die durch das Script utlpwdmg.sql erzeugte Passwortfunktion
wurde verbessert/erweitert:
Passwort mindestens 8 Stellen (alt: 4 Stellen)
Passwort ungleich <username>1 - <username>100 (neu)
Passwort ungleich rückwärts geschriebener Username (neu)
Passwort ungleich DB-Name (neu)
Passwort ungleich <DB-Name>1 - <DB-Name>100 (neu)
Mehr "einfache" Wörter werden getestet (user1234, password1, ...)
Passwort ungleich oracle1 - oracle100 (neu)
Das Script wird weiterhin nicht automatisch ausgeführt
Sollte es aber ausgeführt werden, ändert es das Default-Profile,
welches für alle Benutzer gilt!!
Oracle Database 11g – Security
18
© 2008
9
Standardmässige Passwortprüfung im Default-Profile
Werden bei der Installation der Datenbank die "Enhanced default
security settings" eingeschaltet, wird das Standardprofile wie folgt
angepasst:
SQL> SELECT resource_name, limit
2 FROM dba_profiles
3 WHERE profile='DEFAULT';
RESOURCE_NAME
------------------------FAILED_LOGIN_ATTEMPTS
PASSWORD_LIFE_TIME
PASSWORD REUSE TIME
PASSWORD_REUSE_TIME
PASSWORD_REUSE_MAX
PASSWORD_VERIFY_FUNCTION
PASSWORD_LOCK_TIME
PASSWORD_GRACE_TIME
LIMIT
---------10
180
UNLIMITED
UNLIMITED
NULL
1
7
DBAs und Batch-Benutzer müssen dann Passwörter ändern!!
Oracle Database 11g – Security
19
© 2008
Fine-Grained Access für Netzwerk-Callouts (1)
Hat ein Benutzer EXECUTE-Rechte auf eines der folgenden
Packages, kann er an beliebige Hosts Informationen schicken:
UTL TCP
UTL_TCP
UTL_SMTP
UTL_MAIL
UTL_HTTP
UTL_INADDR
Mit dem neuen Package DBMS_NETWORK_ACL_ADMIN
können nun Access Control Listen erzeugt werden
werden, mit denen
definiert wird, welcher Benutzer an welchen Host Callouts
durchführen kann
Oracle Database 11g – Security
20
© 2008
10
Fine-Grained Access für Netzwerk-Callouts (2)
Dies geht aber leider nur, wenn XDB installiert ist...
exec dbms_output.put_line(utl_inaddr.get_host_name);
BEGIN dbms
dbms_output.put_line(utl_inaddr.get_host_name);
output put line(utl inaddr get host name); END;
*
ERROR at line 1:
ORA-24248: XML DB extensible security not installed
ORA-06512: at "SYS.UTL_INADDR", line 4
ORA-06512: at "SYS.UTL_INADDR", line 35
ORA-06512: at line 1
Ansonsten kann nur ein SYSDBA diese 5 Packages nutzen
nutzen...
Oracle Database 11g – Security
21
© 2008
Fine-Grained Access für Netzwerk-Callouts (3)
ACL definieren
BEGIN
DBMS_NETWORK_ACL_ADMIN.CREATE_ACL
_
_
_
_
(
acl
=> 'scott_trivadis.xml',
description => 'Allow scott to connect to trivadis',
principal
=> 'SCOTT',
is_grant
=> TRUE,
privilege
=> 'connect'
);
END;
/
BEGIN
DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL (
acl
=> 'scott_trivadis.xml',
host
=> 'www.trivadis.com'
);
END;
/
Oracle Database 11g – Security
22
© 2008
11
Agenda
Übersicht
Tablespace Encryption
"Secure by Default"
Besserer Passwortschutz
Daten sind
immer im Spiel.
Oracle Database 11g – Security
Erweiterungen im Database Control
23
© 2008
Besserer Passwortschutz – Übersicht
Bis Oracle Database 10g war es einfach, Passwörter von einer
Datenbank auf eine andere zu übertragen, um z.B. zu versuchen,
diese dort zu hacken
Der Zeichensatz der Passwörter war begrenzt, da die Passwörter
nicht case-sensitiv waren
Es gab diverse Passwort-Checker auf dem Markt, die über
Wörterbücher oder per Brute-Force-Attack recht schnell
Passwörter herausbekamen
Die ersten beiden Punkte wurden mit Oracle Database 11g
verbessert
Inzwischen gibt es aber wieder genügend Hackertools, da der
Passwort-Algorithmus im wesentlichen bekannt ist...
Oracle Database 11g – Security
24
© 2008
12
Case sensitive Passwörter
Mit folgendem Initialisierungsparameter wird festgelegt, ab die
Passwörter case sensitiv sind:
SEC CASE SENSITIVE LOGON = TRUE | FALSE
SEC_CASE_SENSITIVE_LOGON
Achtung: Gut prüfen, ob der Default-Wert mit Ihrer Applikation
wirklich funktioniert!
Z.B. TOAD wandelt vor dem Anmelden alle Passwörter in
Grossbuchstaben um...
Bei der Migration bleiben zuerst alle Passwörter case
insensitiv, bis das Passwort erstmalig in 11g geändert wird
Oracle Database 11g – Security
25
© 2008
Neuer Passwort Algorithmus
Passwörter über das Netzwerk werden neu mit dem
Industriestandard AES verschlüsselt
In SYS.USER$.SPARE4 wird das Passwort zusätzlich mit einem
Salt zusammengesetzt und ein Hash mit SHA-1 gebildet
Dadurch sind direkte Updates auf USER$.PASSWORD nicht
mehr möglich
"ALTER USER <username> IDENTIFIED BY VALUES ..." geht
aber weiterhin... (Passwort ist nicht case-sensitive)
In USER$.PASSWORD wird immer noch das Passwort identisch
wie in 10g (in Grossschreibung) abgespeichert, so dass
Hackertools das Passwort identisch ermitteln können – und dann
nur noch auf Gross-Kleinschreibung testen müssen...
Oracle Database 11g – Security
26
© 2008
13
Check auf Standardpasswörter
Über eine neue View kann einfach kontrolliert werden, ob die
Standardpasswörter der von Oracle angelegten Benutzer
geändert wurden:
SELECT * FROM dba_users_with_defpwd;
USERNAME
-----------------------------DIP
HR
OUTLN
EXFSYS
SCOTT
SYSTEM
...
Oracle Database 11g – Security
27
© 2008
Agenda
Übersicht
Tablespace Encryption
"Secure by Default"
Besserer Passwortschutz
Daten sind
immer im Spiel.
Oracle Database 11g – Security
Erweiterungen im Database Control
28
© 2008
14
Erweiterungen im Database Control
"Enterprise Security Manager" und "Oracle Policy Manager" im
Database Control integriert (bis 10g nur als Java-Tools)
Oracle Database 11g – Security
29
© 2008
Erweiterungen im Database Control – LogMiner
Beispiel des Ergebnisses
Oracle Database 11g – Manageability
30
© 2008
15
Security – Wünsche… und Realität
☺
Verschlüsselung von Daten in
Datenfiles mit weniger
Einschränkungen
☺
Sicherere Datenbank Out-of-the-box
Auswirkungen beachten!
Erhöhte Passwortsicherheit
Wissen
vermitteln ist der
Anfang. Wissen
umsetzen
t
das
d
Entscheidende.
Hacken von Passwörtern nicht mehr so
einfach
☺
Integration fehlender Security Tools im
Database Control
Oracle Database 11g – Security
31
© 2008
Security – Kernaussagen
Es wird einfacher, eine sicherere
Datenbank zu installieren
Tablespace Encryption wird für vertrauliche
Daten eine wichtige Option werden
Wissen
vermitteln ist der
Anfang. Wissen
umsetzen
t
das
d
Entscheidende.
Oracle Database 11g – Security
Oracle unternimmt viel, um sicherzustellen,
dass wirklich nur die richtige Person die
richtigen Daten lesen kann
Leider wird immer noch viel Altlast
mitgeschleppt, so dass z.B. der an sich
sicherere Passwortalgorithmus aus
Kombatibilitätsgründen doch wieder
unsicher ist
32
© 2008
16
Vielen Dank!
?
www.trivadis.com
Basel
·
Baden
·
Bern
·
Lausanne
·
Zürich
·
Düsseldorf
·
Frankfurt/M.
·
Freiburg i. Br.
·
Hamburg
·
München
·
Stuttgart
·
Wien
17
Zugehörige Unterlagen
5 Gründe aus Entwickler-Sicht
5 Gründe aus Entwickler-Sicht
Oracle 11g
Oracle 11g
wer_files/Lebenslauf Oliver Kuiper
wer_files/Lebenslauf Oliver Kuiper
Datenbankprogrammierung (Oracle)
Datenbankprogrammierung (Oracle)
Oracle Data Sheet
Oracle Data Sheet
White paper
White paper
Grundidee von ASM ist die komfortable, sichere, flexible und
Grundidee von ASM ist die komfortable, sichere, flexible und
Systemadministrator Oracle und Microsoft Datenbanken
Systemadministrator Oracle und Microsoft Datenbanken
PowerPoint-Präsentation
PowerPoint-Präsentation
5 Gründe aus Manageability Sicht
5 Gründe aus Manageability Sicht
Oracle Database 11g
Oracle Database 11g
SYSTEMADMINISTRATOR DATENBANKEN (m/w)
SYSTEMADMINISTRATOR DATENBANKEN (m/w)
Herunterladen
Werbung