X

The cloud is the driver and foundation for innovations. Please find here the important Oracle Cloud updates

Recent Posts

Cloud Security

Oracle Cloud: Tipps/Tricks für die Sicherheit

Services in einer Cloud Umgebung zu erstellen. Ist sehr einfach. Ein Wizard-geführter Prozess übernimmt die Erstellung und stellt eine komplette Umgebung zusammen, sei es eine voll ausgestattete DB mit allen Optionen und ein 2-Node Cluster auf Basis RAC oder eine 3 Tier Architektur mit Datenbank, Application Server und Load Balancer Die Erstellung geht sehr schnell. Man beachte aber, dass diese Umgebung nun im öffentlichen Zugriff steht und daher sollte immer folgende Aussage im Hinterkopf gespeichert werden. "THINK ALWAYS SECURITY!" 1999 bin ich mit der Aussage in den Markt gegangen: "The price of doing business in the Internet is a hacker." Diese Aussage gilt heute immer noch. Daher hier ein paar Tipps einer eingestellten Sicherheit für generelle Cloud Umgebungen. Rollen und User Auch in einer Cloud Umgebung sollten Benutzer entsprechende Aufgaben bekommen. Diese speziellen Aufgaben werden durch Rollen autorisiert. Auf Basis dieser Rollen kann der Benutzer seine Aufgaben in der Cloud ausführen, wie z.B. Storage anlegen oder die DB Services verwaltet. Der Begriff der hier implementiert wird, nennt sich Seggration of Duties. Die nachfolgende Abbildung zeigt die unterschiedlichen Sichten für unterschiedliche Admins: Admin für Storage Services Admin für Datenbank Services IP Ranges In einer Cloud Umgebung ist alles sehr dynamisch. Und das ist gerade das Spannende. Ich kann Storage hinzufügen und wegnehmen, kann Storage über VMs hin- und herschieben, ich kann VMs erstellen und löschen, ich kann die Security einstellen und kann IP Adressen erstellen oder ändern. Erstellen Sie einen neuen Service, so bekommt dieser Service eine neue Public IP Adresse. Haben Sie 10 oder 20 VMs in der Cloud laufen, wird Ihr Firewall Admin verzweifeln. Er würde gerne eine IP-Range in der Fierwall hinterlegen. Können Sie diese IP Range nicht benennen, dann hat der Fierwall-Admin wiederkehrende Arbeiten sowie die Enduser auch. Denn immer wenn eine neue VM erstellt wird, muss man alle Zugriffe auf diese IP umstellen bzw. erstellen wie z.B. ein SSH Zugriff in Putty oder SQL Developer.  Daher sollte man von Anfang an eine IP Range aufbauen. Dies erreicht man durch die Reservierung von IP Adressen in der Oracle Cloud Compute Service Console. Hier erstellt man zukünftige neue IP Adressen und kann diese Adressen jedem beliebigen Service zuordnen. Die nachfolgenden Abbildungen schematisieren kurz, wie man das in der Oracle macht. IP Adressen reservieren IP Adressen von Services entfernen und anderen Services zuordnen IP White Listing Erstellen Sie einen Cloud Service so wird Ihnen viel Arbeit abgenommen. Es wird ein vollständiger Service mit Network, Storage, Softwarekomponenten, Tools und eingestellter Sicherheit aufgebaut. Die Firewallregeln sind bis auf eine Regel deaktiviert. Für jeden Service steht ein SSH Zugriff ins öffentliche Internet zur Verfügung. Jetzt kann man hingehen und weitere Regeln aktivieren, z.B. den SSL Zugriff auf verschiedene Tools wie Enterprise Manager oder Monitorwerkzeuge im Cloud Service freigeben. Die erste Regel der Sicherheit lautet hier: "Unbedingt IP Whitelisten erstellen und somit den Zugriff auf Ihren Service in der Cloud absichern." Die nachfolgende Abbildung zeigt eine typische Umgebung in der Oracle Cloud. Hier sind der SSH Port im öffentlichen Zugriff geöffnet, sowie ein VNCServer Zugriff und SSL Zugriff. Die letzten beideren Services weisen aber eine eigene Security-IP-Liste auf. D.h. hier ist der Zugriff eingeschränkt. Die Erstellung eigener Security IP Listen ist relativ einfach und sollte zu jeder ersten Aufgabe erstellter Services gehören. Die erstellte Liste wird dann einer Firewall Regel (Security Rule) zugeordnet. So, das sollte reichen. Mehr Security folgt in weiteren Posts

Services in einer Cloud Umgebung zu erstellen. Ist sehr einfach. Ein Wizard-geführter Prozess übernimmt die Erstellung und stellt eine komplette Umgebung zusammen, sei es eine voll ausgestattete DB mit...

Cloud

Customer Success Management für Oracle Cloud Platform Kunden

Seit dem 15.September 2015 gibt es in der Oracle Deutschland Organisation eine Abteilung für alle Oracle Cloud Platform Kunden. Das sind Kunden, die bestehende Oracle Platform as a Services (PaaS) und Infrastructure as a Service (IaaS) Verträge mit Oracle haben.Diese neue Abteilung nennt sich Customer Success Management (PaaS). Die Kollegen kümmern sich speziell um diese Kunden und begleiten den Kunden auf seinen Weg in die Oracle Cloud. Wir CSMs unterstützen Oracle Cloud Kunden  mit Workshops und gemeinsamen Diskussionen dabei, die Cloud Technologien sinnvoll, auch in Verbindung mit Ihrer bestehenden Systemlandschaft, einzusetzen. Findet man gemeinsam sinnvolle Einsatzmöglichkeiten (Use-Cases), wird auch eine erste Umsetzung durch uns unterstützt. Bei eventuellen Problemen bieten die CSMs u.a. einen direkten Rückkanal zum Oracle Cloud Development.Nachfolgend finden Sie einen ersten Einstieg, in das Customer Success Management. Einführung in das Customer Success Management von Oracle Deutschland from Carsten Muetzlitz Eine englische Übersicht der neuen Rolle Customer Success Management findet man auf der Oracle Website: https://www.oracle.com/cloud/customer-success-managers.html

Seit dem 15.September 2015 gibt es in der Oracle Deutschland Organisation eine Abteilung für alle Oracle Cloud Platform Kunden. Das sind Kunden, die bestehende Oracle Platform as a Services (PaaS) und...

DB Security

Aufbau eines Datenbank Templates mit eingestellter Mindestsicherheit

Der Oracle Database Security Guide (11.2) beschreibt im Kapitel 10 die Einstellungsempfehlungen einer Mindestsicherheit für eine Oracle Datenbank. Mit den Empfehlungen aus dem Security Guide und einigen weiteren Best-Practice Empfehlungen hat die Oracle DBSecCommunity ein Template aufgebaut, welches genutzt werden kann, um neue DB Instanzen mit eingestellter Mindestsicherheit zu erstellen. Die Oracle DB Security Community sind Oracle Experten und erfahrene DBAs und Sicherexperten verschiedene deutscher Kunden. Wir haben drei wesentliche Möglichkeiten in einem Template Paket zusammengestellt: 1. DB Instanz Erstellung per Script 2. DB Instanz Erstellung mittels DBCA Template 3. DB Cloning mittels RMAN Alle drei Möglichkeiten implementieren eine eingestellte Mindestsicherheit, die durch spezifische Unternehmensanforderungen erweitert werden können. Folgendes Paket wurde zusammengestellt. Setup Guide: OracleDBSec_MindestsecDB11.2.0.4Setup_v.1.2.pdfHier wird genau beschrieben, was eingestellt wurde, wie man das Template erweitern kann und welche Möglichkeiten bestehen neue Templates zu erstellen. Script-Sammlung: DBSecTemplateScript.zipDieser Script erstellt eine neue DB Instanz mit einer eingestellten Mindestsicherheit. Hieraus können dann verschiedene Templates erstellt werden. Die eingestellte Mindestsicherheit einer neuen DB Instanz mit diesem Template wurde durch Cloud Control Lifecycle Management auf Sicherheit überprüft. Es wurden die secure Configuration Regeln für die Datenbank und den Listener geprüft. Das Ergebnis finden Sie im Setup Guide. Bitte beachten Sie, dass im August 2015 der kostenlose Extended Support ausläuft. D.h. für 11g Datenbanken sollten Sie unbedingt Ihre Datenbank mit der Version 11.2.0.4 betreiben, damit Sie weiterhin Fixes außerhalb des Extened Supports bekommen. Für die 12c Datenbankversion wird auch demnächst ein Template entstehen, welches wir hier veröffentlichen. Die Oracle DB Security Community: Wir machen Deutschlands Daten sicher(er).

Der Oracle Database Security Guide (11.2) beschreibt im Kapitel 10 die Einstellungsempfehlungen einer Mindestsicherheit für eine Oracle Datenbank.Mit den Empfehlungen aus dem Security Guide und...

DB Security

Der Oracle Direct Security Day zusammengefasst: Ein Event voller Erkenntnisse und sinnvollen Konzepten

Am 16.April 2015 haben wir in Potsdam einen Kundenevent veranstaltet. Der Oracle Direct Security Day wurde in Potsdam durchgeführt und gleichzeitig online ausgestrahlt. Die Stimmung in Potsdam war hervorragend.Es wurden 6 Präsentationen vorgeführt. Die Idee dieser Veranstaltung war das Aufstellen eines IT Sicherheitsprozesses und innerhalb dieses Prozesses sinnvolle Lösungen anzuwenden.  Den IT Sicherheitsprozess führt Carsten Mützlitz ein. Als erster startete Negib Marhoul. Er ist leitender Systemberater bei Oracle und Vordenker im Bereich DWH unter Berücksichtigung genannter Sicherheitsanforderungen. Er zeigte wie man den Sicherheitslayer einer Anwendung in ein DWH überführt und den gleichen Sicherheitslayer auch für die Trendthemen In-Memory und Big Data nutzen kann. Den Vortrag finden Sie hier: Security by Design Als zweiter Redner zeigte Martin Obst, leitender Systemberater für DB-Betrieb, wie man sichere Konfigurationen automatisiert überprüfen kann. Oracle entwickelt hier Vorgaben und stellt dieses Regelwerk in sogenannten Secure Technical Implementations Guides (STIG) zur Verfügung. Der Oracle Enterprise Manager hat das STIG für die DB bereits integriert. Verblüffend ist die Gegenüberstellung einer Basic Security Überprüfiung mit einer STIG Überprüfung: Es wurden sehr viel mehr Regelverletzungen identifiziert. Die Idee, dieses Vortrags: Nutzen Sie die vorhandenen Tools für die Überprüfung einer sicheren Konfiguration und passen Sie diese an Ihren eigenen Vorgaben an. Das erspart Zeit und hebt Sie gleich auf ein hohes Niveau an Wissen. Den Vortrag finden Sie hier: STIG für die Datenbank im Enterprise Manager integriert Der dritte Vortrag war der sogenannte Security Smoke Test. Eine Idee, die ein System nach Änderung und vor Live-Schaltung auf Security testet. Dieser Test beinhaltet eine typische Attacke und prüft, ob das System verwundbar ist oder nicht. Diesen Vortrag hat Carsten Mützlitz gehalten. Das bin ich. Den Vortrag finden Sie hier: Der Security Smoke Test Nun folgte Michal Soszynski. Er ist Senior Systemberater und spezialisiert auf das Thema Ausfallsicherheit. In seinem Vortrag stellte er eine End-to-End-Ausfallsicherheit vor und zeigte eine hervorragende Demo, wie man mit einfachen Mitteln zum Ziel kommt. Das System hat sich automatisch repariert, wenn z.B. die DB abstürzt oder Datenfiles beschädigt werden.  Den Vortrag finden Sie hier: End2End HA Der fünfte Vortrag übernahm Suvad Sahovic. Er stellte die Security auf den Kopf, in dem er eine Lösung vorstellte, die erhebliche Komplexität reduziert und die Security zentralisiert und erhöht. Er nutzte eine vorhandene Benutzerverwaltung (MS AD), konfigurierte EUS, Kerberos Authentizierung und Proxy User (Authentication) in nur einer Minute (per Script). Und zeigte wie  man heute Benutzerverwaltungen implementiert, ein korrektes Anwendungssetup in der DB durchführt, Zwecktrennung automatisiert implementiert, DB Links korrekt aufsetzt, und einiges mehr. Alle Benutzer und Gruppen sowie Policies nimmt er aus dem MS AD. Suvad ist leitender Systemberater und Spezialist für Kerberos und EUS (Enterprise User Security). Den Vortrag finden Sie hier: Eine geniale Lösung für das Benutzermanagement Den letzten Vortrag übernahm Wolfgang Hennes von der eperi. Er zeigte wie man Daten sicher in der Cloud speichert. Um das Erlernte aus den vorherigen Vorträgen sinnvoll in Szene zu setzen, gab es auch noch einen Live-Hack von den Studenten und "Cyber Security Challenge Germany" Gewinnern Niko Schmidt und Daniel Haake. Sie demonstrierten wie man in eine ungeschützte DB einbricht. Den Vortrag von eperi finden Sie hier: Sichere Speicherung von Daten in der Cloud Der Live-Hack sollte unbedingt sensibilisieren, dass ein Schutz einer Anwendungslandschaft bereits schon während der Designphase dieser zwingend dazugehört. Ansonsten wird diese Anwendungslandschaft schnell zum Opfer. Zu dem Themen Security Smoke Test und Benutzermanagement wird ein detailliertes Whitepaper entstehen, außerdem werden alle Vorträge auf youtube bald sichtbar sein.

Am 16.April 2015 haben wir in Potsdam einen Kundenevent veranstaltet. Der Oracle Direct Security Day wurde in Potsdam durchgeführt und gleichzeitig online ausgestrahlt. Die Stimmung in Potsdam war...

IT Security

Mark your calenders: Der OracleDirect Security Day am 16.4.2015 in Potsdam oder Online

OracleDirect Security Day 2015 am 16.4.2015 in Potsdam oder online .agendablock { background-color: #dddddd; width: 500px; } .box { margin-left: 200px; margin-right: auto; width: 800px; padding: 3px; border-radius: 5px; border: 0pt solid gray; }.shadow { -moz-box-shadow: 2px 2px 4px 2px #ccc; -webkit-box-shadow: 2px 2px 4px 2px #ccc; box-shadow: 2px 2px 4px 2px #ccc;}.shadowred { -moz-box-shadow: 2px 2px 4px 2px #300000; -webkit-box-shadow: 2px 2px 4px 2px #300000; box-shadow: 2px 2px 4px 2px #300000;} .box * { color: black; } a.menu {text-decoration: none; font-weight: bold;} a.menu {text-decoration: none; font-weight: bold;} .box a:hover {background-color: #e0e0e0;} .box a {font-weight: normal; font-size: 10pt;} .red-box { background: #3a0000; /* Old browsers */ /* IE9 SVG, needs conditional override of 'filter' to 'none' */ background: url(data:image/svg+xml;base64,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); background: -moz-linear-gradient(-45deg, #3a0000 13%, #cc0000 94%); /* FF3.6+ */ background: -webkit-gradient(linear, left top, right bottom, color-stop(13%,#3a0000), color-stop(94%,#cc0000)); /* Chrome,Safari4+ */ background: -webkit-linear-gradient(-45deg, #3a0000 13%,#cc0000 94%); /* Chrome10+,Safari5.1+ */ background: -o-linear-gradient(-45deg, #3a0000 13%,#cc0000 94%); /* Opera 11.10+ */ background: -ms-linear-gradient(-45deg, #3a0000 13%,#cc0000 94%); /* IE10+ */ background: linear-gradient(135deg, #3a0000 13%,#cc0000 94%); /* W3C */ filter: progid:DXImageTransform.Microsoft.gradient( startColorstr='#3a0000', endColorstr='#cc0000',GradientType=1 ); /* IE6-8 fallback on horizontal gradient */ border: none; border-radius: 5px; padding: 10px; color: white; width: 790px; min-height: 380px; margin-left: 200px; margin-right: auto; } .titel { font-family: Tahoma, Helvetica, Sans Serif; font-size: 20pt; } .subtitel { font-family: Tahoma, Helvetica, Sans Serif; font-size: 16pt; font-weight: normal; } .text { font-family: Arial, Sans Serif; font-size: 12pt; } .linkbox * { font-family: Tahoma, Helvetica, Sans Serif; font-weight: bold; font-size: 10pt; float: left; margin-right: 10px; } .red-box .text, .red-box .text a { font-family: Tahoma, Helvetica, Sans Serif; color: white; } OracleDirect Security Day 2015 in Potsdam oder online Ein Tag voller Erkenntnisse am 16.4.2015 Der OracleDirect Security Day ist eine kostenlose Veranstaltung und fokussiert ausschließlich aktuelle Themen der IT-Sicherheit. Termin Wo: Behlertstr. 3a, Haus T in der 3. Etage in 14467 Potsdam, oder online via WebEx Wann: von 9:00 - 18:00 Uhr am 16. April 2015 Registrieren Sie sich jetzt [Anmeldung] [Anfahrtsbeschreibung] [detailliertes Tagesprogram] [Tagesübersicht/Flyer] Agenda / Tagesprogramm 9:00 Registrierung & Kaffee 9:45 Eröffnung des Tages und kurze Begrüßung 10:00 Beginn der Veranstaltung Zugunsten einer ganzheitlichen Sicherheit – Security by Design Negib Marhoul, leitender Systemberater und Experte von sicheren DWH Architekturen, OracleDirect Deutschland Dieser Track wird auch im Internet übertragen. 10:45-11:15 Kaffeepause: Networking, Demo/Partnerstand, Hands-on Von Oracle entwickelt, im Enterprise Manager bereits integriert und direkt nutzbar: Sogenannte STIGs prüfen Anwendungslandschaften auf sichere Konfiguration Martin Obst, leitender Systemberater und Experte für die Governance von Infrastrukturkomponenten, OracleDirect Deutschland Dieser Track wird auch im Internet übertragen. 12:00-13:00 Mittagessen: Networking, Demo/Partnerstand, Hands-on Typische Angriffsszenarien und deren Auswirkungen. Der Security-Smoke-Test verhindert, dass Ihr System abbrennt. Carsten Mützlitz, Senior leitender Systemberater und Security Experte, OracleDirect Deutschland Dieser Track wird auch im Internet übertragen. 13:45-14:15 Kaffeepause: Networking, Demo/Partnerstand, Hands-on Störungsfreiheit kritischer IT-Infrastrukturen – Nachhaltige Verfügbarkeit als Grundbaustein einer umfassenden Versorgungssicherheit Michal Soszynski, Senior Systemberater und Experte für Ausfallsicherheit, OracleDirect Deutschland Dieser Track wird auch im Internet übertragen. 15:00-15:30 Kaffeepause: Networking, Demo/Partnerstand, Hands-on Cyber Security: Der Blick auf die Anwendungslandschaft und welche Gefahren müssen bestanden werden? Peter Kestner, Partner - Cyber Security | Regierung und Verteidigung bei Deloitte Dieser Track wird auch im Internet übertragen. 16:15-16:45 Kaffeepause: Networking, Demo/Partnerstand, Hands-on Sichere Speicherung von Daten in der Cloud Wolfgang Hennes, Chief Revenue Officer bei eperi GmbH Dieser Track wird auch im Internet übertragen. 17:30 Ausklang des Tages Wir haben tolle Präsentationen, Live-Demos, Infostände und einiges mehr vorbereitet. Eine detaillierte Übersicht finden Sie im Programmheft. Melden Sie sich doch gleich unter http://launch.oracle.com/?ODSD2015  an. Ich freue mich auf Sie!

OracleDirect Security Day 2015 am 16.4.2015 in Potsdam oder online OracleDirect Security Day 2015 in Potsdam oder online Ein Tag voller Erkenntnisse am 16.4.2015 Der OracleDirect Security Day ist...

DB Security

13 Lösungen für eine höhere Sicherheit in einer Oracle Datenbank (Best Practices)

Externe Einflüsse wie Gesetze fordern die IT auf, (unsere) Daten zu schützen. Doch wie prüft man die eingestellte Sicherheit einer Oracle Datenbank überhaupt? Ist die geforderte Sicherheit ausreichend umgesetzt und zwar im Idealfall entsprechend dem notwendigen Schutzbedarf? Wann haben Sie eigentlich die Sicherheit Ihrer Oracle Datenbank das letzte Mal überprüft? Und noch besser gefragt, kennen Sie die Bedrohungen und die davon abgeleiteten Risiken? Alles Fragen deren Antworten ein verantwortlicher Anwendungsbesitzer sofort parat haben sollte oder sehen Sie das anders? Wie kann man sich am besten vor Bedrohungen schützen? Die einzige richtige Antwort auf diese Frage ist, durch Informationen und daraus abgeleitetes Wissen. Nun umfassen Informationen und das darin versteckte Wissen wahrscheinlich sehr viele Quellen. D.h. es wird immer schwieriger sich das richtige Wissen anzueignen und dieses Wissen für den Schutz von Daten und Datenbanken anzuwenden.Betrachtet man die Oracle Datenbank, dann empfehle ich zwei wesentliche Bereiche, die man tun muss bzw. wissen sollte. Die Best Practices Lösungen kennen, die man implementieren sollte und teilweise muss, um gute Sicherheit zu garantieren.Ich nenne diesen Bereich „13 Lösungen für eine höhere Sicherheit in einer Oracle Datenbank (Best Practices)“Wie sieht der wirkliche Sicherheitszustand einer Oracle Datenbank aus.Diesen Bereich nenne ich „Check Oracle DB Security“ In diesem Beitrag möchte ich Sie nun in die Grundlagen einer guten Oracle Datenbank Sicherheit einführen und Sie befähigen, den Sicherheitszustand Ihrer Datenbank selber bestimmen zu können. 13 Lösungen für eine höhere Sicherheit in einer Oracle Datenbank (Best Practices)“  Password-Management aktiveren:Seien Sie sich bewusst, dass schwache Passwords eine hohe Bedrohung bedeuten. Aktivieren Sie ein vernünftiges Password ManagementKennen Sie den Funktionsumfang Ihrer aktuellen Datenbank Version, auch die Funktionen, die nicht mehr unterstützt werden.Der "New Feature und Upgrade Guide" sollte eine Pflichtlektüre werden.Implementieren Sie eine passende Mindestsicherheit.Oracle liefert hier viele Vorgaben.Haben Sie das Rollen- und Account Management im GriffHier geht es um eine kontrollierte Privilegien-Vergabe (Least Privileg), eine Zwecktrennung im Account Management und eine andauernde Überprüfung des Rollenmanagements und ZugriffskonzeptsSicheres Datenbank Link Konzept implementierenGerade im Bereich der Datenintegration werden wiederholt DB Links in der Datenbank konfiguriert. Diese Links eröffnen u.U. unkontrollierte Zugriffe auf entfernte Datenbanken. Tracken Sie den Zugriff und setzen Sie ein sicheres DB Link Konzept um. Oracle liefert hier die entsprechenden Vorgaben.Definieren Sie Schutz-Policies für Ihre Anwendungen.Hierunter fällt z.B. ein richtiges Anwendungs-Owner und Anwendungs-User SetupImplementieren Sie den notwendigen Datenschutz für wichtige DatenKennen Sie die Daten, die geschützt werden müssen und schützen Sie diese angemessen.Kontrollieren Sie den Ressourcenverbrauch in Ihrer DatenbankImplementieren Sie eine sinnvolle Zwecktrennung in der DatenbankAuch bei der Datenbank ist es sinnvoll eine Zwecktrennung zu implementieren.Schalten Sie eine sinnvolle und gesetzeskonforme Protokollierung ein.Gesetze erfordern das und Oracle gibt eine Mindestprotokollierung vor.Implementieren Sie Prozesse, die den guten Zustand der Datenbank erhaltenFühren Sie regelmäßige Health- Checks durchOracle liefert z.B. mit dem Enterprise Manager eine vollständige Library.Definieren Sie ein funktionierendes Patch-ManagementKennen Sie die Critical Patch Updates und handeln Sie falls notwendig. Check Oracle DB Security oder wer den Sicherheitszustand nicht kennt, wird auch keine Maßnahmen ergreifen Den Sicherheitszustand einer Oracle Datenbank zu überprüfen, ist sehr wichtig. Hierfür kann man verschiedene Anwendungen nutzen, die im Markt erhältlich sind. Eine gute Entscheidung wäre z.B. den Oracle Enterprise Manager (Cloud Control) mit dem Lifecycle Management zu nutzen, der periodisch den Sicherheitszustand für Sie ermittelt. Eine manuelle Überprüfung ist auch möglich, erfordert aber tiefes Wissen. Doch auch trotz der hohen Wissensanforderung ist ein Verstehen, wie man eine Oracle Datenbank manuell auf Sicherheit überprüft, wichtig. Vertrauen Sie nicht mehr auf Vermutungen, sondern nehmen Sie die Sicherheit Ihrer Datenbank ernst und lernen Sie den realen Zustand Ihrer Datenbank kennen. Wissen über reale Zustände und Wissen über geeignete Konzepte schützen. Erst dann können Sie entscheiden, welche Maßnahmen tatsächlich notwendig sind. Weiterführende Informationen: Oracle Online Dokumentation für die Datenbank Verschiedene Artikel in der Knowledge Base vom Oracle Support Das neue Buch „Oracle Security in der Praxis. Vollständige Sicherheitsüberprüfung Ihrer Oracle Datenbank“.

Externe Einflüsse wie Gesetze fordern die IT auf, (unsere) Daten zu schützen. Doch wie prüft man die eingestellte Sicherheit einer OracleDatenbank überhaupt? Ist die geforderte Sicherheit...

DB Security

Starke und existente Windows Authentisierung nutzen - Kerberos im Einsatz mit Oracle

Kerberoswurde als Authentisierungssystem vom MIT Ende der 1970ziger Jahre entwickeltund erst mit der Version 4 (Ende der 1980ziger) außerhalb der MIT genutzt. Heuteist Kerberos in der Version 5 als sicherer Authentisierungsstandard weitverbreitet. Der Kerberos-Authentisierungsdienst beteiligt drei Komponenten, denClient, der einen Server anfragt, den Server selber und den Kerberos Server.Hierbei authentisieren sich alle Komponenten gegenseitig, um soMan-in-the-Middle-Attacken zu verhindern. Darüberhinaus werden durch Kerberos auchinsbesondere Angriffe durch passives Sniffing, Spoofing, Wörterbuch- undReplay-Attacken erschwert bzw. unterbunden. Bei dem Authentisierungsprozesswerden sogenannte „Tickets (Ticket GrantingTicket TGT)“ genutzt. Bei einem Windows-Login an eine Windows-Domain wird dasKerberos Ticket sofort nach der Anmeldung erzeugt. Mit diesem Ticket kann derClient dann Berechtigungen für weitere Dienste beim Kerberos Server anfordern,ohne sich erneut anmelden zu müssen. Kerberos überträgt keine Kennwörter und ermöglichtüber den Ticketaustausch das bereits angesprochene Single-Sign-on. Während derAuthentisierung nutzt Kerberos schnelle symmetrische Schlüssel (DES, 3DES, AES256, etc.). Typische Anwendungen von Kerberos sind Benutzerauthentisierungen z.B.unter Windows 2000/2003/2008, SSH, Routern u.a.. Abbildung 1: Kommunikationsmodell der KerberosAuthentisierung Um dassichere Authentisierungsverfahren Kerberos nutzen zu können, müssen Dienste,wie ein Datenbankdienst, mit den Kerberos-Tickets umgehen können. Die OracleDatenbank beinhaltet bereits seit der Version 7 einen Kerberos AuthenticationAdapter, der in der damaligen Advanced Networking Option ausgeliefert wurde.Heute ist der Keberos Authentication Adapter Bestandteil der Advanced SecurityOption. Natürlich findet Kerberos auch in anderen Oracle Lösungen Anwendung wieOracle Identity Manager, Oracle WebLogic, Oracle HTTP Server u.a.. Vorbereitung der Oracle Datenbank zur KerberosNutzung FolgendeKomponenten kommen zum Einsatz: Eine Oracle Datenbank Enterprise Edition 10g R2mit Advanced Security Option auf einem Linux Rechner und ein Microsoft WindowsServer 2003 mit Active Directory als Kerberos Server. Abbildung 2: Demo-Aufbau EineDatenbank für eine Kerberos-Authentisierung vorzubereiten, ist sehr einfach. Essind zwei wesentliche Schritte auszuführen. Als erstes muß die Datenbank demKerberos Server (also dem Active Directory lt. Abbildung 2) bekannt gemachtwerden. Im zweiten Schritt muss die Datenbank so konfiguriert werden, dassdiese die Kerberos Authentisierung mit dem Kerberos Server verwendet. 1. Datenbank dem Kerberos Server bekannt machenDamit derKerberos Server die Datenbank authentisieren kann, muss die Datenbank einen Benutzer-Account(kein Computer-Account) im Active Directory besitzen. In der Abbildung 3 wirdein Beispiel für den Server „asterix“ dargestellt, auf dem die Oracle Datenbankläuft: Abbildung 3: Datenbank-Eintrag im Active Directory Alsnächstes wird auf dem Active Directory Server eine Datenbank Kerberos KeytabDatei mit einem eindeutigen Service Principal Name SPN (gemapped auf den soeben erstellten Benutzer Account) erstellt, die dann vom Datenbankserver fürdie Authentisierung verwendet wird. Der SPN wird für die Client-Dienst-Anfrageverwendet. Fragt der Client ein Service Ticket für einen Dienst beim KerberosServer an, so muss der Client angeben für welchen Service Principal Name er diesesTicket haben will. Für die Erstellung der Keytab Datei wird das Windows SupportTool KTPASS (auf der MS Windows Server CD zu finden) verwendet. Abbildung 4: Erstellung der Keytab mit KTPASS EntsprechendAbbildung 4 lautet der SPN „ORACLE“. Der verwendete Verschlüsselungsalgorithmusist „DES-CBC-CRC“ und die Keytab Datei ist „asterix.keytab“. Besonders wichtigbei der Ausführung dieses KTPASS Befehls ist die Klein/Grossschreibung, bitteachten Sie darauf. 2. Datenbank für die KerberosAuthentisierung konfigurieren Die erstellteKeytab Datei „asterix.keytab“ wird auf den Datenbank Server, typischerweiseunter dem Pfad \etc\asterix.keytab, kopiert. Nun muss der Datenbank-Server soeingestellt werden, damit er weiß, wie er den Kerberosserver anzufragen hat.Hierfür müssen die Parameter in den Konfigurtationsdateien krb5.conf undkrb5.realms eingestellt werden. Abbildung 5: Beispiel krb5.conf Einstellungen Abbildung 6: Beispiel krb.realms Einstellungen Bitteachten Sie auch darauf, dass die Namensauflösung (DNS) funktioniert. Nehmen Siehierfür den Kerberos-Server mit Hostnamen und IP in die HOSTS Datei auf. Damit derDatenbank Server die eingestellten Kerberos Parameter verwendet, muss zuallerletzt die sqlnet.ora angepaßt werden. Man kann diese Datei direkt verändernoder die Veränderungen mit dem Oracle Net Manager durchführen. Abbildung 7: Kerberos Authentisierung mit dem NetManager einstellen (Methode) Abbildung 8: Kerberos Authentisierung mit dem NetManager einstellen (Parameter) Abbildung 9: Einstellungen in der sqlnet.ora Somit istdie Datenbank für die Kommunikation mit dem Kerberosserver vorbereitet. Kerberos Authentisierung mit der Oracle Datenbanktesten Für den erstenTest auf Funktionstüchtigkeit wird ein neuer Benutzer im Active Directory und inder Oracle Datenbank erstellt. Die Benutzernamen müssen identisch sein. DerDatenbankbenutzer wird als externally angelegt, da wir eine externeAuthentisierung nutzen möchten. Zusätzlich bekommt der DB-Benutzer noch einigeDB-Berechtigungen: CREATE USER “SAHOVIC@DE.ORACLE.COM”IDENTIFIED EXTERNALLY; GRANT CREATE SESSION,RESOURCE TO “SAHOVIC@DE.ORACLE.COM”; Dieserneue AD-Benutzer meldet sich an die Windows-Domäne an, bezieht ein Kerberos TGTTicket und authentisiert sich damit (ohne erneute Anmeldung) an die Datenbank. Für denersten Test braucht man keinen Windows Login durchführen, sondern kann das TGTTicket manuell beziehen. Mit dem Oracle Tool okinit wird ein TGT Ticket für denBenutzer SAHOVIC vom Kerberos Server abgeholt. Das Kommando wird auf dem DatenbankServer ausgeführt. Abbildung 10: TGT Ticket mit okinit beziehen Das TGTTicket entspricht der Funktion eines SSO Cookies, das als Grundlage für dieErstellung von Session Tickets dient. Das TGT Ticket wird in der CredentialCache Datei abgelegt. Den Inhalt der Credential Cache Datei kann mit dem Tool„oklist“ ausgelesen werden. Das Kerberos TGT Ticket ist vorhanden und nun kanneine externe Authentisierung zur Datenbank durchgeführt werden. Der DB-Benutzerwird bei einem Datenbank-Login an den Kerberos Server weitergeleitet, der danndas Session Ticket für die Datenbank zurückliefert. Das bereits erstellte TGTTicket dient als Benutzerinformation beim Kerberos Server für die SessionTicket Erstellung. Die Anmeldungan die Datenbank erfolgt ohne Username/Password, da wir alle Informationenbereits über die Kerberos Tickets bezogen haben. Abbildung 11: Kerberos Authentisierung an dieDatenbank In der Abbildung11 sieht man eine erfolgreiche Kerberos Authentisierung gegen die Datenbank undtrotz nicht angegebener Benutzerinformation weiß die Datenbank, dass der BenutzerSAHOVIC@DE.ORACLE.COM angemeldet ist. Selbstverständlichist dieser erste Test keine charmante und transparente Lösung für denEndbenutzer. Kerberos im Zusammenspiel zwischen OracleDatenbank, MS Windows Server mit Active Directory und einem MS Windows XPClient Eintypischer Arbeitstag eines Endbenutzers beginnt in der Regel mit dem Startenseines Rechners und der Anmeldung an eine Windows Domäne. Bei diesem Anmeldeprozesskommt bereits eine Kerberos Authentisierung zum Einsatz. Nach der erfolgreichenAnmeldung des Benutzers speichert der Windows-Client-Rechner sein ebenerlangtes Kerberos TGT Ticket in verschlüsselter Form in dem Windows CredentialCache. Dieses TGT Ticket kann man wie bereits erwähnt für die Anmeldung an dieOracle Datenbank nutzen und einen Kerberos-basierten single-Sign-on realisieren. Windows XP konfigurieren für die Kerberos Anmeldungan die Oracle Datenbank DerWindows Client (hier XP oder Win2000 Workstation, Vista, Windows7) muss eineOracle Client Installation aufweisen. Als Minimum ist der Oracle InstantClientzu installieren. In der Oracle Client Installation befindet sich einesqlnet.ora Datei ($ORACLE_HOME/network/admin), die entsprechend für eine Kerberos-Nutzunganzupassen ist: Abbildung 12: Client sqlnet.ora anpassen DieClient-seitige sqlnet.ora unterscheidet sich nur minimal von sqlnet.ora auf demDatenbank-Server. Der Parameter SQLNET.KERBEROS5_CC_NAME mit dem Wert des CredentialCache „OSMSFT://“ besagt, hole die Credential Informationen aus dem Windows CredentialCache. Zusätzlich muss die krb5.conf Datei vom Datenbank-Server auf den Windows Clientkopiert und in krb5.ini Datei umbenannt werden. Zu guter Letzt wird dieClient-seitige tnsnames.ora Datei mit den Angaben des Datenbank-Serversangepaßt. Funktionsweise zwischen dem Kerberos Server, derOracle Datenbank und dem Windows Client überprüfen Es wurdenalle notwendigen Einstellungen am Client vorgenommen, so dass eineKerberos-Anmeldung an die Datenbank durchgeführt werden kann. Hierzu wirdOracle SQL*Plus verwendet. Abbildung 13: Login mit SQL*Plus DieKerberos Anmeldung ohne Kennwort Eingabe funktioniert. Sicherlich arbeitennicht alle mit SQL*Plus, sondern verwenden auch andere DB Applikationen wiez.B. Oracle SQL Developer. Kerberos Datenbank Anmeldung mit Oracle SQLDeveloper DerOracle SQL Developer unterstützt die Kerberos Authentisierung seit der Version1.5.3. Eine Kerberos Authentisierung muss auch am SQL Developer eingestelltwerden. Hierfür muss bei entsprechenden DB Connection das Häkchen für Kerberosgesetzt werden: Abbildung 14: DB Connection Einstellung beim SQLDeveloper Zuerwähnen ist noch, dass der SQL Developer eine OCI Connection nutzen muss.Diese stellt man in den Preferences ein. Abbildung 15: OCI im SQL Developer einstellen Thin und Thick JDBC Oracle SQLDeveloper unterstützt auch eine Kerberos-Authentisierung über JDBC Thin Connection.Dies wird jedoch erst ab einer Datenbank Version 11gR1 unterstützt. In derAbbildung 15 sind für die Thin Konfiguration zwei Eingabefelder (im BereichKerberos Thin Config) vorgesehen. Hier wird hinterlegt, wo sich das KerberosTGT Ticket und der Kerberos Server befinden. Die DB Connection Details wiederumbleiben wie bei einer Kerberos OCI Connection absolut gleich. Um dieFunktionstüchtigkeit einer Kerberos DB Anmeldung über eine JDBC Thin Connectionzu überprüfen, müsste man vorher manuell ein Kerberos TGT Ticket mit okinitTool beziehen. Das TGT Ticket ist dann per default 10 Stunden gültig. Das heißt,einmal beziehen und genießen. Kerberos Datenbank Anmeldung mit Client/Server JavaApplikationen DieBefähigung von Client/Server Java Applikationen, eine Kerberos Authentisierungzu verwenden, ist wiederum abhängig vom benutzten JDBC Treiber. Kann der JDBC ThickTreiber verwendet werden, also eine OCI Connection zur Datenbank aufgebautwerden, dann sieht der Connect String wie folgt aus (ohne BenutzerInformationen):jdbc:oracle:oci:@10gee92 Beieiner JDBC Thin Connection hingegen müssen die vier Kerberosparameter dersqlnet.ora Einstellung (siehe Abbildung 12) programmtechnisch übergeben werden.Die Parameter haben folgende Bedeutung: OrtKerberos Konfigurationsdatei (krb5.ini) Authentisierungsart GegenseitigeAuthentisierung aktivieren Pfadder Credential Cache Datei Der Code für das Setzen der Parameter in Java würdewie folgt aussehen: Abbildung 16: Einstellung für JDBCThin im Java Code Hiermiterfolgt die Kerberos Anmeldung ebenso erfolgreich wie mit einer OCI Connection. Zusammengefasstergibt sich eine erhöhte Sicherheit bei der Nutzung von Kerberos und einevereinfachte Administration. Der Nachteil der immer noch bestehenden redundantenBenutzer (im Active Directory und Datenbank) kann man mit dem Datenbank FeatureEnterprise User Security (alle Benutzer bleiben im Active Directory) umgehen.D.h. ein sichere und hoch-vereinfachte Benutzerverwaltung inklusive starkerAuthentisierung kann mit Kerberos und Enterprise User Security umgesetztwerden. Abschliessendsind drei wichtige Benefits zu nennen: Kerberos Authentisierung gehört in den Bereich der starken Authentisierungen. Demzufolge erreicht man eine höhere Sicherheit im Betrieb der Datenbanken und Datenbank Applikationen. Zentrale Kennwort Verwaltung für alle Datenbankbenutzer durch den Kerberos Server und sein Benutzerrepository. Durch die zentrale Kennwort Verwaltung definiert man an einer zentralen Stelle die Kennwort-Policies, die für alle beteiligten Datenbanken gültig sind. Basierend auf dem Kerberos Single-Sign-On Prinzip, entfallen erneute Anmeldungen an den „Kerberos-enabled“ Datenbanken/Datenbank-Applikationen. Es ist kein neues Single-Sign-On Konstrukt, sondern man nutzt das vorhandene Single-Sign-On Konstrukt (für Windows typischerweise auf MS Active Directory basierend) und lässt die Datanbanken an diesem (Kerberos) Single-Sign-On Konstrukt als Dienst/Service partizipieren.

Kerberos wurde als Authentisierungssystem vom MIT Ende der 1970ziger Jahre entwickelt und erst mit der Version 4 (Ende der 1980ziger) außerhalb der MIT genutzt. Heuteist Kerberos in der Version 5 als...