Biztonsági audit Oracle EBS környezetben

Your IT Partner in Business Understanding

Biztonsági audit Oracle EBS környezetben Törő Krisztián Ixenit Kft (ex-Innovent Tanácsadó Kft.) 2014. október 2.

Ixenit Kft Az Innovent Tanácsadó Kft és u  az I-Logic Kft egyesülésével jött létre szeptember 15-én u 

Áttekintés u  u 

u  u 

u 

A biztonsági audit céljai Milyen helyzetekben célszerű a biztonsági audit végrehajtása A biztonsági audit előnyei Egy Oracle EBS környezetben végrehajtott, az infrastruktúrát, alkalmazást és folyamatokat lefedő biztonsági audit menete Az eredmények értékelésének és bemutatásának egy célszerű megközelítése

Biztonsági audit célterületei u 

Információs rendszerek működés ¤  jogosultságok ¤  konfiguráció ¤  rendszeradminisztrációs, üzemeltetési folyamatok ¤ 

u 

Funkcionális területek, üzleti folyamatok és résztvevőik (Sarbanes-Oxley) ¤ 

szerepkörök szétválasztása (Seggregation of Duties) számlakezelés, n  jóváhagyás n  törzsadatkezelés n  ... n 

Biztonsági audit céljai u 

Előre rögzített elvárásokból kiindulva törvényi előírások n  belső és külső szabályzatok n  adatbiztonság (titkosság és integritás) szempontjai n 

u 

Valós helyzet független megfigyelőként való rögzítése betekintés n  interjúk n 

u 

Eltérések kimutatása, elemzése, értékelése

Biztonsági audit időzítése Kezdeti, állapotfeltáró (pl. informatikai rendszer éles indulása előtt) u  Rendszeres, pl. éves felülvizsgálat u  Eseti, a vizsgált területen végzett változás miatt u 

Kinek ajánljuk a biztonsági ellenőrzést Olyan közepes és nagyvállalatoknak illetve intézményeknek, ahol: u  az Oracle alapú rendszerek működőképessége illetve a benne tárolt adatok sértetlensége vagy bizalmassága kiemelten fontos a szervezet számára u  szeretnének egy független szervezettől áttekintést kapni a cég információs és adatvagyonának biztonsági helyzetéről. u 

u 

a cég vagy intézmény adatvédelmi és adatbiztonsági szabályzatát szeretnék elkészíteni vagy aktualizálni (kezdeti) rendszeres felülvizsgálattal szeretnék biztosítani az informatikai biztonság folyamatosságát (felülvizsgálat)

Egy javasolt menetrend Audit környezet kijelölése/kialakítása u  Interjúk az IT és üzemeltetési vezetőkkel u  Felmérés – Elemzés – Jelentéskészítés u  Minőségbiztosítási ellenőrzés u  Vezetői prezentáció Audit után: u  A jelentésben foglalt változtatási javaslatok kockázat és lehetőség szerinti sorrendben történő végrehajtása u 

Leszállítandók Részletes jelentés u  Vezetői összefoglaló u 

¤  összesítő,

csoportosító táblázatok ¤  statisztikák ¤  „top - n” kimutatások ¤  “hőtérkép” u 

Vezetői prezentáció

Információs rendszerek auditja A két fő célterület, u  az üzleti folyamatok és résztvevőik és u  az információs rendszerek közül a továbbiakban az utóbbira koncentrálunk.

Hogyan történik a felmérés Hozzáférés az összes vizsgált rendszerkomponenshez u  Ellenőrzőlista szerint egyesével: u 

¤ 

Aktuális állapot ellenőrzése: konfigurációs állományok n  operációs rendszer környezeti változók n  adatbázisbeli paraméterek n  jogosultsági beállítások n 

Az elvárt/javasolt értékek dokumentálása ¤  A ténylegesen megfigyelt értékek rögzítése ¤  Szükség esetén javaslattétel a változtatásra ¤  Kategorizálás, pontozás ¤ 

Ellenőrzőlista Praktikus megközelítés. Az ellenőrzőlista az alábbi forrásokból áll össze: u  Az Oracle ajánlásai u  Saját üzemeltetési tapasztalatok u  Józan ész u  Az ügyfél speciális elvárásai

Egy esettanulmány u 

u 

u 

Egy nemzetközi intézménynél egy Oracle E-Business Suite R12 ERP rendszer került bevezetésre. Az ügyfél nem az ISO 27001:2013 részeként kérte az EBS auditot. A biztonsági auditot a projekt utolsó fázisában, az éles indulást megelőzően hajtottuk végre az “elő-éles” rendszer klónján.

A vizsgált területek, hatókör u 

u  u  u  u  u 

u 

EBS specifikus desktop komponensek (JRE, böngésző) Szerver oldali operációs rendszer Oracle EBS alkalmazás réteg Oracle EBS adatbázis réteg Oracle TNS Listener Oracle E-Business Suite (funkcionális biztonsági beállítások) Javítókészletek (patch-ek) telepítve vannak -e: ¤  ¤ 

kritikus javítókészletek javasolt javítókészletek

A részletes jelentés 15

IT szakemberek számára készül. A biztonsági audit eredményeképpen előálló részletes jelentés több fejezetet tartalmaz, a vizsgált architektúrális elemeknek megfelelően. Minden fejezetben felsorolásra kerülnek u  a vizsgált egyes vizsgált elemek ¤  ¤  ¤  ¤ 

u 

rövid magyarázat a beállítás jelentőségéről az elvárt illetve javasolt beállítások, paraméter értékek az aktuális beállítások, a javasolthoz képest való esetleges eltérés kiemelésével ahol releváns, ott javaslat a változtatásra

A fejezethez kapcsolódóan általánosabb, az üzemeltetési folyamatokra vonatkozó tanácsok

03/10/2014

Javaslatok 16

A vizsgálat eredményeképpen előálló javaslatok két kategóriába esnek: u 

u 

Konfiguráció: A javaslat egy bizonyos konfigurációs beállításra vonatkozik. Az aktuális beállítás ellenőrzésre került, összehasonlítottuk a javasolt értékkel. Üzemeltetési folyamat: A javaslat nem kapcsolódik közvetlenül egy bizonyos jelenlegi beállításhoz sem, ezek inkább a jövőre vonatkozó tanácsok. 03/10/2014

A nyers eredmények osztályozása, súlyozása

Pontozás (“Scores”) 18

u 

u 

Annak érdekében, hogy magas szintű áttekintést lehessen kapni az eredményekről, valamint az eredmények számszerűsíthetőek legyenek, ezáltal statisztikákat, további elemzéseket lehessen készíteni, bevezettünk egy pontszámot. A pontszámok a megfigyelt eltérésből kerültek származtatásra, illetve ahol lehetséges kiszámításra. Az üzemeltetési folyamatokra vonatkozó javaslatokhoz nem rendeltünk pontszámot. 03/10/2014

Pontozás (“Scores”) 19

Egy konfigurációra vonatkozó ellenőrzés lehetséges eredményei: Pontszá m

Leírás

Rövid jelentés

Nem releváns, vagy nem lehetett ellenőrízni

N/A

0

Az ellenőrzés nem volt sikeres. A szüksges illetve javasolt paraméter nincs beállítva.

Not OK

1-8

Az eredmény részleges. Összetett, több elemet tartalmazó ellenőrzés esetén bizonyos elemek megfelelnek az elvárásoknak, bizonyosak nem. Amennyiben egy beállítás több értéket is felvehet, nem a Partial legjobb, de még elfogadható érték került beállításra. A magasabb értékek jobbak. A számok általában nem egzakt módon kerülnek kiszámításra, hanem megközelítőleg jelzik az aktuális beállítás megfelelő voltát.

9

Az ellenőrzés sikeres volt. Az adott paraméter a szükséges illetve javasolt értékre van állítva.

OK 03/10/2014

A súlyosság (“Severity”) 20

Egy ellenőrzés eredménye vagy egy javaslat különböző súlyossági kategóriákba eshet: Súlyosság

Leírás

Magas

Az ellenőrzött terület kiemelt fontossággal bír biztonsági szempontból. A javasolt és a valódi értékek közötti eltérés esetén az eltérés az éles indulás előtt illetve a lehető leghamarabb megszüntetendő.

Közepes

Az ellenőrzött terület fontos biztonsági szempontból. A javasolt és a valódi értékek közötti eltérés esetén, ha a biztonságért felelős vezetés és az üzemeltető csapat tudatában van az eltérésnek, dönthetnek úgy, hogy vállalják az éles indulás felelősségét. Az eltérés később is megszüntethető. Legtöbb esetben van lehetőség alternatív megoldás kidolgozására.

Alacsony

Az ellenőrzött területnek alacsony hatása van a biztonságra. Jó, ha nincs eltérés, de ilyen esetben a megszüntetés elhalasztható éles indulás utáni időszakra is. 03/10/2014

Minta részletes jelentés Néhány anonimizált részlet egy ügyfélnél elvégzett biztonsági audit során készült részletes jelentéséből. Kifejezetten IT szakemberek számára készül. Az eredeti 67 oldal.

Check passwords of Oracle database accounts Oracle Default Password Scanner, the utility that queries the Oracle database for accounts that are unlocked (open) and have default passwords. The patch 4943798, provided by Oracle contains this utility. For more information on this tool see: Oracle® Default Password Scanner User’s Guide. Oracle Default Password Scanner checks the database accounts listed in the spreadsheet attached. Executed commands and their results [oracle@AUDTVM004 ktoro]$ sqlplus " / as sysdba" SQL*Plus: Release 11.2.0.3.0 Production on Thu Dec 12 16:10:19 2013 Copyright (c) 1982, 2011, Oracle. All rights reserved. Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production With the Partitioning, OLAP, Data Mining and Real Application Testing options SQL> @patches/4926128/dfltpass.sql no rows selected SQL>

Observations According to the tests none of the checked database schemas have default password. Suggestions None.

File permissions … Suggestion 4. Set file permissions for the database data files*.dbf to 0640. Observations File permissions of the following files are greater than suggested: -rw-r--r-- 1 oracle dba 1048584192 Dec 13 09:34 -rw-r--r-- 1 oracle dba 1048584192 Dec 13 12:05 -rw-r--r-- 1 oracle dba 1048584192 Dec 13 12:10 -rw-r--r-- 1 oracle dba 1048584192 Dec 13 13:10 -rw-r--r-- 1 oracle dba 1048584192 Dec 13 16:20 -rw-r--r-- 1 oracle dba 104865792 Dec 13 09:34 -rw-r--r-- 1 oracle dba 10493952 Dec 13 09:34 -rw-r--r-- 1 oracle dba 18882560 Dec 13 09:34 -rw-r--r-- 1 oracle dba 786440192 Dec 13 09:34 -rw-r--r-- 1 oracle dba 786440192 Dec 13 11:05

system04.dbf system03.dbf system02.dbf system05.dbf system01.dbf portal01.dbf owad01.dbf ctxd01.dbf system06.dbf system07.dbf

Oracle TNS Listener Security Network Add ip restrictions or enable valid node checking Suggestions Valid Node Checking allows or denies access from specified IP addresses to Oracle services. We recommend using a whitelist of IP Addresses that are allowed to make a TCP connection to the database listener. To enable Valid Node Checking, set the following parameters in $TNS_ADMIN/sqlnet.ora: tcp.validnode_checking = YES tcp.invited_nodes = ( X.X.X.X, hostname, ... ) AutoConfig supports automated configuration of this setting. If the profile option “SQLNet Access” (FND_SQLNET_ACCESS) is set to “ALLOW_RESTRICTED” at the Site level when AutoConfig is run on the database server, AutoConfig will add IP restrictions to sqlnet.ora. The list of host will be all those from the FND_NODES table that are registered as an EBS node. Observations $TNS_ADMIN/sqlnet.ora does not contain any recommended settings.

Patch updates I.1 Oracle EBS patch analysis I.1.1 Paches for modules ap, ar, gl, iex and technology related modules: Patch

Product

Prerequisites

Status

Manual Steps?

Reason Recommended

Patch Description

9396831.B

ap

0

Not Applied

No

High Priority Patch

AP_IBY_PMT_MISMATCH CAUSED REMOVAL OF SELECTED INVOICES

10052153.B

ap

0

Not Applied

No

High Priority Patch

LINE ITEM ALLOCATION WINDOW SHOW NO ROWS RETURNED WHEN ALLOCATION WINDOW IS USED

10431161.B

ap

0

Not Applied

No

High Priority Patch

This fix resolves ERROR FRM-40654 While trying to change invoice amount on invoice workbench

11720134.B

ap

0

Not Applied

No

High Priority Patch

This fix resolves error ORA-01422 in Format Payment Instruction if responsibility has access to more than one OU

BY

Súlyozott és pontozott megfigyelési eredmények

Minta vezetői prezentáció Anonimizált részletek egy ügyfélnél elvégzett biztonsági audit eredményeiről szóló prezentációból

30

Your IT Partner in Business Understanding

Security Audit at Client Co. 03/10/2014

Bemutató leszállítandó dokumentumok, nem valódi adatokat tartalmaznak

Summarized scoring of system configuration items 31 Chapter  

Severity  

Desktop Security  

High   High  

Operating Environment Security  

Oracle Application Tier Security  

Oracle Database Security  

Medium   High   Medium   High   Low   Medium  

High  

Low   Oracle E-Business Suite Security   Medium  

Low   Oracle TNS Listener Security  

Patch updates   Grand Total  

Medium   High   Medium  

Score Category   Partial   OK   Partial OK   Partial Partial OK   OK   Not OK   OK   Not OK   OK   Partial Not OK   OK   Partial Not OK   Partial Not OK   OK   Partial Not OK   OK   Not OK   OK   Partial Partial

Count of Checkings   1   1   5   2   1   1   2   2   1   1   2   3   1   1   2   3   4   1   2   1   1   1   2   1   1   2   1   1   47  

Average of Score (0-9)   2   9   4.4   9   6   1   9   9   0   9   0   9   1   0   9   8   0   1   0   9   8   0   9   0   9   3   4   4.89  

03/10/2014

Summary of advices for Operations Processes 32

Chapter  

Severity  

Operating Environment Security  

High  

2  

Medium   High   Low   Medium  

4   2   6   1  

High  

5  

Low   Medium   High   Medium  

6   3   2   1   32  

Oracle Database Security  

Oracle E-Business Suite Security  

Patch updates   Grand Total  

Count of Advices  

03/10/2014

Configuration errors found 33

Several configuration files of AUDT instance contains references to directories and files named ”LIVE". (i.e. httpd.conf, ssl.conf under $IAS_ORACLE_HOME/Apache/Apache/conf) However these files and directories don't exist (and they are not supposed to exist). The references in the configuration files to these files and directories should be "SIT" in every case. It seems that the AUDT instance has been cloned from an instance named ”LIVE". However the cloining process (perl /clone/bin/adcfgclone.pl appsTier) has not been finished completely and successfully. These misconfigurations may lead to unexpected behaviours and errors. It is highly recommended to investigate and solve this issue as soon as possible. 03/10/2014

General observations on system configuration AUDT instance seems to be a “default install” Oracle EBS u  Default passwords have been changed u  Passwords are not weak – according to the tests u  There are a few configuration errors – possible due to the incomplete cloning from LIVE u  Due to the custom objects created in EBS, database could be a subject of additional licenses. u 

03/10/2014

Minta “hőtérkép” 3x3-as mátrixban elhelyezve a megfigyelések: u  vízszintesen a súlyosság szerint 3 kategória u  függőlegesen pontszám (score) szerint 3 kategória Az alsó sorban jelennek meg a javasoltnak megfelelő beállítások.

Next steps 37

u 

u 

u 

Javasoljuk, hogy a lehető leghamarabb módosítsák azokat a konfigurációkat, paramétereket, amelyek súlyossága magas, és ezzel együtt nagyon alacsony pontszámot kaptak (hőtérkép jobb felső része) Javasoljuk, hogy ütemezzék be a közeljövőben a közepes súlyosságú, alacsony pontszámot elért problémák megoldását. J a v a s o l j u k , h o g y f o g a d j á k m eg a z e g y e s fejezetekben található üzemeltetési folyamatokra vonatkozó tanácsainkat. 03/10/2014

Next steps… 38

u 

High severity issues earned the lowest scores:

Chapter  

Check  

Oracle EBusiness Suite Security  

Use Ssl (Https) Between Browser And web Server   Recommended  &   Cri-cal  Oracle  EBS   Patch updates   Technology  Stack   Patches   Oracle Configuration Application Tier Healthcheck   Security   Desktop Security  

Update Browser  

Operating Environment Security  

Cleanup File Ownership And Access  

Description  

Score (0-9)  

Configure your EBS environment to use HTTPS  

0  

Verify  the  list  of  recommended  patches   Verify  the  list  of  patches  in  Cri-cal  Patch   Update  Knowledge  Document  

3  

Check whether EBS configuration files and context xml are in sync.  

1  

Update EBS applications tier to support latest version of Java 2   browser plugin   Check that the operating system owner of executables matches the 3   operating system user under which 03/10/2014 the files have been installed.  

Találkozzunk egy év múlva A kezdeti, állapotfelmérő audit után periodikusan, például évente javasolt egy felülvizsgálat elvégzése.

Köszönöm a figyelmet! Törő Krisztián, technikai igazgató email: [email protected] web: www.ixenit.com

Your IT Partner in Business Understanding 03/10/2014