Your IT Partner in Business Understanding
Biztonsági audit Oracle EBS környezetben Törő Krisztián Ixenit Kft (ex-Innovent Tanácsadó Kft.) 2014. október 2.
Ixenit Kft Az Innovent Tanácsadó Kft és u az I-Logic Kft egyesülésével jött létre szeptember 15-én u
Áttekintés u u
u u
u
A biztonsági audit céljai Milyen helyzetekben célszerű a biztonsági audit végrehajtása A biztonsági audit előnyei Egy Oracle EBS környezetben végrehajtott, az infrastruktúrát, alkalmazást és folyamatokat lefedő biztonsági audit menete Az eredmények értékelésének és bemutatásának egy célszerű megközelítése
Biztonsági audit célterületei u
Információs rendszerek működés ¤ jogosultságok ¤ konfiguráció ¤ rendszeradminisztrációs, üzemeltetési folyamatok ¤
u
Funkcionális területek, üzleti folyamatok és résztvevőik (Sarbanes-Oxley) ¤
szerepkörök szétválasztása (Seggregation of Duties) számlakezelés, n jóváhagyás n törzsadatkezelés n ... n
Biztonsági audit céljai u
Előre rögzített elvárásokból kiindulva törvényi előírások n belső és külső szabályzatok n adatbiztonság (titkosság és integritás) szempontjai n
u
Valós helyzet független megfigyelőként való rögzítése betekintés n interjúk n
u
Eltérések kimutatása, elemzése, értékelése
Biztonsági audit időzítése Kezdeti, állapotfeltáró (pl. informatikai rendszer éles indulása előtt) u Rendszeres, pl. éves felülvizsgálat u Eseti, a vizsgált területen végzett változás miatt u
Kinek ajánljuk a biztonsági ellenőrzést Olyan közepes és nagyvállalatoknak illetve intézményeknek, ahol: u az Oracle alapú rendszerek működőképessége illetve a benne tárolt adatok sértetlensége vagy bizalmassága kiemelten fontos a szervezet számára u szeretnének egy független szervezettől áttekintést kapni a cég információs és adatvagyonának biztonsági helyzetéről. u
u
a cég vagy intézmény adatvédelmi és adatbiztonsági szabályzatát szeretnék elkészíteni vagy aktualizálni (kezdeti) rendszeres felülvizsgálattal szeretnék biztosítani az informatikai biztonság folyamatosságát (felülvizsgálat)
Egy javasolt menetrend Audit környezet kijelölése/kialakítása u Interjúk az IT és üzemeltetési vezetőkkel u Felmérés – Elemzés – Jelentéskészítés u Minőségbiztosítási ellenőrzés u Vezetői prezentáció Audit után: u A jelentésben foglalt változtatási javaslatok kockázat és lehetőség szerinti sorrendben történő végrehajtása u
Leszállítandók Részletes jelentés u Vezetői összefoglaló u
¤ összesítő,
csoportosító táblázatok ¤ statisztikák ¤ „top - n” kimutatások ¤ “hőtérkép” u
Vezetői prezentáció
Információs rendszerek auditja A két fő célterület, u az üzleti folyamatok és résztvevőik és u az információs rendszerek közül a továbbiakban az utóbbira koncentrálunk.
Hogyan történik a felmérés Hozzáférés az összes vizsgált rendszerkomponenshez u Ellenőrzőlista szerint egyesével: u
¤
Aktuális állapot ellenőrzése: konfigurációs állományok n operációs rendszer környezeti változók n adatbázisbeli paraméterek n jogosultsági beállítások n
Az elvárt/javasolt értékek dokumentálása ¤ A ténylegesen megfigyelt értékek rögzítése ¤ Szükség esetén javaslattétel a változtatásra ¤ Kategorizálás, pontozás ¤
Ellenőrzőlista Praktikus megközelítés. Az ellenőrzőlista az alábbi forrásokból áll össze: u Az Oracle ajánlásai u Saját üzemeltetési tapasztalatok u Józan ész u Az ügyfél speciális elvárásai
Egy esettanulmány u
u
u
Egy nemzetközi intézménynél egy Oracle E-Business Suite R12 ERP rendszer került bevezetésre. Az ügyfél nem az ISO 27001:2013 részeként kérte az EBS auditot. A biztonsági auditot a projekt utolsó fázisában, az éles indulást megelőzően hajtottuk végre az “elő-éles” rendszer klónján.
A vizsgált területek, hatókör u
u u u u u
u
EBS specifikus desktop komponensek (JRE, böngésző) Szerver oldali operációs rendszer Oracle EBS alkalmazás réteg Oracle EBS adatbázis réteg Oracle TNS Listener Oracle E-Business Suite (funkcionális biztonsági beállítások) Javítókészletek (patch-ek) telepítve vannak -e: ¤ ¤
kritikus javítókészletek javasolt javítókészletek
A részletes jelentés 15
IT szakemberek számára készül. A biztonsági audit eredményeképpen előálló részletes jelentés több fejezetet tartalmaz, a vizsgált architektúrális elemeknek megfelelően. Minden fejezetben felsorolásra kerülnek u a vizsgált egyes vizsgált elemek ¤ ¤ ¤ ¤
u
rövid magyarázat a beállítás jelentőségéről az elvárt illetve javasolt beállítások, paraméter értékek az aktuális beállítások, a javasolthoz képest való esetleges eltérés kiemelésével ahol releváns, ott javaslat a változtatásra
A fejezethez kapcsolódóan általánosabb, az üzemeltetési folyamatokra vonatkozó tanácsok
03/10/2014
Javaslatok 16
A vizsgálat eredményeképpen előálló javaslatok két kategóriába esnek: u
u
Konfiguráció: A javaslat egy bizonyos konfigurációs beállításra vonatkozik. Az aktuális beállítás ellenőrzésre került, összehasonlítottuk a javasolt értékkel. Üzemeltetési folyamat: A javaslat nem kapcsolódik közvetlenül egy bizonyos jelenlegi beállításhoz sem, ezek inkább a jövőre vonatkozó tanácsok. 03/10/2014
A nyers eredmények osztályozása, súlyozása
Pontozás (“Scores”) 18
u
u
Annak érdekében, hogy magas szintű áttekintést lehessen kapni az eredményekről, valamint az eredmények számszerűsíthetőek legyenek, ezáltal statisztikákat, további elemzéseket lehessen készíteni, bevezettünk egy pontszámot. A pontszámok a megfigyelt eltérésből kerültek származtatásra, illetve ahol lehetséges kiszámításra. Az üzemeltetési folyamatokra vonatkozó javaslatokhoz nem rendeltünk pontszámot. 03/10/2014
Pontozás (“Scores”) 19
Egy konfigurációra vonatkozó ellenőrzés lehetséges eredményei: Pontszá m
Leírás
Rövid jelentés
Nem releváns, vagy nem lehetett ellenőrízni
N/A
0
Az ellenőrzés nem volt sikeres. A szüksges illetve javasolt paraméter nincs beállítva.
Not OK
1-8
Az eredmény részleges. Összetett, több elemet tartalmazó ellenőrzés esetén bizonyos elemek megfelelnek az elvárásoknak, bizonyosak nem. Amennyiben egy beállítás több értéket is felvehet, nem a Partial legjobb, de még elfogadható érték került beállításra. A magasabb értékek jobbak. A számok általában nem egzakt módon kerülnek kiszámításra, hanem megközelítőleg jelzik az aktuális beállítás megfelelő voltát.
9
Az ellenőrzés sikeres volt. Az adott paraméter a szükséges illetve javasolt értékre van állítva.
OK 03/10/2014
A súlyosság (“Severity”) 20
Egy ellenőrzés eredménye vagy egy javaslat különböző súlyossági kategóriákba eshet: Súlyosság
Leírás
Magas
Az ellenőrzött terület kiemelt fontossággal bír biztonsági szempontból. A javasolt és a valódi értékek közötti eltérés esetén az eltérés az éles indulás előtt illetve a lehető leghamarabb megszüntetendő.
Közepes
Az ellenőrzött terület fontos biztonsági szempontból. A javasolt és a valódi értékek közötti eltérés esetén, ha a biztonságért felelős vezetés és az üzemeltető csapat tudatában van az eltérésnek, dönthetnek úgy, hogy vállalják az éles indulás felelősségét. Az eltérés később is megszüntethető. Legtöbb esetben van lehetőség alternatív megoldás kidolgozására.
Alacsony
Az ellenőrzött területnek alacsony hatása van a biztonságra. Jó, ha nincs eltérés, de ilyen esetben a megszüntetés elhalasztható éles indulás utáni időszakra is. 03/10/2014
Minta részletes jelentés Néhány anonimizált részlet egy ügyfélnél elvégzett biztonsági audit során készült részletes jelentéséből. Kifejezetten IT szakemberek számára készül. Az eredeti 67 oldal.
Check passwords of Oracle database accounts Oracle Default Password Scanner, the utility that queries the Oracle database for accounts that are unlocked (open) and have default passwords. The patch 4943798, provided by Oracle contains this utility. For more information on this tool see: Oracle® Default Password Scanner User’s Guide. Oracle Default Password Scanner checks the database accounts listed in the spreadsheet attached. Executed commands and their results [oracle@AUDTVM004 ktoro]$ sqlplus " / as sysdba" SQL*Plus: Release 11.2.0.3.0 Production on Thu Dec 12 16:10:19 2013 Copyright (c) 1982, 2011, Oracle. All rights reserved. Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production With the Partitioning, OLAP, Data Mining and Real Application Testing options SQL> @patches/4926128/dfltpass.sql no rows selected SQL>
Observations According to the tests none of the checked database schemas have default password. Suggestions None.
File permissions … Suggestion 4. Set file permissions for the database data files*.dbf to 0640. Observations File permissions of the following files are greater than suggested: -rw-r--r-- 1 oracle dba 1048584192 Dec 13 09:34 -rw-r--r-- 1 oracle dba 1048584192 Dec 13 12:05 -rw-r--r-- 1 oracle dba 1048584192 Dec 13 12:10 -rw-r--r-- 1 oracle dba 1048584192 Dec 13 13:10 -rw-r--r-- 1 oracle dba 1048584192 Dec 13 16:20 -rw-r--r-- 1 oracle dba 104865792 Dec 13 09:34 -rw-r--r-- 1 oracle dba 10493952 Dec 13 09:34 -rw-r--r-- 1 oracle dba 18882560 Dec 13 09:34 -rw-r--r-- 1 oracle dba 786440192 Dec 13 09:34 -rw-r--r-- 1 oracle dba 786440192 Dec 13 11:05
system04.dbf system03.dbf system02.dbf system05.dbf system01.dbf portal01.dbf owad01.dbf ctxd01.dbf system06.dbf system07.dbf
Oracle TNS Listener Security Network Add ip restrictions or enable valid node checking Suggestions Valid Node Checking allows or denies access from specified IP addresses to Oracle services. We recommend using a whitelist of IP Addresses that are allowed to make a TCP connection to the database listener. To enable Valid Node Checking, set the following parameters in $TNS_ADMIN/sqlnet.ora: tcp.validnode_checking = YES tcp.invited_nodes = ( X.X.X.X, hostname, ... ) AutoConfig supports automated configuration of this setting. If the profile option “SQLNet Access” (FND_SQLNET_ACCESS) is set to “ALLOW_RESTRICTED” at the Site level when AutoConfig is run on the database server, AutoConfig will add IP restrictions to sqlnet.ora. The list of host will be all those from the FND_NODES table that are registered as an EBS node. Observations $TNS_ADMIN/sqlnet.ora does not contain any recommended settings.
Patch updates I.1 Oracle EBS patch analysis I.1.1 Paches for modules ap, ar, gl, iex and technology related modules: Patch
Product
Prerequisites
Status
Manual Steps?
Reason Recommended
Patch Description
9396831.B
ap
0
Not Applied
No
High Priority Patch
AP_IBY_PMT_MISMATCH CAUSED REMOVAL OF SELECTED INVOICES
10052153.B
ap
0
Not Applied
No
High Priority Patch
LINE ITEM ALLOCATION WINDOW SHOW NO ROWS RETURNED WHEN ALLOCATION WINDOW IS USED
10431161.B
ap
0
Not Applied
No
High Priority Patch
This fix resolves ERROR FRM-40654 While trying to change invoice amount on invoice workbench
11720134.B
ap
0
Not Applied
No
High Priority Patch
This fix resolves error ORA-01422 in Format Payment Instruction if responsibility has access to more than one OU
BY
Súlyozott és pontozott megfigyelési eredmények
Minta vezetői prezentáció Anonimizált részletek egy ügyfélnél elvégzett biztonsági audit eredményeiről szóló prezentációból
30
Your IT Partner in Business Understanding
Security Audit at Client Co. 03/10/2014
Bemutató leszállítandó dokumentumok, nem valódi adatokat tartalmaznak
Summarized scoring of system configuration items 31 Chapter
Severity
Desktop Security
High High
Operating Environment Security
Oracle Application Tier Security
Oracle Database Security
Medium High Medium High Low Medium
High
Low Oracle E-Business Suite Security Medium
Low Oracle TNS Listener Security
Patch updates Grand Total
Medium High Medium
Score Category Partial OK Partial OK Partial Partial OK OK Not OK OK Not OK OK Partial Not OK OK Partial Not OK Partial Not OK OK Partial Not OK OK Not OK OK Partial Partial
Count of Checkings 1 1 5 2 1 1 2 2 1 1 2 3 1 1 2 3 4 1 2 1 1 1 2 1 1 2 1 1 47
Average of Score (0-9) 2 9 4.4 9 6 1 9 9 0 9 0 9 1 0 9 8 0 1 0 9 8 0 9 0 9 3 4 4.89
03/10/2014
Summary of advices for Operations Processes 32
Chapter
Severity
Operating Environment Security
High
2
Medium High Low Medium
4 2 6 1
High
5
Low Medium High Medium
6 3 2 1 32
Oracle Database Security
Oracle E-Business Suite Security
Patch updates Grand Total
Count of Advices
03/10/2014
Configuration errors found 33
Several configuration files of AUDT instance contains references to directories and files named ”LIVE". (i.e. httpd.conf, ssl.conf under $IAS_ORACLE_HOME/Apache/Apache/conf) However these files and directories don't exist (and they are not supposed to exist). The references in the configuration files to these files and directories should be "SIT" in every case. It seems that the AUDT instance has been cloned from an instance named ”LIVE". However the cloining process (perl
/clone/bin/adcfgclone.pl appsTier) has not been finished completely and successfully. These misconfigurations may lead to unexpected behaviours and errors. It is highly recommended to investigate and solve this issue as soon as possible. 03/10/2014
General observations on system configuration AUDT instance seems to be a “default install” Oracle EBS u Default passwords have been changed u Passwords are not weak – according to the tests u There are a few configuration errors – possible due to the incomplete cloning from LIVE u Due to the custom objects created in EBS, database could be a subject of additional licenses. u
03/10/2014
Minta “hőtérkép” 3x3-as mátrixban elhelyezve a megfigyelések: u vízszintesen a súlyosság szerint 3 kategória u függőlegesen pontszám (score) szerint 3 kategória Az alsó sorban jelennek meg a javasoltnak megfelelő beállítások.
Next steps 37
u
u
u
Javasoljuk, hogy a lehető leghamarabb módosítsák azokat a konfigurációkat, paramétereket, amelyek súlyossága magas, és ezzel együtt nagyon alacsony pontszámot kaptak (hőtérkép jobb felső része) Javasoljuk, hogy ütemezzék be a közeljövőben a közepes súlyosságú, alacsony pontszámot elért problémák megoldását. J a v a s o l j u k , h o g y f o g a d j á k m eg a z e g y e s fejezetekben található üzemeltetési folyamatokra vonatkozó tanácsainkat. 03/10/2014
Next steps… 38
u
High severity issues earned the lowest scores:
Chapter
Check
Oracle EBusiness Suite Security
Use Ssl (Https) Between Browser And web Server Recommended & Cri-cal Oracle EBS Patch updates Technology Stack Patches Oracle Configuration Application Tier Healthcheck Security Desktop Security
Update Browser
Operating Environment Security
Cleanup File Ownership And Access
Description
Score (0-9)
Configure your EBS environment to use HTTPS
0
Verify the list of recommended patches Verify the list of patches in Cri-cal Patch Update Knowledge Document
3
Check whether EBS configuration files and context xml are in sync.
1
Update EBS applications tier to support latest version of Java 2 browser plugin Check that the operating system owner of executables matches the 3 operating system user under which 03/10/2014 the files have been installed.
Találkozzunk egy év múlva A kezdeti, állapotfelmérő audit után periodikusan, például évente javasolt egy felülvizsgálat elvégzése.
Köszönöm a figyelmet! Törő Krisztián, technikai igazgató email: [email protected] web: www.ixenit.com
Your IT Partner in Business Understanding 03/10/2014