Mosolygó Ferenc. Értékesítési Konzultáns

Mosolygó Ferenc Értékesítési Konzultáns

[email protected]

Security

A 3 legnagyobb mítosz a biztonságról y A tűzfalak biztonságot teremtenek. – Tény: 40% -a az internetes betöréseknek ott fordul elő ahol már van tűzfal

y Hackerek okozzák a legtöbb betörést. – Tény: több mint 50%-a a támadásoknak “belsősök” műve

y A kódolás biztonságot teremt. – Tény: Az olyan technológiák mint a kódolás, hozzáférés ellenörzés és auditálás, csak a hozzárendelt biztonsági szabályozással együtt alkotják a teljes biztonsági rendszert.

Vállalati biztonsági kérdések y

Az adatok magánjellegűségének és integritásának védelme az adatbázisban és a kommunikáció során

y

Felhasználó menedzsment

y

Felhasználó azonosítás

y

y

Precíz, skálázható, alkalmazás független hozzáférés szabályozás Tevékenységek figyelése, naplózása

10/4/2001

4

Adatbázis felhasználók y Azonosítás – – – –

rendszer adatbázis alkalmazás harmadik fél által (RADIUS)

y Jogok – –

rendszer szintű objektum szintű

y Szerepek

10/4/2001

5

Alkalmazás független jogosúltság kezelés y Jelszóval védett szerepek y tárolt eljárások (függvények, procedúrák,csomagok) y ellenörző triggerek y nézetek

10/4/2001

6

Virtuálisan Privát Adatbázis Alkalmazás szolgáltatók y Oracle8i EE Virtuálisan privát Adatbázis (VPD) sor szintû hozzáférések szabályozásához = application context + finoman szabályozott hozzásférés SELECT * FROM Orders_tab helyette: SELECT * FROM Orders_tab

WHERE Custno = SYS_CONTEXT(’order_entry’,’cust_num’)

y Nem kell az alkalmazást újra írni (Oracle Policy Manager)! 10/4/2001

7

Virtuálisan Privát Adatbázis

Dolgozó

Partner

Virtuálisan privát adatbázis

Oracle8i EE Szállító

Ügyfél

10/4/2001

8

Cimkézett adatbázisok y C2 rendszerek y Cimkézés, sor szintű hozzáférések finom szabályozásához (ISO/IEC 15408 Common Criteria)

y A cimke az adatsor érzékenységét jelöli. – – – –

nem besorolt érzékeny titkos nagyon titkos

y Trusted Oracle

10/4/2001

9

Titkosítás az adatbázisban y Oracle8i PL/SQL Toolkit adatok titkosítására pl.: hitelkártya adatok y TripleDES algoritmus

y DBMS_OBFUSCATION csomag –

DESEncrypt

–

DESDecrypt

10/4/2001

10

Adatbázis audit y Rendszer szintű –

felhasználó

–

objektum

–

sikeres, sikertelen próbálkozások

–

Finoman szabályozható audit

y Alkalmazás szintű –

triggerek

–

napló táblák

10/4/2001

11

Hálózatok védelme

Advanced Security Option

Veszélyek y A hálózatok növekedésével együtt nő azok biztonsági szempontból való fenyegetettsége y Az elektronikus kereskedelem igényli az interneten keresztüli biztonságos pénzügy tranzakciókat y Egyre korszerűbb hálózati szoftverek

Adatlopás, feltörés

Adat tagadás, ismétlés

Adat módosítás

x

Oracle TM Advanced Security Option Titkosítás y Oracle által magasan optimalizált, hordozható DES, RSA RC4 128-, 56- és 40-bites és 3DES algoritmusok nagy sebességű adatátvitelt biztosítanak y A titkosítási kulcs menedzselése teljesen automatikus, nem adminisztrátori feladat

Adat módosítás elleni védelem y Az Oracle Advanced Security Option minden csomagot kiegészít egy sorszámozott titkosított ellenörző végösszeggel, az MD5 ill. az SHA-1 szabványosított algoritmust használva y Automatikusan felismeri: –

Módosítást

–

Csomag ismétlődést

–

Csomag hiányt

Titkosítási és integritási táblázat

Szerver

Kliens

Rejected

Accepted Requested Required

Rejected

OFF

OFF

OFF

Sikertelen kapcsolódás

Accepted

OFF

OFF *

ON

ON

ON

ON

ON

Sikertelen ON kapcsolódás

ON

ON

Requested OFF Required

* Alapértelmezett érték: “Accepted”

19

Authentikációs technikák: 1. Az adatbázis azonosít Kliens

Oracle9i

y Hagyományos felhasználó név/jelszó y Nem skálázható, nincs egyszeri bejentkezés

Authentikációs technikák: 2a. Proxy authentication Kliens

ASO z

z

Oracle9i

Authentication szerver (RADIUS)

ASO

Az adatbázsikezelő továbbítja a kliens azonosítóit az authentikációs szervernek skálázható, egszeri bejelentkezés

Authentikációs technikák: 2b. Proxy authentication Kliens

z

Alkalmazás szerver

Az alkalmazás szerver továbbítja az adatbázsikezelő felő a kliens azonosítóit

Oracle9i

Authentikációs technikák: 3. Ticket/Certificate Kliens

Oracle9i

y Minden kommunikáló fél azonosítása megoldott –

ASO

ASO Auth Server (PKI)

A szerver ellenőrzi a klienst és a kliens is ellenőrzi a szervert

A nyilvános kulcsú kódolás Tulajdonságai: y Egyik kulcs sem következik a másikból y Egyik kulcs által kódolt üzenet csak a másik kulccsal dekódolható

Titkos kulcs

10/4/2001

Nyilvános kulcs

24

A digitális aláírás működése 1 Eredeti dokumentum, amelyet szeretnénk aláírni.

Kivonat készítés

lksrmsleosknmnesp Titkos kulcs

paoel3q2q442lfmns

Eredeti dokumentum, amelyet szeretnénk aláírni.

10/4/2001

paoel3q2q442lfmns

25

A digitális aláírás működése 2 Eredeti dokumentum, amelyet szeretnénk aláírni.

Kivonat készítés

lksrmsleosknmnesp

10/4/2001

paoel3q2q442lfmns

Nyilvános kulcs

?

lksrmsleosknmnesp

26

Tanúsítvány tartalma y Ügyfél nyilvános kulcsa y Ügyfél adatai (DN) y Tanúsítvány sorozat száma y Tanúsítvány lejárati dátuma y Tanúsítvány kiállítója (DN) y Kiállító digitális aláírása 10/4/2001

27

Tanúsítvány kiállítójának tanúsítványa y Tanúsítvány kiállítójának nyilvános kulcsa y Tanúsítvány kiállítójának adatai (DN) y Tanúsítvány kiállítójának digitális aláírása 10/4/2001

28

SSL titkosítás Dolgozó

SSL ••Π∈∼∼∩••

Partner

SSL ••Π∈∼∼∩••

Szállító

SSL

Advanced Security

Oracle8i EE

••Π∈∼∼∩•• ••Π∈∼∼∩••

Dolgozó

SSL ••Π∈∼∼∩•• VISA #

10/4/2001

••Π∈∼∼∩••

29

Internet Directory Server Egyszintű jogosúltság adminisztráció

Directory Services “Flexibilis, speciális célú elosztott adatbázis, alkalmazások széles köre számára, bejegyzés orientált információk tárolására és visszakeresésére”

Adat reprezentáció

dn:uid=bjensen, ou= Sales, o=airius, c=us uid:bjensen password:secret emailAddress: [email protected] mailhost:pop1.airius.com homeTelephoneNumber:555-1212 employeeNumber:13974

LDAP Directory Service Felhasználók Dolgozók Hálózati erõforrások Tárgyalók Eszközök Szolgáltatások

Oracle Internet Directory 







Skálázható –

500< millió felhasználó bejegyzés szerverenként

–

1000< egyidejû felhasználó

LDAP Clients

Folyamatosan elérhetõ –

Szimetrikus replikáció

–

Oracle8i parallel szerver

Biztonságos –

Anonymous Jelszó alapú tanusítvány alapú (SSL)

–

Attribútum szintû hozzáférés szabályozás

Szabvány alapú –

Native LDAPv3 implementáció

–

Oracle rendszer menedzsment eszközökkel való szoros integráció

LDAP over SSL

Directory Administration Oracle8i Database

Oracle Internet Directory Server Net8 Connections

Címtár alapú Oracle termékek: Net8 LDAP Adapter

sales.hu.oracle.com

Where is sales.hu.oracle.com ? Hostname, protocol, port number, database instance, etc... Oracle Net8 Client

Oracle Internet Directory

Enterprise Roles Global Roles

CUSTOMER

Global Roles

MANAGER

Global Roles

Global Roles

TELLER

Security and Directory Integration

Címtár azonosítás Kliens

2. A felhasználó azonosítja magát a tanusítványával Wallet

1. A felhasználó bejelentkezik a kliens gépen és megnyitja a pénztárcát

5. Jogosultságok hozzárendelése a felhasználóhoz

Oracle Net és SSL 3. Egyedi név (DN) keresése a címtárban

Oracle Data Server

4. Szerepek a címtárból

Wallet

Oracle Internet Directory: Vállalati Biztonság Felhasználók, konfigurációs információk és szerepek tárolása Oracle Security Manager

Pénztácák létrehozása Wallet Wallet

Válalati szintű felhasználók és szerepek adminisztrációja

Wallet Wallet

LDAP on SSL Oracle Internet Directory

Wallet Wallet

Certificate Authority

Oracle Wallet Manager

Tanusítványok létrehozása felhasználók, adatbázisok és adminisztrátorok számára

Oracle8i Server

Wallet Wallet

LDAP on SSL

Wallet Wallet

Net8, IIOP on SSL Oracle8i Server

Wallet Wallet

Átfogó biztonság: Azonosítás három rétegű alkalmazások esetén Oracle Internet Directory (LDAP)

Database retrieves authorizations for user, connects user to application schema

User authenticates to middle tier (SSL) Middle tier proxies user identity (DN, Certificate) to database User A User B User C User D User E

Application Server

Oracle9i Server

38

Oracle Internet Architektúra Szolgáltatások ISS behatolás detektor CISCO Router

Végponttól végpontig terjedő biztonságos ebusiness architektúra Web Szerverek Checkpoint Tűzfalak

Szerverek

Hálózat

Internet

E-Mail Szerverek

Kliensek, munkaállomások

49

Vállalati biztonsági kérdések y

Az adatok magánjellegűségének és integritásának védelme az adatbázisban és a kommunikáció során –

–

y

Felhasználó menedzsment –

y

jelszó menedzsment, RADIUS, ASO SSL, authetication proxy,

Precíz, skálázható, alkalmazás független hozzáférés szabályozás –

y

egyszintű felhasználó menedzsment OID-val,

Felhasználó azonosítás –

y

oszlop titkosítás, adatbázis kényszerek, triggerek, tárolt eljárások ASO titkosítási algoritmusok

VPD, Label Security, OID

Tevékenységek figyelése, naplózása –

10/4/2001

Fine Grained Audit

40