Oracle Audit Vault and Database Firewall
Gecseg Gyula Oracle DBA
TÖBB FENYEGETETTSÉG MINT VALAHA
TÖBB FENYEGETETTSÉG MINT VALAHA • A támadások 70%-a tűzfalon belülről jön • A támadások 90%-át hozzáféréssel rendelkező alkalmazottak követik el • Az előírások száma – legyenek EU, állami, helyi, pénzügyi, anyacég általi – évről évre folyamatosan nő • Az előírásoknak meg kell felelni, és ezt bizonyítani is kell • Az előírásoknak való megfelelés költségei rendkívül magasak • Jelentések és auditok: a nem megfelelő cégek aránya rendkívül magas
MIÉRT AUDITÁLJUNK? • Biztosítsuk az érzékeny adatok védelmét, így fenntarthatjuk az ügyfelek bizalmát, és megóvjuk az üzleti/intézményi érdekeket. • Az alkalmazottak csak a munkájuk elvégzéséhez szükséges tevékenységet végezzék: • Felhasználók tevékenységének követése • Felhasználók jogosultságait a feladataikkal legyen összhangba • A törvényi előírások – bizonyos tevékenységi kör esetén megkövetelik a privilegizált felhasználók monitorozását
ADATBÁZISOK ÉS ALKALMAZÁSOK AUDITJA • Miért követelik meg az auditorok az adatbázisok auditálását? • Nyomon követhető, a privilegizált alkalmazás felhasználók nem szokványos tevékenysége • Ellenőrizhető, hogy az alkalmazásba épített hozzáférési jogokkal, nem próbál-e valaki visszaélni • Nyomon követhető, hogy a nem privilegizált felhasználók által használt technikai azonosítókkal nem élnek-e vissza
AZ ORACLE AUDIT VAULT AND DATABASE FIREWALL RENDSZER FELÉPÍTÉSE
ORACLE AUDIT VAULT AND DATABASE FIREWALL AUDITÁLÁSI SZOLGÁLTATÁSAI • Auditálási szolgáltatások: • Tűzfal szabályok • Audit stratégia az Oracle adatbázisok számára • Azonnali riportok ill. időzített riportok készítése • Jogosultság szerinti auditálás az Oracle adatbázisok számára • Tárolt eljárások auditálása • Képernyő riasztások, Email értesítések küldése
ORACLE AUDIT VAULT AND DATABASE FIREWALL SZOLGÁLTATÁSAI • Adminisztratív szolgáltatások: • Biztonságos kapcsolat a cél adatbázisokkal • Adatbázis tűzfal • Magas rendelkezésre állás • Másik gyártó adatbázis kezelőjének beintegrálása • Audit Vault Agent deployment (különböző operációs rendszereken • Audit trail collection • Az auditált adatok életciklusáról való gondoskodás(archiving, purging)
Oracle Audit Vault and Database Firewall telepítése és konfigurálása
• Az Audit Vault and Database Firewall letöltése telepítése egyszerű (Network config) a telepítés során kért passphrase jelszót nagyon meg kell jegyezni!!!
Oracle Audit Vault Server Enterprise Architecture
Audit Vault Szerver ssh kulcs kijelölése
Audit Vault Firewall ssh kulcs bemásolása
A Database Firewall regisztrálása
Oracle Audit Vault Server Enterprise Architecture
Audit Vault Szerver host felvétele
Audit Vault Szerver biztonságos cél adatbázis felvétele
Audit Vault Szerver enforcement pont kijelölése Oracle Database esetén
Audit Vault Szerver enforcement pont kijelölése MS SQL Database esetén
ORACLE AUDIT VAULT AND DATABASE FIREWALL • DPE (Database Policy Enforcement) mód: monitorozza az SQL forgalmat, vizsgálja a behelyezett SQL utasítás mintát, ha ilyet talál riaszt, és blokkol. • DAM (Database Activity Monitoring) mód: monitorozza az SQL forgalmat, vizsgálja a behelyezett SQL utasítás mintát, ha ilyet talál riaszt, és blokkol.
Audit Vault Server Audit Trails felvétele Oracle Database esetén
Audit Vault Server Audit Trails felvétele MS SQL Database esetén
AGENT-EK TELEPÍTÉSE
Audit Vault Server Audit agent letöltés
Audit Vault Server Audit agent telepítés Linux Szerveren
Audit Vault Server Audit az agent helyes működése esetén
A cél Szerveren elvégzendő jogosultsági beállítások SQL> connect sys / as sysdba SQL> create user avauditor SQL> @ oracle_user_setup.sql username mode mode: SETUP: Privilégiumot állít be az Oracle Audit policy számára az AVDFből, és összegyűjti az adatokat az audit trail számára a REDO logok kivételével. REDO_COLL: Privilégiumot állít be, hogy összegyűjtsön adatokat a REDO logokból. Ebben a módban csak a TRANSACTION LOG-kat látjuk majd az audit trail-en keresztül SPA: Engedi a tárolt procedurák auditálását ENTITLEMENT: Engedélyezi a felhasználói jogosultság tiltását az adatbázisban
Az Oracle cél Szerveren elvégzendő audit beállítások SQL> alter system set AUDIT_TRAIL=db, extended scope=spfile; SQL> alter system set AUDIT_TRAIL=xml, extended scope=spfile; SQL> alter system set AUDIT_TRAIL=db scope=spfile; Engedélyezzük a sys műveletet SQL> alter system set audit_sys_operations; Ellenőrzés: SQL> show parameter audit_sys_operations; SQL> show parameter AUDIT_TRAIL; Néhány példa audit szabályok létrehozására: SQL> audit all on kovacs.konyv; SQL> audit create table, alter user, create user, drop user; SQL> audit select, update, insert, delete on kovacs.konyv by access; Fine-Grained Auditálás (FGA)
Az Oracle cél szerveren elvégzendő audit beállítások Fine-Grained Auditálás (FGA)
begin dbms_fga.add_policy( object_schema => ‚NYILVANOS', object_name => ‚KONYV', policy_name => ‚DRAGA_KONYVEK', audit_condition => ‚KONYV_KISKER_AR>=50', audit_column => ‚KONYV_CIM', handler_schema => null, handler_module => null, enable => true ); end; /
Audit Vault Server Audit agent telepítés Windows Szerverre
Audit Vault Server Audit agent indítás Windows Szerveren
Audit Vault Server Audit az agent helyes működése esetén
Audit Vault Server Audit beállítás MS SQL Serveren Auditálás engedélyezése: Log in to „sa”user
Audit Vault Server Audit beállítás MS SQL Serveren Auditálási szabály beállítása: security>Audits> add new ”Server Audits specification”
Audit Vault Server Audit beállítás az MS SQL Serveren
- Create user avauditor „Enforce password policy” option=off - Futtatni kell az alábbi script-et sqlcmd –U sa –i mssql_user_setup.sql –v username= ”avauditor” mode=”AUDIT_COLL” all_database=”NA” database=”NA”
ORACLE AUDIT VAULT AND DATABASE FIREWALL HASZNÁLATA
Audit Vault Server Audit belépés avauditor user-el
Audit Vault Server Audit avauditor „secured targets”
Audit Vault Server Audit avauditor „secured targets”
Audit Vault Server Audit avauditor „Reports > Audit Reports”
Audit Vault Server Audit avauditor „Reports > Audit Reports-All Activity”
Audit Vault Server avauditor „Reports > Audit Reports-User Login and Logout”
Audit Vault Server Audit avauditor „Reports > Audit Reports-All Activity > szűrés ’KOVACS’ user -re”
Audit Vault Server Audit avauditor „Policy > Firewall Policy > Create Policy”
Audit Vault Server Audit avauditor „Policy > Firewall Policy > Create Policy”
Audit Vault Server Audit avauditor „Policy – Firewall Policy > Create Policy”
Audit Vault Server Audit avauditor „Policy – Firewall Policy > Create Policy”
Audit Vault Server Audit avauditor „Policy > Firewall Policy > Create Policy > Database User Sets”
Audit Vault Server Audit avauditor „Policy > Firewall Policy > Create Policy > Database User Sets”
Audit Vault Server Audit avauditor „Policy > Firewall Policies > Create Policy > Policy Overview> Sets”
Audit Vault Server Audit avauditor „Policy > Firewall Policies > Create Policy > Exception Rule”
Audit Vault Server Audit avauditor „Secured Targets > Secured Target Details”
Audit Vault Server Audit avauditor tevékenységi kör szétválasztás
Audit Vault Server Audit avauditor ” Reports > All Activity Report”
Audit Vault Server Audit avauditor ” Reports > All Activity Report”
Ha a témával kapcsolatban van kérdésetek, azt a
[email protected] e-mail címre küldjétek!
