Mosolygó Ferenc. Értékesítési Konzultáns.

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Mosolygó Ferenc. Értékesítési Konzultáns. Ferenc.Mosolygo@oracle.com"

Gyula Fazekas
9 évvel ezelőtt
Látták:

1 Mosolygó Ferenc Értékesítési Konzultáns

2 Security

3 A 3 legnagyobb mítosz a biztonságról A tűzfalak biztonságot teremtenek. Tény: 40% -a az internetes betöréseknek ott fordul elő ahol már van tűzfal Hackerek okozzák a legtöbb betörést. Tény: több mint 50%-a a támadásoknak belsősök műve A kódolás biztonságot teremt. Tény: Az olyan technológiák mint a kódolás, hozzáférés ellenörzés és auditálás, csak a hozzárendelt biztonsági szabályozással együtt alkotják a teljes biztonsági rendszert.

4 Vállalati biztonsági kérdések Az adatok magánjellegűségének és integritásának védelme az adatbázisban és a kommunikáció során Felhasználó menedzsment Felhasználó azonosítás Precíz, skálázható, alkalmazás független hozzáférés szabályozás Tevékenységek figyelése, naplózása 10/4/2001 4

5 Adatbázis felhasználók Azonosítás rendszer adatbázis alkalmazás harmadik fél által (RADIUS) Jogok rendszer szintű objektum szintű Szerepek 10/4/2001 5

6 Alkalmazás független jogosúltság kezelés Jelszóval védett szerepek tárolt eljárások (függvények, procedúrák,csomagok) ellenörző triggerek nézetek 10/4/2001 6

7 Virtuálisan Privát Adatbázis Alkalmazás szolgáltatók Oracle8i EE Virtuálisan privát Adatbázis (VPD) sor szintû hozzáférések szabályozásához = application context + finoman szabályozott hozzásférés SELECT * FROM Orders_tab helyette: SELECT * FROM Orders_tab WHERE Custno = SYS_CONTEXT( order_entry, cust_num ) Nem kell az alkalmazást újra írni (Oracle Policy Manager)! 10/4/2001 7

8 Virtuálisan Privát Adatbázis Dolgozó Partner Szállító Virtuálisan privát adatbázis Oracle8i EE Ügyfél 10/4/2001 8

9 Cimkézett adatbázisok C2 rendszerek Cimkézés, sor szintű hozzáférések finom szabályozásához (ISO/IEC Common Criteria) A cimke az adatsor érzékenységét jelöli. nem besorolt érzékeny titkos nagyon titkos Trusted Oracle 10/4/2001 9

10 Titkosítás az adatbázisban Oracle8i PL/SQL Toolkit adatok titkosítására pl.: hitelkártya adatok TripleDES algoritmus DBMS_OBFUSCATION csomag DESEncrypt DESDecrypt 10/4/

11 Adatbázis audit Rendszer szintű felhasználó objektum sikeres, sikertelen próbálkozások Finoman szabályozható audit Alkalmazás szintű triggerek napló táblák 10/4/

12 Hálózatok védelme Advanced Security Option

13 Veszélyek A hálózatok növekedésével együtt nő azok biztonsági szempontból való fenyegetettsége Az elektronikus kereskedelem igényli az interneten keresztüli biztonságos pénzügy tranzakciókat Egyre korszerűbb hálózati szoftverek

14 Adatlopás, feltörés

15 Adat tagadás, ismétlés

16 Adat módosítás x

17 Oracle Advanced Security Option TM Titkosítás Oracle által magasan optimalizált, hordozható DES, RSA RC4 128-, 56- és 40-bites és 3DES algoritmusok nagy sebességű adatátvitelt biztosítanak A titkosítási kulcs menedzselése teljesen automatikus, nem adminisztrátori feladat

18 Adat módosítás elleni védelem Az Oracle Advanced Security Option minden csomagot kiegészít egy sorszámozott titkosított ellenörző végösszeggel, az MD5 ill. az SHA-1 szabványosított algoritmust használva Automatikusan felismeri: Módosítást Csomag ismétlődést Csomag hiányt

19 Titkosítási és integritási táblázat Rejected Kliens Accepted Requested Required Szerver Rejected OFF OFF OFF Sikertelen kapcsolódás Accepted OFF OFF * ON ON Requested OFF ON ON ON Required Sikertelen kapcsolódás ON ON ON * Alapértelmezett érték: Accepted 19

20 Authentikációs technikák: 1. Az adatbázis azonosít Kliens Oracle9i Hagyományos felhasználó név/jelszó Nem skálázható, nincs egyszeri bejentkezés

21 Authentikációs technikák: 2a. Proxy authentication Kliens Oracle9i Authentication szerver (RADIUS) ASO ASO Az adatbázsikezelő továbbítja a kliens azonosítóit az authentikációs szervernek skálázható, egszeri bejelentkezés

22 Authentikációs technikák: 2b. Proxy authentication Kliens Alkalmazás szerver Oracle9i Az alkalmazás szerver továbbítja az adatbázsikezelő felő a kliens azonosítóit

23 Authentikációs technikák: 3. Ticket/Certificate Kliens ASO Auth Server (PKI) Oracle9i ASO Minden kommunikáló fél azonosítása megoldott A szerver ellenőrzi a klienst és a kliens is ellenőrzi a szervert

24 A nyilvános kulcsú kódolás Tulajdonságai: Egyik kulcs sem következik a másikból Egyik kulcs által kódolt üzenet csak a másik kulccsal dekódolható Titkos kulcs Nyilvános kulcs 10/4/

25 A digitális aláírás működése 1 Eredeti dokumentum, amelyet szeretnénk aláírni. Kivonat készítés lksrmsleosknmnesp Titkos kulcs paoel3q2q442lfmns Eredeti dokumentum, amelyet szeretnénk aláírni. paoel3q2q442lfmns 10/4/

26 A digitális aláírás működése 2 Eredeti dokumentum, amelyet szeretnénk aláírni. paoel3q2q442lfmns Kivonat készítés Nyilvános kulcs lksrmsleosknmnesp? lksrmsleosknmnesp 10/4/

27 Tanúsítvány tartalma Ügyfél nyilvános kulcsa Ügyfél adatai (DN) Tanúsítvány sorozat száma Tanúsítvány lejárati dátuma Tanúsítvány kiállítója (DN) Kiállító digitális aláírása 10/4/

28 Tanúsítvány kiállítójának tanúsítványa Tanúsítvány kiállítójának nyilvános kulcsa Tanúsítvány kiállítójának adatai (DN) Tanúsítvány kiállítójának digitális aláírása 10/4/

29 SSL titkosítás Dolgozó SSL Π Partner SSL Π Szállító SSL Π Advanced Security Π Oracle8i EE Dolgozó SSL Π VISA # Π 10/4/

30 Internet Directory Server Egyszintű jogosúltság adminisztráció

31 Directory Services Flexibilis, speciális célú elosztott adatbázis, alkalmazások széles köre számára, bejegyzés orientált információk tárolására és visszakeresésére

32 Adat reprezentáció dn:uid=bjensen, ou= Sales, o=airius, c=us uid:bjensen password:secret address: mailhost:pop1.airius.com hometelephonenumber: employeenumber:13974 LDAP Directory Service Felhasználók Dolgozók Hálózati erõforrások Tárgyalók Eszközök Szolgáltatások

33 Oracle Internet Directory Skálázható 500< millió felhasználó bejegyzés szerverenként 1000< egyidejû felhasználó LDAP Clients Folyamatosan elérhetõ Szimetrikus replikáció Oracle8i parallel szerver Biztonságos Anonymous Jelszó alapú tanusítvány alapú (SSL) Attribútum szintû hozzáférés szabályozás Szabvány alapú LDAP over SSL Directory Administration Oracle Internet Directory Server Net8 Connections Native LDAPv3 implementáció Oracle rendszer menedzsment eszközökkel való szoros integráció Oracle8i Database

34 Címtár alapú Oracle termékek: Net8 LDAP Adapter sales.hu.oracle.com Where is sales.hu.oracle.com? Hostname, protocol, port number, database instance, etc... Oracle Net8 Client Oracle Internet Directory

35 Enterprise Roles Global Roles CUSTOMER Global Roles Global Roles MANAGER Global Roles TELLER

36 Security and Directory Integration Kliens 1. A felhasználó bejelentkezik a kliens gépen és megnyitja a pénztárcát Címtár azonosítás Wallet 2. A felhasználó azonosítja magát a tanusítványával Oracle Net és SSL 3. Egyedi név (DN) keresése a címtárban 4. Szerepek a címtárból 5. Jogosultságok hozzárendelése a felhasználóhoz Oracle Data Server Wallet

37 Oracle Internet Directory: Vállalati Biztonság Oracle Security Manager Válalati szintű felhasználók és szerepek adminisztrációja Wallet Wallet Felhasználók, konfigurációs információk és szerepek tárolása Oracle Internet Directory Wallet Pénztácák létrehozása LDAP on SSL LDAP on SSL Wallet Oracle8i Server Oracle Wallet Manager Wallet Net8, IIOP on SSL Certificate Authority Tanusítványok létrehozása felhasználók, adatbázisok és adminisztrátorok számára Oracle8i Server Wallet

38 Átfogó biztonság: Azonosítás három rétegű alkalmazások esetén User authenticates to middle tier (SSL) Oracle Internet Directory (LDAP) Database retrieves authorizations for user, connects user to application schema Middle tier proxies user identity (DN, Certificate) to database User A User B User C User D User E Application Server Oracle9i Server 38

39 Oracle Internet Architektúra Szolgáltatások ISS behatolás detektor CISCO Router Végponttól végpontig terjedő biztonságos ebusiness architektúra Web SzerverekCheckpoint Tűzfalak Szerverek Internet Hálózat Szerverek Kliensek, munkaállomások 49

40 Vállalati biztonsági kérdések Az adatok magánjellegűségének és integritásának védelme az adatbázisban és a kommunikáció során oszlop titkosítás, adatbázis kényszerek, triggerek, tárolt eljárások ASO titkosítási algoritmusok Felhasználó menedzsment egyszintű felhasználó menedzsment OID-val, Felhasználó azonosítás jelszó menedzsment, RADIUS, ASO SSL, authetication proxy, Precíz, skálázható, alkalmazás független hozzáférés szabályozás VPD, Label Security, OID Tevékenységek figyelése, naplózása Fine Grained Audit 10/4/

Hasonló dokumentumok

Titkok. Oracle adatbázisok proaktív es reaktív védelmi eszközei. Mosolygó Ferenc, vezetı technológiai tanácsadó. <Insert Picture Here>

Titkok. Oracle adatbázisok proaktív es reaktív védelmi eszközei. Mosolygó Ferenc, vezetı technológiai tanácsadó. <Insert Picture Here> Titkok Belsı támadások Törvényi elıírások Oracle adatbázisok proaktív es reaktív védelmi eszközei Mosolygó Ferenc, vezetı technológiai tanácsadó Proaktív és reaktív védelem Proaktív