Oracle Audit Vault and Database Firewall Gecseg Gyula Oracle DBA
TÖBB FENYEGETETTSÉG MINT VALAHA
TÖBB FENYEGETETTSÉG MINT VALAHA A támadások 70%-a tűzfalon belülről jön A támadások 90%-át hozzáféréssel rendelkező alkalmazottak követik el Az előírások száma legyenek EU, állami, helyi, pénzügyi, anyacég általi évről évre folyamatosan nő Az előírásoknak meg kell felelni, és ezt bizonyítani is kell Az előírásoknak való megfelelés költségei rendkívül magasak Jelentések és auditok: a nem megfelelő cégek aránya rendkívül magas
MIÉRT AUDITÁ LJUNK? Biztosítsuk az érzékeny adatok védelmét, így fenntarthatjuk az ügyfelek bizalmát, és megóvjuk az üzleti/intézményi érdekeket. Az alkalmazottak csak a munkájuk elvégzéséhez szükséges tevékenységet végezzék: Felhasználók tevékenységének követése Felhasználók jogosultságait a feladataikkal legyen összhangba A törvényi előírások bizonyos tevékenységi kör esetén megkövetelik a privilegizált felhasználók monitorozását
ADATBÁZISOK ÉS ALKALMAZÁSOK AUDITJA Miért követelik meg az auditorok az adatbázisok auditálását? Nyomon követhető, a privilegizált alkalmazás felhasználók nem szokványos tevékenysége Ellenőrizhető, hogy az alkalmazásba épített hozzáférési jogokkal, nem próbál-e valaki visszaélni Nyomon követhető, hogy a nem privilegizált felhasználók által használt technikai azonosítókkal nem élnek-e vissza
AZ ORACLE AUDIT VAULT AND DATABASE FIREWALL RENDSZER FELÉPÍTÉSE
ORACLE AUDIT VAULT AND DATABASE FIREWALL AUDITÁLÁSI SZOLGÁLTATÁSAI Auditálási szolgáltatások: Tűzfal szabályok Audit stratégia az Oracle adatbázisok számára Azonnali riportok ill. időzített riportok készítése Jogosultság szerinti auditálás az Oracle adatbázisok számára Tárolt eljárások auditálása Képernyő riasztások, Email értesítések küldése
ORACLE AUDIT VAULT AND DATABASE FIREWALL SZOLGÁLTATÁSAI Adminisztratív szolgáltatások: Biztonságos kapcsolat a cél adatbázisokkal Adatbázis tűzfal Magas rendelkezésre állás Másik gyártó adatbázis kezelőjének beintegrálása Audit Vault Agent deployment (különböző operációs rendszereken Audit trail collection Az auditált adatok életciklusáról való gondoskodás(archiving, purging)
Oracle Audit Vault and Database Firewall telepítése és konfigurálása
Az Audit Vault and Database Firewall letöltése telepítése egyszerű (Network config) a telepítés során kért passphrase jelszót nagyon meg kell jegyezni!!!
Oracle Audit Vault Server Enterprise Architecture
Audit Vault Szerver ssh kulcs kijelölése
Audit Vault Firewall ssh kulcs bemásolása
A Database Firewall regisztrálása
Oracle Audit Vault Server Enterprise Architecture
Audit Vault Szerver host felvétele
Audit Vault Szerver biztonságos cél adatbázis felvétele
Audit Vault Szerver enforcement pont kijelölése Oracle Database esetén
Audit Vault Szerver enforcement pont kijelölése MS SQL Database esetén
ORACLE AUDIT VAULT AND DATABASE FIREWALL DPE (Database Policy Enforcement) mód: monitorozza az SQL forgalmat, vizsgálja a behelyezett SQL utasítás mintát, ha ilyet talál riaszt, és blokkol. DAM (Database Activity Monitoring) mód: monitorozza az SQL forgalmat, vizsgálja a behelyezett SQL utasítás mintát, ha ilyet talál riaszt, és blokkol.
Audit Vault Server Audit Trails felvétele Oracle Database esetén
Audit Vault Server Audit Trails felvétele MS SQL Database esetén
AGENT-EK TELEPÍTÉSE
Audit Vault Server Audit agent letöltés
Audit Vault Server Audit agent telepítés Linux Szerveren
Audit Vault Server Audit az agent helyes működése esetén
A cél Szerveren elvégzendő jogosultsági beállítások SQL> connect sys / as sysdba SQL> create user avauditor SQL> @ oracle_user_setup.sql username mode mode: SETUP: Privilégiumot állít be az Oracle Audit policy számára az AVDFből, és összegyűjti az adatokat az audit trail számára a REDO logok kivételével. REDO_COLL: Privilégiumot állít be, hogy összegyűjtsön adatokat a REDO logokból. Ebben a módban csak a TRANSACTION LOG-kat látjuk majd az audit trail-en keresztül SPA: Engedi a tárolt procedurák auditálását ENTITLEMENT: Engedélyezi a felhasználói jogosultság tiltását az adatbázisban
Az Oracle cél Szerveren elvégzendő audit beállítások SQL> alter system set AUDIT_TRAIL=db, extended scope=spfile; SQL> alter system set AUDIT_TRAIL=xml, extended scope=spfile; SQL> alter system set AUDIT_TRAIL=db scope=spfile; Engedélyezzük a sys műveletet SQL> alter system set audit_sys_operations; Ellenőrzés: SQL> show parameter audit_sys_operations; SQL> show parameter AUDIT_TRAIL; Néhány példa audit szabályok létrehozására: SQL> audit all on kovacs.konyv; SQL> audit create table, alter user, create user, drop user; SQL> audit select, update, insert, delete on kovacs.konyv by access; Fine-Grained Auditálás (FGA)
Az Oracle cél szerveren elvégzendő audit beállítások Fine-Grained Auditálás (FGA) begin dbms_fga.add_policy( object_schema => NYILVANOS', object_name => KONYV', policy_name => DRAGA_KONYVEK', audit_condition => KONYV_KISKER_AR>=50', audit_column => KONYV_CIM', handler_schema => null, handler_module => null, enable => true ); end; /
Audit Vault Server Audit agent telepítés Windows Szerverre
Audit Vault Server Audit agent indítás Windows Szerveren
Audit Vault Server Audit az agent helyes működése esetén
Audit Vault Server Audit beállítás MS SQL Serveren Auditálás engedélyezése: Log in to sa user
Audit Vault Server Audit beállítás MS SQL Serveren Auditálási szabály beállítása: security>audits> add new Server Audits specification
Audit Vault Server Audit beállítás az MS SQL Serveren - Create user avauditor Enforce password policy option=off - Futtatni kell az alábbi script-et sqlcmd U sa i mssql_user_setup.sql v username= avauditor mode= AUDIT_COLL all_database= NA database= NA
ORACLE AUDIT VAULT AND DATABASE FIREWALL HASZNÁLATA
Audit Vault Server Audit belépés avauditor user-el
Audit Vault Server Audit avauditor secured targets
Audit Vault Server Audit avauditor secured targets
Audit Vault Server Audit avauditor Reports > Audit Reports
Audit Vault Server Audit avauditor Reports > Audit Reports-All Activity
Audit Vault Server avauditor Reports > Audit Reports-User Login and Logout
Audit Vault Server Audit avauditor Reports > Audit Reports-All Activity > szűrés KOVACS user -re
Audit Vault Server Audit avauditor Policy > Firewall Policy > Create Policy
Audit Vault Server Audit avauditor Policy > Firewall Policy > Create Policy
Audit Vault Server Audit avauditor Policy Firewall Policy > Create Policy
Audit Vault Server Audit avauditor Policy Firewall Policy > Create Policy
Audit Vault Server Audit avauditor Policy > Firewall Policy > Create Policy > Database User Sets
Audit Vault Server Audit avauditor Policy > Firewall Policy > Create Policy > Database User Sets
Audit Vault Server Audit avauditor Policy > Firewall Policies > Create Policy > Policy Overview> Sets
Audit Vault Server Audit avauditor Policy > Firewall Policies > Create Policy > Exception Rule
Audit Vault Server Audit avauditor Secured Targets > Secured Target Details
Audit Vault Server Audit avauditor tevékenységi kör szétválasztás
Audit Vault Server Audit avauditor Reports > All Activity Report
Audit Vault Server Audit avauditor Reports > All Activity Report
Ha a témával kapcsolatban van kérdésetek, azt a gyula.gecseg@invitel.hu e-mail címre küldjétek!