Hardening Oracle Databases (German)

1,702
-1

Published on

This short presentation gives an overview of possibilities how to harden an Oracle database. This presentation is in German.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,702
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Hardening Oracle Databases (German)

  1. 1. DTCC Pre-Sales “DB Hardening” und Oracle Security Pre-Version 1.0Carsten Mützlitz
  2. 2. Grundbedrohungen der IT sind nachwievor gegeben VorbemerkungenVerlust der Vertraulichkeit Verlust der Verfügbarkeit- Netzverkehr abhören - Ausfall (sniffer attacks) - Zerstörung- „Knacken“ kryptographischer Schlüssel und Verfahren - Unterbrechung von Diensten (code breaking/key recovery) (denial of service) durch:- Angriffe auf Kennwörter - ping of death (password guessing/ Mobile Teleworking - ICMP attacks cracking) Computing INTERNET - SYN flooding, etc.- Falsche Rechte-Konzept Corporate Corporate Network Network- Verarbeitungs-, Übertragungs- - Rechtsverbindlichkeit und Speicherfehler elektronisch abgeschlossener Verträge, wie z.B. per:- Manipulation von Daten z. B. • Schlagwörter die als - Fax, E-Mail durch spoofing attacks: Bedrohung eingestuft - ip spoofing (IP fälschen) werden sind: - Electronic Commerce • Hacker, Fremdpersonal, - Gesetzesauflagen - DNS spoofing (Fälschung eigenes Personal, von DNS-Einträgen) - Risiko-Früherkennung • Fehler, Ausfälle, - web spoofing (Fälschen • Fernwartung und - Authentizitätscheck (Who) von Webseiten) • WirtschaftsspionageVerlust der Integrität • u.v.m. Verlust der Verbindlichkeit Eine Überwachung ist notwendig, um zu erkennen, ob eine Grundbedrohung ein Risiko darstellt.
  3. 3. IT wird HEUTE in das Risikomanagement einbezogen Darüber besteht heute weitgehend Konsens Die IT als Bestandteil des Risikomanagements • Die zunehmende Technologieabhängigkeit führt dazu, dass die IT-Systeme in die Risikobetrachtung miteinbezogen werden • IT Risikofaktoren sind Auswirkungen/Maßnahmen • Sicherheit: Angriffe, Schadcode, Aktuelle Hard/Software, Regularien, moderne Unautorisierte Zugriffe Sicherheitseinrichtungen • Verfügbarkeit: Ausfälle, Downtimes, Redundante Auslegung der Systeme, Wartung etc. Backup/Recovery, Spiegelung, Virtualisierung • Performance: Produktivität der Skalierung von IT Systemen, Nutzung von Endanwender/Kunden, Kundenverluste Peaks, Grids • Compliance: Einhaltung von Aufbewahrungspflicht, Sorgfaltsanforderungen, behördlichen und sonstigen Vorschriften Überwachung, Kontrolle • Erweiterte Haftung: KontraG, Risikofrüherkennung, IT Infrastruktur muss alle Transparenzschaffung im Jahresbericht Anforderungen erfüllen, Prozesse • Ansätze des IT-Service Managements ITIL, ISO/IEC 17799, ISO 2000, Cobit sollen unterstützen IT Sicherheit/Compliance System GovernanceAutomatisierte Risikomanagement Prozesse können unterstützen: Analyse, Bewertung, Minimierung, Kontrolle, Verfolgung.
  4. 4. Einführung in das Härten vonDatenbanken• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen
  5. 5. Härten = Die Sicherheit eines Systems erhöhen Kleine Auswahl von MöglichkeitenHärtung Erläuterung • Unter Härten versteht man, die Sicherheit eines Systems zu erhöhen. Bas BSI sagt: Definition „...die Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind...“. • Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten • Minimierung der möglichen Angriffsmethoden • Beschränkung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung Ziele stehenden Werkzeuge • Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Privilegien • Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs • Nebenziel: Komplexität verringern • Entfernung/Deaktivierung von für den Betrieb nicht zwingend erforderlichen Softwarekomponenten • Verwendung unprivilegierter Benutzerkonten zur Ausführung von Server-Prozessen • Anpassung von Dateisystemrechten und ihrer Vererbung • Verwendung von chroot oder anderen Jails für die Ausführung von Software Methoden • Verwendung von Mandatory Access Control • Nutzung von Verschlüsselung, z.B. für die Datenübertragung • Verwendung möglichst fehlerfreier Software ohne bekannte Verwundbarkeiten • Backup Recovery, Deployment, Testing • Einheitliche Admin-Umgebung, Überwachung, SLAs
  6. 6. Einführung in das Härten vonDatenbanken• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen
  7. 7. Welche Tools existieren für das Härten von DBs? Kleine Auswahl von Möglichkeiten Wissen Dokumente und Checklisten Tools• Wissen schützt immer • Im Internet vorhanden • Security Scanner• Fortbildungen • Oracle Standard • 3rd Party sind Pflicht Listen • Oracle Tools Egal welche Tools man nutzt. Das Härten von DB-Systemen ist ein manueller Vorgang, der jedoch durch den Einsatz von Tools unterstützt UNBREAKABLE DATABASE werden kann. Das Härten von DB-Systemen erfordert ein umfangreiches Wissen.
  8. 8. Dokumente und Checklisten In der virtuellen Welt stehen verschiedene Dokumente zur VerfügungDokumente Erläuterung • Oracle Standard Dokumentation 11g Security Guide, Sec. Checklist 10g Oracle • Oracle Projekt Lockdown (Oracle Magazin): • Technical Whitepaper: „Security Checkliste“ : • Zahlreiche Blogs von Security Experten Öffentlich (privat) • Internet googeln • Bundesamt für Sicherheit in der Informationstechnik • Beratungsunternehmen 3rd Parties (Business) • Softwarehersteller • Oracle Partnerunternehmen • Freiberufliche Berater Oracle liefert einigen Content ...
  9. 9. Oracle Tool: Der Enterprise ManagerConfiguration Management Pack
  10. 10. Oracle Configuration ManagementSchwachstellen Begutachtung & Sichere Konfiguration Monitor Discover Classify Assess Prioritize Fix Monitor Asset Configuration Policy Vulnerability Analysis & Management Management Management Management Analytics & Audit • Datenbank Erkenntnisse darstellen (Reporting) • Andauerndes Scanning von 375+ Best-Practices und Industriestandards (“erweiterbar”) • Aufdecken und verhindern unautorisierte Konfigurationsänderungen • Änderungsmanagement Compliance Reports 11
  11. 11. Einführung in das Härten vonDatenbanken• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen
  12. 12. Das HÄRTEN vermindert das Risiko Ein Risiko bewertet man durch eine Bedrohungs- und Risikoanalyse Risiko vs. Kosten Hoch Risiko ?Nicht gehärtetes System? ?Gehärtetes System? Geringe Kosten Hohe Kosten Hohes Risiko geringes Risiko Gering Kosten HochZiel: Unwahrscheinlichkeit erhöhen, dass Risiko eintritt, bzw. die Folgen abgemildert werden. Fazit: Risiken erkennt man durch Überwachnung!!!
  13. 13. Einführung in das Härten vonDatenbanken• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen
  14. 14. Oracle Security LösungenZur Maßnahmenumsetzung und Überwachung Verschlüsselung / Maskierung • Oracle Advanced Security • Oracle Secure Backup • Oracle Data Masking Zugriffskontrolle • Oracle Database Vault • Oracle Label Security Audit und Tracking • Oracle Audit Vault • Oracle Configuration Management • Oracle Total Recall Monitoring und Blocking • Oracle Database Firewall
  15. 15. Digitally signed by CarstenCarstenMützlitz DN: cn=Carsten Mützlitz, c=DE, o=Oracle Deutschland, ou=Systemberatung, email=carsten.muetzlitz@oraclMützlitz e.com Date: 2011.04.28 08:28:03 +0100
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×