Formsday2020: Sicherheitsaspekte (WAN/CLOUD)...20.02.2020 Formsday2020: Forms -Sicherheitsaspekte 1 Formsday2020: Sicherheitsaspekte (WAN/CLOUD) Frank Hoffmann, Cologne Data GmbH Erstes

20.02.2020 1Formsday2020: Forms-Sicherheitsaspekte

Formsday2020: Sicherheitsaspekte (WAN/CLOUD)

Frank Hoffmann, Cologne Data GmbH

Erstes Oracle Forms Anwendertreffen 1982

2

Kurze Firmenvorstellung:Wie dient Cologne Data der Forms-Community?

20.02.2020 Formsday2020: Forms-Sicherheitsaspekte

3

Wir sind aktiv auf den Forms Community Seiten (1/4)https://community.oracle.com/community/groundbreakers/development_tools/forms/overviewhttps://community.oracle.com/community/other-languages/german/forms-developer-community/overview


und gehören zu den TOP10 Experten weltweit..

https://community.oracle.com/community/groundbreakers/development_tools/forms/overviewhttps://community.oracle.com/community/other-languages/german/forms-developer-community/overview

4

Wir führen einen Forms-Modernisierungsblog: (2/4)https://community.oracle.com/blogs/oracleforms/


https://community.oracle.com/blogs/oracleforms/

5

Wir betreiben einen Demo-Live Server (3/4)https://forms-demo.com


https://forms-demo.com/

6

Wir publizieren Forms-Fachartikel: (4/4)Autor diverser Artikel über FORMS (WIKPEDIA/DOAG/EOUG)https://de.wikipedia.org/wiki/Oracle_Formshttp://www.oraworld.org/fileadmin/documents/16-ORAWORLD.pdfhttp://www.oraworld.org/fileadmin/documents/17-ORAWORLD.pdf

https://backoffice.doag.org/formes/pubfiles/11309466/docs/Presse/2019/2019-05-22_DOAG_Oracle_Forms_Petition_Info.pdf


https://de.wikipedia.org/wiki/Oracle_Formshttp://www.oraworld.org/fileadmin/documents/16-ORAWORLD.pdfhttp://www.oraworld.org/fileadmin/documents/17-ORAWORLD.pdfhttps://backoffice.doag.org/formes/pubfiles/11309466/docs/Presse/2019/2019-05-22_DOAG_Oracle_Forms_Petition_Info.pdf

7

Wie dient Cologne Data seinen Forms-Kunden?


8

Wir bieten Forms Consulting Services (1/3)

Beispiel: Forms Migration und native Modernisierung mit Forms API Master


6i 12c

9

Wir beraten in komplexen Projekten (2/3)

3rd level Forms-support für komplexe Lösungen


10

Wir führen Forms Installationen für Sie durch (3/3)

Forms Installationssupport (Cloud / On-Premise)


11

Warum reden wir über Sicherheitsaspekte?



Informationen müssen verteidigt werden. Dafür braucht es neue Systeme oder Lösungen.

Es kann nicht sein, dass Personen diesen Krieg gegen Computer führen.

Es können nur Computer gegen Computer antreten.

Wir brauchen einen intelligenten Schutz und dürfen uns keine Fehler erlauben!

13

Sicherheitsaspekte (Interne/Externe Gefahren)

Große Firmen haben einen CISO (Chief-Information-Security-Officer) für diese Aufgabe. Bei kleinen Firmen müssen Sicherheitsbeauftragte bestimmt werden.

Hier ein paar Beispielaufgaben für CISO oder Sicherheitsbeauftragte:

1. Legen Sicherheitsrichtlinien fest (Software, Passwörter, Zugänge)2. Führen Sicherheits-Schulungen für Anwender durch (z.B. Umgang mit Emails)3. Arbeiten mit den Netzwerkexperten und Administratoren eng zusammen4. Überwachen BSI Meldungen (Java Warnungen, Updateempfehlungen)5. Prüfen Software und Hardwareinstallationen

Wer kümmert sich bei Ihnen um den Schutz Ihrer Server und Daten?


14

Sicherheitsaspekte (Interne/Externe Gefahren)


Netz B

Netz D

Netz A

Netz CPROD

5.000 User, 32 Netze

1

1

1

15

Kennen Sie die Nutzung Ihrer Applikation?


0

1000

2000

3000

4000

5000

6000

7000

8000

9000

00:0

0 - 0

1:00

01:0

0 - 0

2:00

02:0

0 - 0

3:00

03:0

0 - 0

4:00

04:0

0 - 0

5:00

05:0

0 - 0

6:00

06:0

0 - 0

7:00

07:0

0 - 0

8:00

08:0

0 - 0

9:00

09:0

0 - 1

0:00

10:0

0 - 1

1:00

11:0

0 - 1

2:00

12:0

0 - 1

3:00

13:0

0 - 1

4:00

14:0

0 - 1

5:00

15:0

0 - 1

6:00

16:0

0 - 1

7:00

17:0

0 - 1

8:00

18:0

0 - 1

9:00

19:0

0 - 2

0:00

20:0

0 - 2

1:00

21:0

0 - 2

2:00

22:0

0 - 2

3:00

23:0

0 - 0

0:00

Verteilung der Datenbankanmeldungen

02000400060008000

1000012000140001600018000

MONTAG DIENSTAG MITTWOCH DONNERSTAG FREITAG SAMSTAG SONNTAG

Verteilung über Wochentage

0

10000

20000

30000

40000

50000

60000

70000

80000

90000

100000

2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019

Forms Applikationsaufrufe pro Woche (5.000 User 32 Standorte)

16

Kennen Sie den Fingerabdruck Ihrer Formsanwender(innen)???

Land DEClient Host ZDX2637 Client IP 192.168.1.77Windowsprofil hoffmannfDatenbankuser fhKonfiguration forms_demo0001Java-Version 1.8_241


Lösung:

Fingerprint of a user (client host, client user, user language..)get_application_property(CONFIG))webutil_clientinfo.get_java_versionwebutil_clientinfo.GET_host_name || ' : ' || webutil_clientinfo.GET_SYSTEM_PROPERTY('user.name') || ' ' || webutil_clientinfo.GET_SYSTEM_PROPERTY('user.language‘)webutil_clientinfo.GET_IP_ADDRESS

17

Wir setzen einen Anwender Fingerprint in der Datenbanksession. Damit haben wir eine transparente Übersicht alle aktiven Formsuser.

Lösung: DBMS_APPLICATION_INFO.SET_CLIENT_INFO


select username,program,module,client_info from v$session where program like 'frmweb%'

Username program module client_infoCD_DEMO_OWNER frmweb.exe WEBUTIL_DEMO ZDX2637 : fhoffmann de

Wisst Ihr wer gerade auf der Datenbank arbeitet?

18

Welche Sicherheits-Regeln sollen eingehalten werden?1. Anwender(in) darf sich nicht mehr als 10 mal pro Stunde falsch anmelden2. Anwender(in) darf sich nur zwischen 6:00 und 23:00 anmelden3. Anwender(in) darf sich nicht mit einem Datenbankaccount von zwei verschiedenen Standorten anmelden4. Anwender(in) muss mit Fingerabdruck in einer Whitelist stehen (bei erhöhter Sicherheit)5. Anwender(in) darf nur eine begrenzte Anzahl von Sessions starten6. Anwender(in) darf nie mehr als 80% Datenbankressourcen bekommen7. Anwender(in) wird nach einer Zeit der Inaktivität automatisch abgemeldet8. Anwender(in) darf sich nur unter einer Applikationskennungen anmelden (kein SYS, SYSTEM etc.)9. Anwender(in) darf die Aufrufparameter der Formsanwendung nicht ändern (Parameterprüfung und Schutz)10.Anwender(in) muss 5-10 Sekunden nach Eingabe eines falschen Passworts warten11.Anwender(in) darf sich nicht mit verschiedenen Datenbankkennungen anmelden12.Anwender(in) darf sich nur mit einer aktuellen Java Version anmelden13.Anwender(in) darf sich nur mit aktuellen SSL Protokollen anmelden14.Anwender(in) darf sich nur mit original DLLs anmelden (jacob.dll etc.)15.Anwender(in) darf Forms nur mit eingeschränkten Konfigurationsparametern aufrufen 16.Anwender(in) wird automatisch aus dem System abgemeldet, wenn die Datenbanksession abgebrochen wurde17.Anwender(in) darf nur Module aufrufen die den Aufruf-Rechten entsprechen18.Anwender(in) darf nicht mehrere Anmeldemasken gleichzeitig starten19.Anwender(in) darf nur ein sicheres Passwort anlegen

Warnungen per EMAIL, Einträge in Protokolltabellen, Sperrung wenn nötig, Prüfungen mit PL/SQL vor APP-Start


19

Welche ONLINE-Informationen brauchen wir?

Beispiel für automatische E-Mail Benachrichtigungen:

(ORA-20708) Sicherheitswarnung: Der/die Benutzer(in) "HOFFMANNF" ist bereits schon einmal vom Arbeitsplatz "IP006 : fhoffmann de " angemeldet, ausgelöst durch Anwenderkennung "HOFFMANNF" gegen DB "ORAENT", Clientinformation "VO215 : xxx de" und IP "169.254.254.92", protokolliert unter Connection Log Id 13237

(ORA-20999) Sicherheitswarnung, die lokalen Forms12c-Bibliotheken(syslib dlls) mussten wegen einem fehlerhaftem Checksummenvergleich auf einem Forms12c-Client unter "C:\Users\runger\webutil\syslib\apcsrv7_12213\win32\" (USERPROFIL) erneuert werden. Checksummen (167424_81920_45056), ausgelöst durch Anwenderkennung "PROTECT_CONNECT" gegen DB "???", Clientinformation "ID008a : runger de" und IP "192.168.127.108", protokolliert unter Connection Log Id 5835


20

Wie sicher ist der eigene HTTPS Zugang?Selbstprüfung: https://www.ssllabs.com https://securityheaders.com


https://www.ssllabs.com/https://securityheaders.com/

21

Welche Sicherheitslücken muss ich noch schließen?



Wir prüfen mögliche Sicherheitsrisiken auf dem Client (1/10)

Client-Umgebung: Schutz vor …1.1 dem Einsatz einer unsicheren alten Java Version1.2 der Manipulation von Forms Systemdateien (jacob.dll etc.)1.3 der Anmeldung unter falscher Identität1.4 dem Aufruf aus unsicherer Umgebung (Trojaner, Keylogger)1.5 der Nutzung alter unsicherer Protokolle z.B. TLS 1.0, 1.11.6 der Nutzung alter unsicherer SQLNET Protokolle (z.B. 8.0)1.7 der Manipulation von Aufrufparametern (DB, Ziel)1.8 dem Aufrufe mit nicht erlaubten Forms Parametern1.9 multiplem Aufruf der Masken bis Denial of Service


Mögliche Sicherheitsrisiken – Server Firewall (2/10)

Server Firewall

2.1 Offener uneingeschränkter Zugang zum Internet (kein IP-Schutz)2.2 Unnötige offene Ports für einen Server-Einbruch2.3 Administrationsanwendungen sind offen für alle2.4 Aufrufe mit HTTP 1.0 sind erlaubt 2.5 Nutzung ohne Firewall? Mindestens MOD_SECURITY nutzen


Mögliche Sicherheitsrisiken – HTTP Server (z.B. Apache) (3/10)

HTTP Server

3.1 Konfiguration lässt Angriffe zu3.2 Unsichere Protokolle sind nutzbar3.3 HTTP Zugang in Produktion möglich3.4 Einsatz ohne Sicherheitszertifikat3.5 SSL Header hat Sicherheitslücken3.6 Einsatz eines schwachen Zertifikats3.7 Softwareversion des HTTP Servers veraltet3.8 Aktuelle Protokolle nicht freigeschaltet (TLS 1.3)3.9 Unsichere Protokolle freigeschaltet (TLS 1.0, 1.1)3.10 HTTP 1.0 erlaubt


Mögliche Sicherheitsrisiken – Weblogic Server (4/10)

Weblogic Server

4.1 Security Patches werden ignoriert4.2 Betrieb mit einer nicht supporten Datenbank (8,10g)4.3 Zugang über das Internet möglich (EM, CONSOLE)4.4 Passwort für Adminzugang zu schwach


Mögliche Sicherheitsrisiken – Datenbank (5/10)

Datenbank

5.1 Produktionszugang mit 3rd party tools (SQLCL etc.)5.2 Zulassung unsicherer Passworte5.3 Zugang mit unsicheren SQLNET Protokolle (z.B. 8 für 6i)5.4 Anwender(innen) bekommen 100% Ressourcen5.5 Anwender(innen) haben mehr Session-Rechte als benötigt5.6 Daten werden nicht geschützt (kein Rechte Konzept)5.7 Sicherungen werden nicht geschützt bzw. verschlüsselt

27

Vielen Dank für Ihre Aufmerksamkeit

Kontakt:Frank [email protected]


https://www.doag.org/#agenda-575234https://www.doag.org/#agenda-575234https://www.doag.org/#agenda-575234

Foliennummer 1Foliennummer 2Foliennummer 3Foliennummer 4Foliennummer 5Foliennummer 6Foliennummer 7Foliennummer 8Foliennummer 9Foliennummer 10Foliennummer 11Foliennummer 12Foliennummer 13Foliennummer 14Foliennummer 15Foliennummer 16Foliennummer 17Foliennummer 18Foliennummer 19Foliennummer 20Foliennummer 21Foliennummer 22Foliennummer 23Foliennummer 24Foliennummer 25Foliennummer 26Foliennummer 27

Documents

Formsday2020: Sicherheitsaspekte (WAN/CLOUD)...20.02.2020 Formsday2020: Forms -Sicherheitsaspekte 1 Formsday2020: Sicherheitsaspekte (WAN/CLOUD) Frank Hoffmann, Cologne Data GmbH Erstes