DTCC PreDTCC Pre--SalesSales “DB Hardening” und Oracle SecurityVersion 1.0

Carsten Mützlitz

Grundbedrohungen der IT sind nachwievor gegebenVorbemerkungen

CorporateNetwork

INTERNET

CorporateNetwork

MobileComputing

Teleworking

Verlust der Vertraulichkeit Verlust der Verfügbarkeit

Verlust der Integrität Verlust der Verbindlichkeit

- Verarbeitungs-, Übertragungs-und Speicherfehler

- Manipulation von Daten z. B.durch spoofing attacks:

- ip spoofing (IP fälschen)

- DNS spoofing (Fälschungvon DNS-Einträgen)

- web spoofing (Fälschenvon Webseiten)

- Netzverkehr abhören(sniffer attacks)

- „Knacken“ kryptographischerSchlüssel und Verfahren(code breaking/key recovery)

- Angriffe auf Kennwörter(password guessing/cracking)

- Falsche Rechte-Konzept

- Ausfall

- Zerstörung

- Unterbrechung von Diensten(denial of service) durch:

- ping of death

- ICMP attacks

- SYN flooding, etc.

- Rechtsverbindlichkeitelektronisch abgeschlossenerVerträge, wie z.B. per:

- Fax, E-Mail

- Electronic Commerce

- Gesetzesauflagen

- Risiko-Früherkennung

- Authentizitätscheck (Who)

• Schlagwörter die alsBedrohung eingestuftwerden sind:

• Hacker, Fremdpersonal,eigenes Personal,

• Fehler, Ausfälle,

• Fernwartung und

• Wirtschaftsspionage

• u.v.m.

Eine Überwachung ist notwendig, um zu erkennen, ob eine Grundbedrohung ein Risiko darstellt.

Automatisierte Risikomanagement Prozesse können unterstützen: Analyse, Bewertung, Minimierung,Kontrolle, Verfolgung.

• Die zunehmende Technologieabhängigkeitführt dazu, dass die IT-Systeme in dieRisikobetrachtung miteinbezogen werden

• IT Risikofaktoren sind• Sicherheit: Angriffe, Schadcode,

Unautorisierte Zugriffe• Verfügbarkeit: Ausfälle, Downtimes,

Wartung etc.• Performance: Produktivität der

Endanwender/Kunden, Kundenverluste• Compliance: Einhaltung von

behördlichen und sonstigen Vorschriften• Erweiterte Haftung: KontraG,

Transparenzschaffung im Jahresbericht• Ansätze des IT-Service Managements

sollen unterstützen

Die IT als Bestandteil des Risikomanagements

Aktuelle Hard/Software, Regularien, moderneSicherheitseinrichtungenRedundante Auslegung der Systeme,Backup/Recovery, Spiegelung, VirtualisierungSkalierung von IT Systemen, Nutzung vonPeaks, GridsAufbewahrungspflicht, Sorgfaltsanforderungen,Überwachung, KontrolleRisikofrüherkennung, IT Infrastruktur muss alleAnforderungen erfüllen, Prozesse

ITIL, ISO/IEC 17799, ISO 2000, Cobit

Auswirkungen/Maßnahmen

IT wird HEUTE in das Risikomanagement einbezogenDarüber besteht heute weitgehend Konsens

IT Sicherheit/Compliance System Governance

Einführung in das Härten vonDatenbanken

• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen

Härten = Die Sicherheit eines Systems erhöhenKleine Auswahl von Möglichkeiten

Härtung

Definition• Unter Härten versteht man, die Sicherheit eines Systems zu erhöhen. Bas BSI sagt:

„...die Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung dervorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind...“.

• Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten• Minimierung der möglichen Angriffsmethoden• Beschränkung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung

stehenden Werkzeuge• Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung

stehenden Privilegien• Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs• Nebenziel: Komplexität verringern

Ziele

• Entfernung/Deaktivierung von für den Betrieb nicht zwingend erforderlichenSoftwarekomponenten

• Verwendung unprivilegierter Benutzerkonten zur Ausführung von Server-Prozessen• Anpassung von Dateisystemrechten und ihrer Vererbung• Verwendung von chroot oder anderen Jails für die Ausführung von Software• Verwendung von Mandatory Access Control• Nutzung von Verschlüsselung, z.B. für die Datenübertragung• Verwendung möglichst fehlerfreier Software ohne bekannte Verwundbarkeiten• Backup Recovery, Deployment, Testing• Einheitliche Admin-Umgebung, Überwachung, SLAs

Methoden

Erläuterung

Einführung in das Härten vonDatenbanken

• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen

Dokumente und Checklisten

• Im Internet vorhanden

• Oracle StandardListen

Tools

• Security Scanner

• 3rd Party

• Oracle Tools

Wissen

• Wissen schützt immer

• Fortbildungensind Pflicht

Welche Tools existieren für das Härten von DBs?Kleine Auswahl von Möglichkeiten

Das Härten von DB-Systemen erfordert ein umfangreiches Wissen.

Egal welche Tools man nutzt. DasHärten von DB-Systemen ist einmanueller Vorgang, der jedoch durchden Einsatz von Tools unterstütztwerden kann.

UNBREAKABLEDATABASE

Dokumente und ChecklistenIn der virtuellen Welt stehen verschiedene Dokumente zur Verfügung

Dokumente

Oracle• Oracle Standard Dokumentation 11g Security Guide, Sec. Checklist 10g• Oracle Projekt Lockdown (Oracle Magazin):• Technical Whitepaper: „Security Checkliste“ :

• Zahlreiche Blogs von Security Experten• Internet googeln• Bundesamt für Sicherheit in der Informationstechnik

Öffentlich (privat)

• Beratungsunternehmen• Softwarehersteller• Oracle Partnerunternehmen• Freiberufliche Berater

3rd Parties (Business)

Erläuterung

Oracle liefert einigen Content ...

Oracle Tool: Der Enterprise ManagerConfiguration Management Pack

11

Oracle Configuration ManagementSchwachstellen Begutachtung & Sichere Konfiguration

• Datenbank Erkenntnisse darstellen (Reporting)

• Andauerndes Scanning von 375+ Best-Practices undIndustriestandards (“erweiterbar”)

• Aufdecken und verhindern unautorisierteKonfigurationsänderungen

• Änderungsmanagement Compliance Reports

Monitor

ConfigurationManagement

& AuditVulnerabilityManagement

Fix

Analysis &Analytics

Prioritize

PolicyManagement

AssessClassify MonitorDiscover

AssetManagement

Einführung in das Härten vonDatenbanken

• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen

Geringe KostenHohes Risiko

Hoch

Ris

iko

Hohe Kostengeringes Risiko

Risiko vs. Kosten

Hoch

Gering Kosten

?Gehärtetes System?

Ziel: Unwahrscheinlichkeit erhöhen, dass Risiko eintritt, bzw. die Folgen abgemildert werden.Fazit: Risiken erkennt man durch Überwachnung!!!

Das HÄRTEN vermindert das RisikoEin Risiko bewertet man durch eine Bedrohungs- und Risikoanalyse

?Nicht gehärtetes System?

Einführung in das Härten vonDatenbanken

• Was genau bedeutet „HÄRTEN“?• Welche Tools stehen zur Verfügung?• Was genau erreicht man durch das „HÄRTEN“?• Oracle Security Lösungen

Zugriffskontrolle

• Oracle Database Vault• Oracle Label Security

• Oracle Advanced Security• Oracle Secure Backup• Oracle Data Masking

Verschlüsselung / Maskierung

Audit und Tracking

• Oracle Audit Vault• Oracle Configuration Management• Oracle Total Recall

• Oracle Database Firewall

Monitoring und Blocking

Oracle Security LösungenZur Maßnahmenumsetzung und Überwachung