News
Datenbank vom Spezialisten - Security on Top!

Die Information ist ein schnelllebiges Gut. Jeden Tag werden wir mit hunderten Informationen zugemüllt. Deshalb sind wir bestrebt uns auf das Wesentliche zu konzentrieren und nur substantiell nachhaltige Informationen bereitzustellen.

Icon Unternehmen

Security Themen stehen in den meisten Firmen auf der Tagesordnung. Viele würden gern mehr in Sicherheit investieren, nicht selten scheitert es am Budget für teure Zusatzoptionen und Features. Das muss aber nicht unbedingt sein. Oftmals reichen schon kleinere Schritte, um Systeme sukzessive sicher zu machen.

Wir haben die wichtigsten KOSTENFREIEN Oracle Security Features eingehend getestet und in das Standard-Installationsportfolio übernommen. Systeme, welche noch nicht mit diesen Features umgesetzt worden sind, können einfach nachgerüstet werden. Es sind keine zusätzlichen Lizenzen erforderlich, geht also auch mit Oracle Standard Edition One. Nutzen Sie dies doch gleich für einen kleinen Security-Check Ihrer Systemumgebung. Die Spezialisten von ASPICON helfen gern weiter.

Ab sofort rüsten wir alle im Rahmen von Kundenprojekten aufgesetzten Datenbanksysteme mit folgenden Sicherheitsfeatures aus:

(1) Secure External Password Store (SEPS)
Passworte für hoch privilegierte Accounts, wie z.B. sysdba-Zugänge oder Accounts für Monitoring, Backup, Cloneskripts, DataGuard-Broker oder Datenex- und Importe gehören nicht im Klartext in Shellskripts oder auf den Datenbankserver. Wo immer sie zwingend erforderlich sind, werden sie in einem Secure External Password Store sicher verschlossen und können bei Bedarf von dort abgerufen werden. Selbst dann sind sie nicht im Klartext sichtbar. Daten sicherheits- oder datenschutzrelevanter Accounts tauchen damit weder auf dem Server selbst, noch in Filesystembackups etc. auf. Zudem kann jeder, der diese Accountdaten für autorisierte Arbeiten benötigt, sei es der lokale DBA oder ein Supportmitarbeiter einer Drittfirma, selbige in einem streng umrissenen Rahmen nutzen, ohne sie explizit ausgehändigt zu bekommen.

Das heißt, diese Personen können diese Credentials nutzen, ohne sie tatsächlich zu kennen. SEPS hat u.a. folgende Vorteile:

  • Passworte können zentral, im SEPS, geändert werden, ohne dass das die Anpassung zahlreicher Skripts nach sich zöge.
  • Es können starke Passworte und kurze Änderungszyklen umgesetzt werden. Wer sich starke Passworte merken, respektive sie manuell eingeben soll, tut das aus Bequemlichkeit in der Regel nicht.
  • Wer die Credentials nicht kennt, kann sich auch nicht missbräuchlich über nicht autorisierte Wege (z.B. SQL-Konsolen) Zugang zur Datenbank verschaffen.
  • Da Kennworte nicht mehr an Dienstleister herausgegeben werden müssen, müssen sie auch nicht mehr zwingend unmittelbar nach Abschluss der Wartungsarbeiten geändert werden.

(2) Transparent Network Encryption
Der Datentransfer zwischen Client und Datenbankserver erfolgt in den meisten Kundeninstallationen ohne SSL-basierte Verschlüsselung, über einen TCP-Listener-Endpoint (meist Port 1521). Damit werden sowohl Passwort-Hashes als auch Datenbankinhalte unverschlüsselt übertragen. Transparent Network Encryption verschlüsselt eben diesen Datenverkehr mittels starker, symmetrischer Verschlüsselungsverfahren. Welcher Algorithmus dabei zum Einsatz kommt, wird völlig transparent und vom sichersten absteigend zum unsichersten Verfahren zwischen Client und Server ausgehandelt. Damit reduziert sich der Konfigurationsaufwand für den Einsatz von Transparent Network Encryption auf ein absolutes Minimum. In dem von ASPICON standardmäßig konfigurierten Modus fordert der Server symmetrische Verschlüsselung vom Client an, fällt aber automatisch auf unverschlüsselte Verbindung zurück, wenn der Client keinen der angebotenen Algorithmen unterstützt oder ihm Verschlüsselung explizit untersagt wurde. Somit ist das ausgewogenste Verhältnis zwischen Sicherheit und Kompatibilität umgesetzt. Auf Kundenwunsch kann die Verschlüsselung aber auch erzwungen werden. Die Version 11gR2 kann mit AES256, AES192, 3DES168, AES128 und 3DES112 verschlüsseln. Release 12c hat zusätzlich einige ältere, schwächere Verfahren, wie RC4 und DES implementiert, um eine noch breitere Palette von Clients bedienen zu können. Transparent Network Encryption kann bereits durch lediglich zwei Einträge in der sqlnet.ora aktiviert werden. Eine Änderung der Client- oder Listenerkonfiguration ist nicht erforderlich.

(3) Abwehr der TNS Listener Poison Attack
Der Security Alert CVE-2012-1675 aus dem Mai 2012 war für Oracle der eigentliche Anlass, einige Securityfeatures aus der Advanced Security Option herauszulösen und für alle Editionen und Releases kostenfrei verfügbar zu machen - unter anderem auch Secure External Password Store, Transparent Network Encryption und SSL-gesicherte Remote-Listener-Registrierung. Hintergrund des betreffenden Exploits ist die Tatsache, dass ein Datenbanklistener in der Lage ist (und sein muss), auch dynamische Registrierungen von Instanzen entgegenzunehmen, die auf entfernten Servern laufen. Dieses Konzept ist u.a. eine wesentliche Voraussetzung für Load Balancing und Hochverfügbarkeit in RAC-Umgebungen. Eine solche dynamische Registrierung kann jedoch äußerst simpel auch missbräuchlich vorgenommen werden. Dem Abfangen von Passwort-Hashes und Denial-of-Service-Attacken sind damit Tür und Tor geöffnet. Wir setzen daher konsequent die im Rahmen des Security Alert CVE-2012-1675 empfohlenen Maßnahmen um. In Single-Server-Installationen gestatten wir dynamische Listener-Registrierungen ausschließlich über IPC, RAC-Verbünde nutzen entsprechende SSL-Zertifikate, um missbräuchliche Registrierungen zu unterbinden.

Über die hier vorgestellten Security-Features hinaus sind für alle Editionen und Versionen kostenfrei verfügbar:

  • Kerberos-, Radius- oder SSL-Authentisierung für Datenbanknutzer - Passwort- und Rechteverwaltung werden weg von der Datenbank in bestehende Sicherheitsinfrastrukturen, z.B Active Directory, eDirectory oder PKI-Infrastrukturen, verschoben. Zentralisierung und Compliance sind nur zwei Stichworte, die in diesem Umfeld brandaktuell sind.
     
  • SSL/TLS-basierte Verschlüsselung - Transparent Network Encryption verschlüsselt den reinen Datenverkehr. SSL/TLS-Verschlüsselung geht weit darüber hinaus. Auf Basis von SSL-Zertifikaten kann schon vor dem eigentlichen Login sichergestellt werden, dass sich Clients nur mit Datenbanken (oder Datenbankservices) verbinden, die das auch tun sollen. Über die zentrale Zerfikatsverwaltung können zudem Clients sofort und ohne aufwändige administrative Eingriffe vom Zugriff auf ganze Datenbanken oder einzelne Datenbankservices ausgeschlossen werden.

Sind Sie ebenso überzeugt von diesem enormen Sicherheitsgewinn bei minimalem Aufwand wie wir? Gut, gern rüsten wir auch Ihre Datenbank-Infrastruktur mit diesen tollen Features nach. Jetzt anrufen 0371.909515-100