Oracle Audit Vault - doag.org · Oracle Audit Vault © OPITZ CONSULTING GmbH 2011 Seite 1 Oracle...
-
Upload
hoangkhanh -
Category
Documents
-
view
238 -
download
0
Transcript of Oracle Audit Vault - doag.org · Oracle Audit Vault © OPITZ CONSULTING GmbH 2011 Seite 1 Oracle...
© OPITZ CONSULTING GmbH 2011 Seite 1Oracle Audit Vault
Oracle Audit Vault
© OPITZ CONSULTING GmbH 2011 Seite 2Oracle Audit Vault
Auditiert, und dann?
München, 03.03.2011
Oracle Audit Vault
Stefan Seck
OPITZ CONSULTING Essen GmbH
© OPITZ CONSULTING GmbH 2011 Seite 3Oracle Audit Vault
Märkte
Java
SOA
ORACLE
BI/DWH
Outtasking
Kunden
Branchen-
übergreifend
Über 600
Kunden
Leistungs-
angebot
IT-Strategie
Beratung
Implementierung
Betrieb
Training
Fakten
Gründung 1990
400 Mitarbeiter
8 Standorte in
D/PL/CH
Industrie / Versorger /
Telekommunikation
29%
Handel / Logistik /
Dienstleistungen
29%
42%
Öffentliche Auftraggeber /
Banken & Versicherungen /
Vereine & Verbände
© OPITZ CONSULTING GmbH 2011
© OPITZ CONSULTING GmbH 2011 Seite 4Oracle Audit Vault
Agenda
1. Warum auditieren?
2. Wie auditieren?
3. Auditiert, und dann?
4. Audit Vault?
5. Fazit
© OPITZ CONSULTING GmbH 2011 Seite 5Oracle Audit Vault
1Warum auditieren?
© OPITZ CONSULTING GmbH 2011 Seite 6Oracle Audit Vault
Externe Bedrohung
„ Mit geklonten Debit-Karten haben US-Berichten zufolge
Kriminelle innerhalb weniger Stunden neun Millionen US-
Dollar von 130 Geldautomaten in 49 Städten weltweit
abgehoben.“
06.02.2009 bei heise online
© OPITZ CONSULTING GmbH 2011 Seite 7Oracle Audit Vault
Motivation der Angreifer
Kommerzielles Interesse
„Suche nach Gerechtigkeit“ (gefeuerte oder frustrierte MA,
Grey-Hat Hacker etc.)
Mehr Wissen über Sicherheitslücken
Spezialisierung der Angreifer
Security oft keine Präventiv-Maßnahme
© OPITZ CONSULTING GmbH 2011 Seite 8Oracle Audit Vault
Vorgaben
Sarbanes-Oxley-Act
HIPAA
PCI-DSS
BASEL II
Weitere gesetzliche Vorgaben
© OPITZ CONSULTING GmbH 2011 Seite 9Oracle Audit Vault
Anforderungen und Wünsche - Management
Wer arbeitet wann mit welchen Daten? Business Need to Know
Wer greift auf „verbotene“ Daten zu?
Wie werden Auditdaten vor Manipulation geschützt?
© OPITZ CONSULTING GmbH 2011 Seite 10Oracle Audit Vault
Anforderungen und Wünsche - Auditoren
Rollentrennung (Security-Admin <-> DBA) Separation of Duty
Reporting
Alarme
Integrität der Audit-Daten
© OPITZ CONSULTING GmbH 2011 Seite 11Oracle Audit Vault
Anforderungen und Wünsche - IT
Keine Einschränkung bei der tägl. Admin-Arbeit
Keine Performanceeinbußen
© OPITZ CONSULTING GmbH 2011 Seite 12Oracle Audit Vault
Ständiges Audit
Privilegierte Benutzer Alle Operationen
Datenbankweit DDL Operationen
Missglückte Anmeldeversuche
Zugriff auf sensible Daten
© OPITZ CONSULTING GmbH 2011 Seite 13Oracle Audit Vault
Voraussetzung
KonzeptWelche Daten sollen wie überwacht werden?
Rollenverteilung muss klar sein
Und das Wichtigste:
Konzept, Konzept und Konzept
© OPITZ CONSULTING GmbH 2011 Seite 14Oracle Audit Vault
2Wie auditieren?
© OPITZ CONSULTING GmbH 2011 Seite 15Oracle Audit Vault
Auditing Methoden
Trigger
anwendungsspezifisch programmierbar
Feuern bei DML
Select-Statements werden nicht protokolliert
© OPITZ CONSULTING GmbH 2011 Seite 16Oracle Audit Vault
Auditing Methoden
LogMiner
Informationen aus den RedoLog-Dateien sichtbar machen: DML- (Insert, Update, Delete) oder DDL-Befehle (Create ... ) in Form von
Undo- und Redo-Statements
System Change Number (SCN)
Benutzer, der das Statement abgesetzt hat
Name und Schema des geänderten Objekts
© OPITZ CONSULTING GmbH 2011 Seite 17Oracle Audit Vault
Auditing Methoden
AUDIT
init.ora Parameter: audit_trail
DB Audit-Daten in SYS.AUD$
DB, EXTENDED wie DB inkl SQL Bindvariablen und Text
XML Audit-Daten als XML-File
XML, EXTENDED wie XML inkl SQL Bindvariablen und Text
OS Audit-Daten in AUDIT_FILE_DEST
init.ora Parameter: audit_sys_operations
init.ora Parameter: audit_sys_loglevel
audit_trail=db - Default in 11g
© OPITZ CONSULTING GmbH 2011 Seite 18Oracle Audit Vault
Auditing Methoden
Default Auditing instance startup
instance shutdown
connect as sysdba
Ab 11g zahlreiche Statements:
© OPITZ CONSULTING GmbH 2011 Seite 19Oracle Audit Vault
Auditing Methoden
Ein- / Ausschalten des Auditings audit / noaudit
Level des Auditings Statement Auditing
audit select by sse;
audit select table, update table by sse,swi;
Object Auditing
audit select on sse.top_verein;
Privilege Auditing
audit select table;
Optionen:
whenever sucessful
whenever not sucessful
© OPITZ CONSULTING GmbH 2011 Seite 20Oracle Audit Vault
Auditing Methoden
Auditing – ein Beispielsatz
Login nicht erfolgreich
Mon Feb 28 11:25:23 2011
SESSIONID: "180041" ENTRYID: "1" STATEMENT: "1" USERID: "SSE" USERHOST: “NLWGM100" TERMINAL: “NLWGM100" ACTION: "100" RETURNCODE: "1017" COMMENT$TEXT: "Authenticated by: DATABASE; Client address: (ADDRESS=(PROTOCOL=tcp)(HOST=192.169.163.128)(PORT=2910))" OS$USERID: “stefan“
ORA-01017: invalid username/password; logon denied
© OPITZ CONSULTING GmbH 2011 Seite 21Oracle Audit Vault
Auditing Methoden
Fine-Grained Auditing (FGA)
feiner granulierte Informationen
Audit-Policies überwachen einzelne Tabellen
Auch Select-Statements werden protokolliert
Steuerung über DBMS_FGA
Eigene Tabelle für die Audit-Informationen SYS.FGA_LOG$
DBA_FGA_AUDIT_TRAIL
© OPITZ CONSULTING GmbH 2011 Seite 22Oracle Audit Vault
Performance
Auditing
FGA
Quelle: oracle.com Whitepaper Audit Vault
© OPITZ CONSULTING GmbH 2011 Seite 23Oracle Audit Vault
Flashback / Total Recall
Basis Undo-Informationen
Ein Hintergrundprozess (fbda) erfasst asynchron Daten
CREATE FLASHBACK ARCHIVE DEFAULT FLB_ARCH TABLESPACE
FLB_ARCH_TBS QUOTA 100G RETENTION 10 YEAR;
ALTER TABLE SSE_TEST FLASHBACK ARCHIVE;
SELECT * FROM SSE_TEST AS OF TIMESTAMP
TO_TIMESTAMP(‘28.02.2011 11:55:00’,‘DD.MM.YYYY HH24:MI:SS’);
Zusätzlich gespeicherte Information rowid
startscn
endscn
xid
operation
© OPITZ CONSULTING GmbH 2011 Seite 24Oracle Audit Vault
Audit-Methoden Zusammenfassung
Trigger Programmieraufwändig
Keine SELECT‘s
LogMiner Nur DML‘s und DDL‘s
Keine SELECT‘s
Flashback / Total Recall Kein Hinweis auf den Verursacher
Auditing (auch FGA) Schlechte Auswertung
Kein Schutz vor Veränderung der gesammelten Daten
Lösung: z.B. Oracle Audit Vault
© OPITZ CONSULTING GmbH 2011 Seite 25Oracle Audit Vault
3Auditiert, und dann?
© OPITZ CONSULTING GmbH 2011 Seite 26Oracle Audit Vault
Auswertung
Daten werden in sys.aud$ / sys.fga_log$ gespeichert
Es gibt weitere Views: DBA_AUDIT_TRAIL
DBA_FGA_AUDIT_TRAIL
DBA_COMMON_AUDIT_TRAIL
DBA_STMT_AUDIT_OPTS
DBA_PRIV_AUDIT_OPTS
DBA_OBJ_AUDIT_OPTS
Daten in eigene Tabellen kopieren und auswerten Eventuell partitioniert
Zeit
User / Schema
© OPITZ CONSULTING GmbH 2011 Seite 27Oracle Audit Vault
Housekeeping
Moving AUD$ to Another Tablespace (72460.1)
DBMS_AUDIT_MGMT (731908.1) Verschieben des Audit Trail in einen anderen Tablespace
Kontrolle der Größe des OS Audit Trail
Größe
Löschen von Audit Trail Sätzen
Timestamp Management
Manuelles Löschen
Automatisches Löschen
Patch erforderlich für 10.2.0.3, 10.2.0.4
Enthalten in 10.2.0.5, 11.1.0.7, 11.2.0
© OPITZ CONSULTING GmbH 2011 Seite 28Oracle Audit Vault
4Audit Vault
© OPITZ CONSULTING GmbH 2011 Seite 29Oracle Audit Vault
Oracle Audit Vault
Konsolidierung verschiedener Audit-Trails Oracle 9.2 / 10.1 / 10.2 / 11.1 / 11.2
MS SQL Server
IBM DB2 UDB
Sybase ASE
Sichere Aufbewahrung der Audit-Daten
Zentrales Management
Zentrales Alerting
Zentrales Reporting
© OPITZ CONSULTING GmbH 2011 Seite 30Oracle Audit Vault
Oracle Audit Vault
Architektur
Source-DB
Datawarehouse
Management
Reports
Alerts
Audit Vault Server
Audit Vault Agent
Source
Collector
DBAUD
OSAUD
REDO
Source
Collector
DBAUD
OSAUD
REDO
AV_ADMIN
AV_AUDITOR
© OPITZ CONSULTING GmbH 2011 Seite 31Oracle Audit Vault
Audit Vault - Server
Verarbeitet die Audit Daten der Agenten
Legt Audit Daten in einem Datawarehouse ab
Bietet eine Oberfläche für Administration
Benachrichtigung
Reporting
Wird durch Database Vault geschützt (4 zus. User)
© OPITZ CONSULTING GmbH 2011 Seite 32Oracle Audit Vault
Datenmenge
Datenmenge ~ 1KB / Satz abhängig vom SQL-Text
Im DWH 1,5 KB / Satz + Indizes
Höhere CPU-Last bei Verdichtung
© OPITZ CONSULTING GmbH 2011 Seite 33Oracle Audit Vault
Audit Vault - Agent
Wird als zusätzliche Software installiert
Kann auf dem Audit Vault Server laufen
Idealerweise aber auf dem Server der Source-DB installiertNotwendig, wenn Auditfiles geschrieben werden.
© OPITZ CONSULTING GmbH 2011 Seite 34Oracle Audit Vault
Audit Vault- Source
Laufendes Quellsystem Liefert die Auditdaten
Logische Einheit
Benötigt einen User in der Source-DB$ORACLE_HOME/av/scripts/streams/source/zarsspriv.sql
© OPITZ CONSULTING GmbH 2011 Seite 35Oracle Audit Vault
Audit Vault - Collector
Sammelt die einzelnen Auditdaten der Datenbank
3 Kollektoren DBAUD (Rolle: RESOURCE)
Sammelt die Auditevents aus der DB
(Standard Auditing und FGA)
OSAUD (Rolle: RESOURCE)
Sammelt die Auditevents aus den Auditfiles
(z.B.: aus dem adump)
REDO (Rolle: DBA)
Nutzt LogMiner, um DML- und DDL Statements zu sammeln
supplemental logging sollte eingeschaltet sein
Parameter passend zum Release setzen (Doku)
© OPITZ CONSULTING GmbH 2011 Seite 36Oracle Audit Vault
Audit Vault - Rollen
AV_ADMIN Administration Oracle Audit Vault
Monitoring Oracle Audit Vault
Konfiguration der Kollektoren
Tools:
Audit Vault Console
Audit Vault Configuration Assistant (AVCA)
Audit Vault Control (AVCTL)
AVORCLDB, AVMSSQLDB, AVDB2DB, AVSYBDB,
AV_AUDITOR Policies erstellen
Alerts definieren und überwachen
Reports erstellen und überprüfen
Tools
Audit Vault Console
© OPITZ CONSULTING GmbH 2011 Seite 37Oracle Audit Vault
Audit Vault – Installation
Analog zur “normalen” Oracle-Installation
Passwörter müssen komplex gewählt werden
Nacharbeiten sind notwendig Standard-DB (außer Ablage der datafiles, nichts auswählbar)
Kommunikation
Kein Redo- und Controlfile Spiegel
Hinweise dazu in der Dokumentation
© OPITZ CONSULTING GmbH 2011 Seite 38Oracle Audit Vault
Audit Vault – Installation
Releasenotes zur Version 10.2.3.2 lesen
Empfehlung von Oracle:Erst 10.2.2 installieren und dann ein Upgrade auf 10.2.3
Metalink: 731081.1
Audit Vault Server Linux 32bit / 64bit
Solaris SPARC 64bit
AIX5L
HPUX Itanium
Windows
© OPITZ CONSULTING GmbH 2011 Seite 39Oracle Audit Vault
Audit Vault – Stolperfallen
Installation des Audit Vault Agenten avca kann die Angabe user/password nicht verarbeiten
Manuelles ausführen des Kmomandos aus configToolFailedCommands
Befehle müssen aus AV-Server-Home und AV-Agent-Home
abgesetzt werden Zwei Shells nutzen
© OPITZ CONSULTING GmbH 2011 Seite 40Oracle Audit Vault
Audit Vault - Oberfläche
© OPITZ CONSULTING GmbH 2011 Seite 41Oracle Audit Vault
Audit Vault - Policies
In der Source-DB ist Auditing eingeschaltet
Synchronisation der Einstellungen mit Audit Vault Server
© OPITZ CONSULTING GmbH 2011 Seite 42Oracle Audit Vault
Audit Vault - Alarme
Alarme z.B. für: Sensible Spalteninhalte
Anlegen von Benutzern
Rollenvergabe
DBA-Berechtigungen
Fehlerhafte Logins
Alarme werden schon beim
Eingang der Audit Daten
generiert
Optionale Grafik
einfügen
© OPITZ CONSULTING GmbH 2011 Seite 43Oracle Audit Vault
Audit Vault – Default Reports
© OPITZ CONSULTING GmbH 2011 Seite 44Oracle Audit Vault
Audit Vault – Compliance Reports
© OPITZ CONSULTING GmbH 2011 Seite 45Oracle Audit Vault
5Fazit
© OPITZ CONSULTING GmbH 2011 Seite 46Oracle Audit Vault
Fazit
Installation und Konfiguration manchmal trickreich
Komplex
Ermöglicht Audit Daten zentral zu sammeln
zu schützen
auszuwerten
Audit Vault auditiert „nur“, greift aber nicht ein
© OPITZ CONSULTING GmbH 2011 Seite 47Oracle Audit Vault
Fragen und Antworten
© OPITZ CONSULTING GmbH 2011 Seite 48Oracle Audit Vault
Kontakt
Stefan SeckSenior Consultant
OPITZ CONSULTING Essen GmbH
Altendorfer Str. 3, 45127 Essen
Telefon +49 201 89 29 94 - 0