plik


ÿþVIII Konferencja PLOUG KoScielisko Paxdziernik 2002 Narzêdzia do testowania bezpieczeñstwa Oracle Wojciech Dworakowski wojtekd@ipsec.pl Narzdzia do testowania bezpieczeDstwa Oracle 175 Po co testowa bezpieczeDstwo Oracle Niewielu ludzi my[li o bazach danych gdy mówi si o  bezpieczeDstwie IT . Ale gdy zadamy sobie pytanie:  Gdzie s przechowywane kluczowe zasoby naszej organizacji? od razu kojarz si nam serwery bazodanowe. UtarBo si |e serwery te s elementem infrastruktury wewntrznej, wic nie zwraca si uwagi na ich bezpieczeDstwo. S umieszczone za serwerami aplikacyjnymi i serwe- rami www, które stanowi interfejsy do danych zgromadzonych w bazach. Wikszo[ administra- torów my[li o bezpieczeDstwie serwerów bazodanowych wyBcznie w kontek[cie ustawienia od- powiednich reguB filtrowania na firewallach. Jednak czsto okazuje si to nieskuteczne, gdy| do- stp do baz i tak jest realizowany przez interfejsy webowe lub aplikacyjne. Poza tym wikszo[ ataków na systemy bazodanowe to ataki operujce na wysokich warstwach modelu OSI, za[ fire- walle przewa|nie filtruj ruch na trzeciej i czwartej warstwie OSI. Wezmy pod uwag nastpujcy przykBad: Dysponujemy serwerem aplikacyjnym Oracle 9iAS i chcemy udostpni na nim aplikacj sBu|c do skBadania zamówieD przez Internet. Prawdopodobnie firewall zostanie skonfiguro- wany w ten sposób, |e bdzie blokowa caBy ruch do tego serwera z wyjtkiem ruchu na port 80 TCP (lub inny na którym dziaBa serwer aplikacji). Oczywi[cie taka konfiguracja nie chroni serwera przed atakami na moduBy serwera www Apache, które w standardowej wersji zawiera- j bBdy pozwalajce nawet na zdalne opanowanie serwera. Powy|szy przykBad jest dosy trywialny, jednak dobrze ilustruje nieskuteczno[ standardowych mechanizmów ochrony. Nale|y pamita |e blisko 80% incydentów zwizanych z atakami na systemy IT pochodzi z wntrza organizacji które s ofiarami tych wypadków. Same oprogramowanie DBMS nie gwarantuje nam dostatecznego poziomu bezpieczeDstwa. Argumenty potwierdzajce t tez przedstawiBem w poprzednim wykBadzie. W takim razie  ele- mentem ka|dego projektu powinno by zapewnienie odpowiedniego poziomu bezpieczeDstwa równie| dla systemów bazodanowych. Jak to zrobi? Utrzymanie po|danego poziomu bezpieczeDstwa jest procesem cigBym. Polega ono na ci- gBym testowaniu bezpieczeDstwa i wprowadzaniu poprawek. Przed wdro|eniem projektu wskazane jest przeprowadzenie testu bezpieczeDstwa przez do[wiadczony i zaawansowany zespóB z ze- wntrz, w formie testu penetracyjnego (który polega na kontrolowanych próbach wBamania) lub audytu (który polega na kompleksowym sprawdzeniu procedur i konfiguracji systemów). Rezulta- tem takiego testu jest raport, który zawiera opis znalezionych przez zespóB zagro|eD. Potem nale|y wprowadzi niezbdne poprawki zmierzajce do wyeliminowania wykrytych zagro|eD i ju| mo|na w miar spokojnie przystpi do wdra|ania projektu. Jak jednak dba o utrzymanie zaBo|onego poziomu bezpieczeDstwa? Codziennie s ujawniane nowe rodzaje zagro|eD. Konfiguracja serwerów równie| nie pozostaje statyczna: administratorzy wprowadzaj zmiany poprawiajce dziaBanie serwisów, programi[ci poprawiaj swoje aplikacje. Paradoksalnie - nawet wgrywanie poprawek przygotowanych przez producenta mo|e wprowadza nowe zagro|enia lub przywraca standardow konfiguracj cz[ci moduBów. Czste przeprowadzanie testów penetracyjnych i audytów okazuje si nieefektywne czasowo i ekonomicznie. Z pomoc przychodz tu narzdzia do testowania bezpieczeDstwa systemów bazo- danowych. Narzdzia te na[laduj dziaBania audytorów, jednak oczywi[cie nie dysponuj wBa[ciw czBowiekowi inteligencj i dociekliwo[ci 176 Wojciech Dworakowski Funkcje narzdzi automatycznych W tej chwili na rynku jest dostpnych kilka narzdzi nadajcych si do okresowego, zautomaty- zowanego testowania bezpieczeDstwa systemów Oracle. Poni|ej przedstawi najcz[ciej realizo- wane przez nie funkcje. Dalej postaram si krótko przybli|y kilka skanerów bezpieczeDstwa Orac- le, z którymi miaBem okazj si zapozna. Inwentaryzacja aplikacji Wikszo[ skanerów jest w stanie przeszukiwa zadany zakres adresów IP w poszukiwaniu serwerów bazodanowych. Potrafi tak|e w obrbie jednego serwera wyszuka aplikacje i serwisy za po[rednictwem których mo|na dosta si do danych. W przypadku Oracle jest to stosunkowo proste  wystarczy wysBa odpowiednie |danie TNS do listenera. Informacja ta bywa te| zdoby- wana w wyniku sprawdzania otwartych portów i sprawdzenia serwisów, które na nich nasBuchuj.  Testy penetracyjne A raczej ich symulacja, gdy| testy wykonane skanerem automatycznym nie mog by uwa|ane za testy penetracyjne. Jednak wikszo[ dostawców oprogramowania testujcego u|ywa tego ter- minu. PrawidBow nazw byByby: Ataki z zewntrz. Ta funkcjonalno[ obejmuje ustalenie na jakie zagro|enia jest podatny system bazodanowy, gdy intruz dziaBa z zewntrz i nie posiada |adnych przywilejów. Skanery robi to wykonujc szereg testów poprzez sie i porównujc ich rezultaty z baz ataków jak dysponuj. Audyty konfiguracji Niektóre ze skanerów posiadaj równie| funkcje audytu (znowu  nazwa raczej umowna). Ska- ner dysponujc kontem administracyjnym (w przypadku skanerów dla Oracle wymagane s uprawnienia u|ytkownika SYS lub SYSTEM) i odpowiednim hasBem, loguje si zdalnie do DBMS-a i sprawdza jego konfiguracje. Poszczególne produkty ró|ni si midzy sob rodzajem i dokBadno[ci wykonywanych testów. Z reguBy udostpniaj one mo|liwo[ sprawdzania haseB przez próby Bamania metod sBowni- kow, sprawdzanie bazy u|ytkowników, inwentaryzacj uprawnieD, wychwytywanie u|ytkowni- ków o bardzo wysokich uprawnieniach. Posiadaj te| mo|liwo[ci analizowania informacji w tabe- lach systemowych, a co za tym idzie mo|liwo[ szczegóBowego audytu konfiguracji. Cz[ narzdzi dysponujc kontem w systemie operacyjnym, jest te| w stanie dokona gBbsze- go przegldu konfiguracji przez zdalne zalogowanie si do systemu operacyjnego i sprawdzenie plików konfiguracyjnych oraz dziaBajcych procesów. WspóBczesne skanery bezpieczeDstwa DBMS dziaBaj caBkowicie zdalnie i nie wymagaj insta- lacji |adnego dodatkowego oprogramowania na serwerze Oracle. Jedynym warunkiem jest udo- stpnienie im mo|liwo[ci zdalnego uwierzytelnienia na konto z uprawnieniami administracyjnymi. Raportowanie Z reguBy skanery posiadaj szerokie mo|liwo[ci sporzdzania raportów. Warto zauwa|y, |e w du|ych systemach, skaner bezpieczeDstwa DBMS mo|na wykorzysta równie| do dokumento- wania systemu wykorzystujc funkcje inwentaryzacji aplikacji, inwentaryzacji konfiguracji oraz inwentaryzacji u|ytkowników i uprawnieD. Przydatn funkcj jest mo|liwo[ porównania zmian jakie zaszBy na serwerze DBMS od ostat- niego skanu. Narzdzia do testowania bezpieczeDstwa Oracle 177 Czym kierowa si przy wyborze narzdzia? Baza sygnatur zagro|eD Sercem ka|dego skanera bezpieczeDstwa jest baza zagro|eD. Skoro system ten ma by wyko- rzystywany do okresowego sprawdzania bezpieczeDstwa, to kluczowe jest, |eby baza ta byBa mo|- liwie kompletna. Warto zwróci uwag na dwa czynniki: " Jakie testy mo|e wykonywa skaner? PeBna lista powinna by dostpna na stronach www producenta. " Jaki jest czas reakcji producenta na ujawnienie nowego zagro|enia? Inaczej mówic  ile czasu minie od publicznego ujawnienia informacji o nowym bBdzie w Oracle, do opracowa- nia przez producenta skanera odpowiednich reguB skanowania i dostarczenia ich do u|yt- kownika. Sposób uaktualniania Cech która wi|e si z poprzednim punktem, jest sposób dostarczania przez producenta no- wych uaktualnieD. Najlepiej |eby byB mo|liwie zautomatyzowany. Zwykle skaner ma mo|liwo[ sprawdzenia uaktualnieD przez Internet przed rozpoczciem ka|dego skanu. FaBszywe alarmy Poniewa| jak na razie skanery automatyczne nie dysponuj inteligencj, zdarza si im popeBnia bBdy. Zwykle polegaj one na podniesieniu faBszywego alarmu. Du|a ilo[ takich alarmów niepo- trzebnie obci|a administratorów, oraz sprzyja przeoczeniu prawdziwych problemów. Jest to cecha bardzo zale|na od konfiguracji i specyfiki testowanego [rodowiska. Jedynym spo- sobem jest przetestowanie skanera w naszej instalacji. Na szcz[cie wikszo[ producentów udo- stpnia wersie ewaluacyjne ograniczone czasowo. Raporty Bardzo wa|n cech jest sporzdzanie raportów, prezentujcych w sposób przejrzysty rezultaty dziaBania skanera. Có| nam po doskonaBym skanerze, je[li rezultatem jego pracy bdzie lista zaj- mujca 100 stron? Wa|ne jest te| |eby skaner byB w stanie sporzdza raport szczegóBowy zawierajcy wskazówki jak usuwa znalezione bBdy. Powinien to by raport czytelny zarówno dla administratora bezpie- czeDstwa, jak i dla administratora Oracle PrzykBadowe skanery bezpieczeDstwa dla Oracle ISS - Database Scanner http://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scann er_database.php " Database Scanner jest produktem firmy Internet Security Systems. Skaner ten nie jest dedy- kowany tylko i wyBcznie do testowania instalacji Oracle. Jest to skaner produktów bazoda- nowych. Oprócz Oracle, potrafi on te| sprawdza MS SQL i Sybase. Tak wic jego warto[ wzrasta dla instalacji heterogenicznych. " Posiada bardzo bogaty zestaw funkcji, zwBaszcza w module audytowym. Mo|e posBu|y za- równo do testowania Oracle jak i do dokumentowania instalacji i nadzorowania zmian. " Baza zagro|eD jest aktualizowana do[ czsto. " Ma mo|liwo[ integracji z innymi narzdziami ISS  Internet Scanner, System Scanner. 178 Wojciech Dworakowski " {eby u|ywa Database Scannera do sprawdzania Oracle, na komputerze na którym jest zain- stalowany skaner, nale|y zainstalowa równie| oprogramowanie klienckie dostpne na CD instalacyjnym Oracle. Skaner wymaga zainstalowania SQL*Net/Net8. W przeciwnym wy- padku nie bdzie umiaB skomunikowa si z Oracle. " Jest to narzdzie  z górnej póBki i za to trzeba sBono zapBaci AppSecInc. - AppDetective for Oracle http://www.appsecinc.com/products/appdetective/oracle/ " Firma Application Security Inc. dostarcza narzdzi testujcych pod nazw AppDetective. Na stronach producenta mo|na zauwa|y |e jest to caBa rodzina produktów (AppDetective for Oracle, MSSQL, Sybase, Lotus Domino, MS Exchange). Jednak zawsze jest to ten sam ska- ner, a jego funkcjonalno[ jest limitowana przez posiadan licencje. " Firma Application Security byBa pionierem je[li chodzi o dostarczanie narzdzi testujcych bezpieczeDstwo dla Oracle. In|ynierowie tej firmy odkryli sporo nowych zagro|eD. Dziki dobremu zapleczu technicznemu, które poszukuje nowych bBdów, baza zagro|eD AppDe- tective jest bardzo aktualna. " Skaner ten skupia si przede wszystkim na testowaniu bezpieczeDstwa. S obecne zarówno funkcje  testu penetracyjnego jak i  audytu . Funkcje inwentaryzacji s nieco ubo|sze. " W tej chwili produkt nie jest dostpny w Polsce. By mo|e nasza firma wkrótce zajmie si jego sprzeda|. NGSS  Typhon i OraScan http://www.nextgenss.com " Najwicej doniesieD o nowych zagro|eniach zwizanych z Oracle pochodzi ostatnio od Davida Litchfielda - zaBo|yciela firmy NextGeneration Security Software. Firma ta produku- je skaner bezpieczeDstwa Typhon. W niedalekiej przyszBo[ci pojawi si te| skaner specjali- zowany do systemów Oracle  OraScan. Na razie dostpna jest wersja beta. Jednak w skane- rze uniwersalnym  Typhon s obecne wszystkie nowe testy dotyczce Oracle. " Skaner ten skupia si przede wszystkim na bardzo dokBadnym testowaniu frontendów do da- nych, a wic przede wszystkim serwera www Apache wraz z moduBami napisanymi przez Oracle sBu|cymi do udostpniania aplikacji PL/SQL, JSP, SQLJSP, XSQL. " Bdzie to prawdopodobnie produkt dedykowany dla Oracle Application Server. " Na razie jest to jeszcze produkt niedojrzaBy. Nie oferuje np. zaawansowanych funkcji rapor- towania. " Mo|e stanowi dobre uzupeBnienie innych produktów. " Warto mie na niego oko w przyszBo[ci, gdy| za t firm stoj wysokiej klasy specjali[ci. " Mo|na go kupi przez Internet na stronie producenta. Narzdzia OpenSource  Nessus http://www.nessus.org " Zwietnym uzupeBnieniem narzdzi komercyjnych mo|e by skaner spod znaku Open Source  Nessus. " Jest to ogólny skaner sieciowy, jednak posiada bardzo aktualn baz zagro|eD. Równie| tych dotyczcych Oracle. " Nie jest w stanie wykonywa testów bezpieczeDstwa polegajcych na zdalnej analizie konfi- guracji ( audytów ) Narzdzia do testowania bezpieczeDstwa Oracle 179 Podsumowanie Narzdzia do testowania bezpieczeDstwa Oracle uzupeBniaj wiedz administratora Oracle o wiedz z zakresu bezpieczeDstwa. Dlatego te| uwa|am |e powinny znalez zastosowanie w ka|- dej organizacji, która przechowuje swoje dane na systemach Oracle. Nale|y jednak pamita |e nie jest to cudowny lek, który sprawi |e nasze serwisy bd w 100% odporne. Pamitajmy o tym |e zwykle najsBabszym ogniwem w BaDcuchu bezpieczeDstwa jest czBowiek, a wic bBdy programi- stów aplikacji czy te| bBdy administratorów. Cz[ci tych bBdów nie wychwyci nawet najlepszy skaner.

Wyszukiwarka

Podobne podstrony:
Dworak Iwona Templariusze (5)
Dworak
dworakowski(1)
R Dworak I Templariusze

więcej podobnych podstron