Más contenido relacionado
La actualidad más candente (13)
Similar a Wie sicher sind Database Links? DOAG BI Konfernenz München. (20)
Wie sicher sind Database Links? DOAG BI Konfernenz München.
- 1. Wie sicher sind Database Links?
DOAG BI Konferenz 2013
Dani Schnider
Trivadis AG
München, 17. April 2013
BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
1
- 2. Dani Schnider
Principal Consultant und
DWH/BI Lead Architect
bei Trivadis in Zürich
Kursleiter für Trivadis-Kurse
über Data Warehousing,
SQL Optimierung und Oracle
Warehouse Builder
Co-Autor des Buches «Data
Warehousing mit Oracle»
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
2
- 3. Beispielkonfiguration: DWH mit Database Links
CREATE PUBLIC DATABASE LINK hr_dbl
CONNECT TO hr IDENTIFIED BY hrpw
USING 'SOURCE_SYSTEM'
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
5
SCOTT
DWH_MART
DWH_CORE
DWH_CLEANSE
DWH_STAGE
HR HR_DBL
SCOTT_DBL
SOURCE_SYSTEM
DATA_WAREHOUSE
CREATE PUBLIC DATABASE LINK scott_dbl
CONNECT TO scott IDENTIFIED BY tiger
USING 'SOURCE_SYSTEM'
- 4. Wie sicher
sind Database
Links?
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
6
Die richtige Frage lautet:
Wie sicher ist diese Konfiguration?
- 5. Beispielkonfiguration – Sicherheitslücken
CREATE PUBLIC DATABASE LINK scott_dbl
CONNECT TO scott IDENTIFIED BY tiger
USING 'SOURCE_SYSTEM'
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
7
SCOTT
DWH_MART
DWH_CORE
DWH_CLEANSE
DWH_STAGE
HR HR_DBL
SCOTT_DBL
SOURCE_SYSTEM
Database Link auf DATA_WAREHOUSE
Schema Owner
1
Public Database Link
auf fixed User
2
Passwort gespeichert
im Data Dictionary
3
- 6. Sicherheitslücke 1: Database Link auf Schema Owner
Über Database Link können alle Daten des Schemas gelesen werden
Daten können über Database Link verändert werden
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
8
- 7. Empfehlungen
Spezifischer User für Zugriff über Database Link
Keine eigenen Objekte, nur Lesezugriff über SELECT-Privilegien
Zugriff auf Quelldaten über View Layer
Views enthalten nur relevante Attribute
Grundprinzip: Need To Know
Was nicht erforderlich ist, ist nicht erlaubt
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
9
- 9. Sicherheitslücke 2: Public Database Link auf fixed User
Jeder User kann Database Link benutzen
Berechtigungen von Remote-User (HR, SCOTT)
werden verwendet
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
11
- 10. Public oder Private Database Link?
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
12
- 11. Private Database Link auf spezifischen ETL-User
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
13
- 12. Connected User oder Fixed User?
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
14
- 13. Private Database Link (Connected User) für ETL-User
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
15
- 14. Sicherheitslücke 3: Passwort gespeichert im Data
Dictionary
Seit Oracle 10.2 werden Passwörter von
Database Links verschlüsselt
abgespeichert
Aber es gibt Wege, um Passwörter zu
entschlüsseln...
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
16
Demo
http://www.oracleforensics.com/wordpress/wp-content/uploads/2012/11/database_link_security.pdf
http://www.oracleforensics.com/wordpress/index.php/2012/11/22/database-link-security/
http://www.petefinnigan.com/forum/yabb/YaBB.cgi?board=ora_sec;action=display;num=1181549741
- 15. Empfehlungen
Sichere Passwörter für hochprivilegierte User:
SYS, SYSTEM, SYSMAN, OUTLN, OWBSYS, WMSYS, ...
Vorsicht mit hochprivilegierten Rollen:
DBA, EXP_FULL_DATABASE, IMP_FULL_DATABASE, ...
Kein Zugriff auf SYS.LINK$ und DBMS_CRYPTO
„Hintertüre“ mit DBMS_METADATA und anderer DB ist trotzdem möglich!
Funktioniert für alle User mit SELECT_CATALOG_ROLE!
Upgrade auf Oracle 11.2.0.3
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
17
- 16. Dürfen
Database
Links
verwendet
werden?
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
18
Sicher.
Aber sicher!
- 19. Wie sicher
sind Database
Links?
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
21
Abhängig von Konfiguration:
Wichtigste Sicherheitsregeln einhalten!
- 20. Wichtigste Sicherheitsregeln
2014 © Trivadis
Keine Database Links auf Schema Owner!
Keine Database Links auf hochprivilegierte User!
Spezifischer User für Zugriff über Database Link
Möglichst Private Database Links verwenden
Eventuell Logon-Trigger für Zugriffskontrolle
Wie sicher sind Database Links?
17. April 2013
22
- 21. Vielen Dank.
Trivadis AG
Dani Schnider
Europa-Strasse 5
CH-8152 Glattbrugg/Zürich
Schweiz
Tel. +41 44 808 70 20
Fax +41 44 808 70 21
info@trivadis.com
www.trivadis.com
BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN
2014 © Trivadis
Wie sicher sind Database Links?
17. April 2013
23