Wie sicher sind Database Links? 
DOAG BI Konferenz 2013 
Dani Schnider 
Trivadis AG 
München, 17. April 2013 
BASEL BERN B...
Dani Schnider 
 Principal Consultant und 
DWH/BI Lead Architect 
bei Trivadis in Zürich 
 Kursleiter für Trivadis-Kurse ...
Beispielkonfiguration: DWH mit Database Links 
CREATE PUBLIC DATABASE LINK hr_dbl 
CONNECT TO hr IDENTIFIED BY hrpw 
USING...
Wie sicher 
sind Database 
Links? 
2014 © Trivadis 
Wie sicher sind Database Links? 
17. April 2013 
6 
Die richtige Frage...
Beispielkonfiguration – Sicherheitslücken 
CREATE PUBLIC DATABASE LINK scott_dbl 
CONNECT TO scott IDENTIFIED BY tiger 
US...
Sicherheitslücke 1: Database Link auf Schema Owner 
 Über Database Link können alle Daten des Schemas gelesen werden 
 D...
Empfehlungen 
 Spezifischer User für Zugriff über Database Link 
 Keine eigenen Objekte, nur Lesezugriff über SELECT-Pri...
Zugriffsbeschränkungen auf Quellsystem 
2014 © Trivadis 
Wie sicher sind Database Links? 
17. April 2013 
10
Sicherheitslücke 2: Public Database Link auf fixed User 
 Jeder User kann Database Link benutzen 
 Berechtigungen von Re...
Public oder Private Database Link? 
2014 © Trivadis 
Wie sicher sind Database Links? 
17. April 2013 
12
Private Database Link auf spezifischen ETL-User 
2014 © Trivadis 
Wie sicher sind Database Links? 
17. April 2013 
13
Connected User oder Fixed User? 
2014 © Trivadis 
Wie sicher sind Database Links? 
17. April 2013 
14
Private Database Link (Connected User) für ETL-User 
2014 © Trivadis 
Wie sicher sind Database Links? 
17. April 2013 
15
Sicherheitslücke 3: Passwort gespeichert im Data 
Dictionary 
 Seit Oracle 10.2 werden Passwörter von 
Database Links ver...
Empfehlungen 
 Sichere Passwörter für hochprivilegierte User: 
 SYS, SYSTEM, SYSMAN, OUTLN, OWBSYS, WMSYS, ... 
 Vorsic...
Dürfen 
Database 
Links 
verwendet 
werden? 
2014 © Trivadis 
Wie sicher sind Database Links? 
17. April 2013 
18 
Sicher....
Konfiguration eines sicheren Database Links 
2014 © Trivadis 
Wie sicher sind Database Links? 
17. April 2013 
19
Beispiel: Logon-Trigger für Zugriffskontrolle 
2014 © Trivadis 
Wie sicher sind Database Links? 
17. April 2013 
20
Wie sicher 
sind Database 
Links? 
2014 © Trivadis 
Wie sicher sind Database Links? 
17. April 2013 
21 
Abhängig von Konf...
Wichtigste Sicherheitsregeln 
2014 © Trivadis 
 Keine Database Links auf Schema Owner! 
 Keine Database Links auf hochpr...
Vielen Dank. 
Trivadis AG 
Dani Schnider 
Europa-Strasse 5 
CH-8152 Glattbrugg/Zürich 
Schweiz 
Tel. +41 44 808 70 20 
Fax...
Nächste SlideShare
Wird geladen in …5
×

Wie sicher sind Database Links? DOAG BI Konfernenz München.

556 Aufrufe

Veröffentlicht am

Dani Schnider ist Principal Consultant und DWH/BI Lead Architect bei Trivadis in Zürich. DOAG BI Konferenz 2013, München, 17. April 2013.

Veröffentlicht in: Präsentationen & Vorträge
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
556
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
4
Aktionen
Geteilt
0
Downloads
5
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Wie sicher sind Database Links? DOAG BI Konfernenz München.

  1. 1. Wie sicher sind Database Links? DOAG BI Konferenz 2013 Dani Schnider Trivadis AG München, 17. April 2013 BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 1
  2. 2. Dani Schnider  Principal Consultant und DWH/BI Lead Architect bei Trivadis in Zürich  Kursleiter für Trivadis-Kurse über Data Warehousing, SQL Optimierung und Oracle Warehouse Builder  Co-Autor des Buches «Data Warehousing mit Oracle» 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 2
  3. 3. Beispielkonfiguration: DWH mit Database Links CREATE PUBLIC DATABASE LINK hr_dbl CONNECT TO hr IDENTIFIED BY hrpw USING 'SOURCE_SYSTEM' 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 5 SCOTT DWH_MART DWH_CORE DWH_CLEANSE DWH_STAGE HR HR_DBL SCOTT_DBL SOURCE_SYSTEM DATA_WAREHOUSE CREATE PUBLIC DATABASE LINK scott_dbl CONNECT TO scott IDENTIFIED BY tiger USING 'SOURCE_SYSTEM'
  4. 4. Wie sicher sind Database Links? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 6 Die richtige Frage lautet: Wie sicher ist diese Konfiguration?
  5. 5. Beispielkonfiguration – Sicherheitslücken CREATE PUBLIC DATABASE LINK scott_dbl CONNECT TO scott IDENTIFIED BY tiger USING 'SOURCE_SYSTEM' 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 7 SCOTT DWH_MART DWH_CORE DWH_CLEANSE DWH_STAGE HR HR_DBL SCOTT_DBL SOURCE_SYSTEM Database Link auf DATA_WAREHOUSE Schema Owner 1 Public Database Link auf fixed User 2 Passwort gespeichert im Data Dictionary 3
  6. 6. Sicherheitslücke 1: Database Link auf Schema Owner  Über Database Link können alle Daten des Schemas gelesen werden  Daten können über Database Link verändert werden 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 8
  7. 7. Empfehlungen  Spezifischer User für Zugriff über Database Link  Keine eigenen Objekte, nur Lesezugriff über SELECT-Privilegien  Zugriff auf Quelldaten über View Layer  Views enthalten nur relevante Attribute  Grundprinzip: Need To Know  Was nicht erforderlich ist, ist nicht erlaubt 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 9
  8. 8. Zugriffsbeschränkungen auf Quellsystem 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 10
  9. 9. Sicherheitslücke 2: Public Database Link auf fixed User  Jeder User kann Database Link benutzen  Berechtigungen von Remote-User (HR, SCOTT) werden verwendet 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 11
  10. 10. Public oder Private Database Link? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 12
  11. 11. Private Database Link auf spezifischen ETL-User 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 13
  12. 12. Connected User oder Fixed User? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 14
  13. 13. Private Database Link (Connected User) für ETL-User 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 15
  14. 14. Sicherheitslücke 3: Passwort gespeichert im Data Dictionary  Seit Oracle 10.2 werden Passwörter von Database Links verschlüsselt abgespeichert  Aber es gibt Wege, um Passwörter zu entschlüsseln... 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 16 Demo http://www.oracleforensics.com/wordpress/wp-content/uploads/2012/11/database_link_security.pdf http://www.oracleforensics.com/wordpress/index.php/2012/11/22/database-link-security/ http://www.petefinnigan.com/forum/yabb/YaBB.cgi?board=ora_sec;action=display;num=1181549741
  15. 15. Empfehlungen  Sichere Passwörter für hochprivilegierte User:  SYS, SYSTEM, SYSMAN, OUTLN, OWBSYS, WMSYS, ...  Vorsicht mit hochprivilegierten Rollen:  DBA, EXP_FULL_DATABASE, IMP_FULL_DATABASE, ...  Kein Zugriff auf SYS.LINK$ und DBMS_CRYPTO  „Hintertüre“ mit DBMS_METADATA und anderer DB ist trotzdem möglich!  Funktioniert für alle User mit SELECT_CATALOG_ROLE!  Upgrade auf Oracle 11.2.0.3 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 17
  16. 16. Dürfen Database Links verwendet werden? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 18 Sicher. Aber sicher!
  17. 17. Konfiguration eines sicheren Database Links 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 19
  18. 18. Beispiel: Logon-Trigger für Zugriffskontrolle 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 20
  19. 19. Wie sicher sind Database Links? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 21 Abhängig von Konfiguration: Wichtigste Sicherheitsregeln einhalten!
  20. 20. Wichtigste Sicherheitsregeln 2014 © Trivadis  Keine Database Links auf Schema Owner!  Keine Database Links auf hochprivilegierte User!  Spezifischer User für Zugriff über Database Link  Möglichst Private Database Links verwenden  Eventuell Logon-Trigger für Zugriffskontrolle Wie sicher sind Database Links? 17. April 2013 22
  21. 21. Vielen Dank. Trivadis AG Dani Schnider Europa-Strasse 5 CH-8152 Glattbrugg/Zürich Schweiz Tel. +41 44 808 70 20 Fax +41 44 808 70 21 info@trivadis.com www.trivadis.com BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 23

×