formsday2020: sicherheitsaspekte (wan/cloud)...20.02.2020 formsday2020: forms -sicherheitsaspekte 1...
Post on 04-Feb-2021
5 Views
Preview:
TRANSCRIPT
-
20.02.2020 1Formsday2020: Forms-Sicherheitsaspekte
Formsday2020: Sicherheitsaspekte (WAN/CLOUD)
Frank Hoffmann, Cologne Data GmbH
Erstes Oracle Forms Anwendertreffen 1982
-
2
Kurze Firmenvorstellung:Wie dient Cologne Data der Forms-Community?
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
-
3
Wir sind aktiv auf den Forms Community Seiten (1/4)https://community.oracle.com/community/groundbreakers/development_tools/forms/overviewhttps://community.oracle.com/community/other-languages/german/forms-developer-community/overview
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
und gehören zu den TOP10 Experten weltweit..
https://community.oracle.com/community/groundbreakers/development_tools/forms/overviewhttps://community.oracle.com/community/other-languages/german/forms-developer-community/overview
-
4
Wir führen einen Forms-Modernisierungsblog: (2/4)https://community.oracle.com/blogs/oracleforms/
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
https://community.oracle.com/blogs/oracleforms/
-
5
Wir betreiben einen Demo-Live Server (3/4)https://forms-demo.com
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
https://forms-demo.com/
-
6
Wir publizieren Forms-Fachartikel: (4/4)Autor diverser Artikel über FORMS (WIKPEDIA/DOAG/EOUG)https://de.wikipedia.org/wiki/Oracle_Formshttp://www.oraworld.org/fileadmin/documents/16-ORAWORLD.pdfhttp://www.oraworld.org/fileadmin/documents/17-ORAWORLD.pdf
https://backoffice.doag.org/formes/pubfiles/11309466/docs/Presse/2019/2019-05-22_DOAG_Oracle_Forms_Petition_Info.pdf
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
https://de.wikipedia.org/wiki/Oracle_Formshttp://www.oraworld.org/fileadmin/documents/16-ORAWORLD.pdfhttp://www.oraworld.org/fileadmin/documents/17-ORAWORLD.pdfhttps://backoffice.doag.org/formes/pubfiles/11309466/docs/Presse/2019/2019-05-22_DOAG_Oracle_Forms_Petition_Info.pdf
-
7
Wie dient Cologne Data seinen Forms-Kunden?
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
-
8
Wir bieten Forms Consulting Services (1/3)
Beispiel: Forms Migration und native Modernisierung mit Forms API Master
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
6i 12c
-
9
Wir beraten in komplexen Projekten (2/3)
3rd level Forms-support für komplexe Lösungen
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
-
10
Wir führen Forms Installationen für Sie durch (3/3)
Forms Installationssupport (Cloud / On-Premise)
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
-
11
Warum reden wir über Sicherheitsaspekte?
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
-
20.02.2020 12Formsday2020: Forms-Sicherheitsaspekte
Informationen müssen verteidigt werden. Dafür braucht es neue Systeme oder Lösungen.
Es kann nicht sein, dass Personen diesen Krieg gegen Computer führen.
Es können nur Computer gegen Computer antreten.
Wir brauchen einen intelligenten Schutz und dürfen uns keine Fehler erlauben!
-
13
Sicherheitsaspekte (Interne/Externe Gefahren)
Große Firmen haben einen CISO (Chief-Information-Security-Officer) für diese Aufgabe. Bei kleinen Firmen müssen Sicherheitsbeauftragte bestimmt werden.
Hier ein paar Beispielaufgaben für CISO oder Sicherheitsbeauftragte:
1. Legen Sicherheitsrichtlinien fest (Software, Passwörter, Zugänge)2. Führen Sicherheits-Schulungen für Anwender durch (z.B. Umgang mit Emails)3. Arbeiten mit den Netzwerkexperten und Administratoren eng zusammen4. Überwachen BSI Meldungen (Java Warnungen, Updateempfehlungen)5. Prüfen Software und Hardwareinstallationen
Wer kümmert sich bei Ihnen um den Schutz Ihrer Server und Daten?
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
-
14
Sicherheitsaspekte (Interne/Externe Gefahren)
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
Netz B
Netz D
Netz A
Netz CPROD
5.000 User, 32 Netze
1
1
1
-
15
Kennen Sie die Nutzung Ihrer Applikation?
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
00:0
0 - 0
1:00
01:0
0 - 0
2:00
02:0
0 - 0
3:00
03:0
0 - 0
4:00
04:0
0 - 0
5:00
05:0
0 - 0
6:00
06:0
0 - 0
7:00
07:0
0 - 0
8:00
08:0
0 - 0
9:00
09:0
0 - 1
0:00
10:0
0 - 1
1:00
11:0
0 - 1
2:00
12:0
0 - 1
3:00
13:0
0 - 1
4:00
14:0
0 - 1
5:00
15:0
0 - 1
6:00
16:0
0 - 1
7:00
17:0
0 - 1
8:00
18:0
0 - 1
9:00
19:0
0 - 2
0:00
20:0
0 - 2
1:00
21:0
0 - 2
2:00
22:0
0 - 2
3:00
23:0
0 - 0
0:00
Verteilung der Datenbankanmeldungen
02000400060008000
1000012000140001600018000
MONTAG DIENSTAG MITTWOCH DONNERSTAG FREITAG SAMSTAG SONNTAG
Verteilung über Wochentage
0
10000
20000
30000
40000
50000
60000
70000
80000
90000
100000
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019
Forms Applikationsaufrufe pro Woche (5.000 User 32 Standorte)
-
16
Kennen Sie den Fingerabdruck Ihrer Formsanwender(innen)???
Land DEClient Host ZDX2637 Client IP 192.168.1.77Windowsprofil hoffmannfDatenbankuser fhKonfiguration forms_demo0001Java-Version 1.8_241
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
Lösung:
Fingerprint of a user (client host, client user, user language..)get_application_property(CONFIG))webutil_clientinfo.get_java_versionwebutil_clientinfo.GET_host_name || ' : ' || webutil_clientinfo.GET_SYSTEM_PROPERTY('user.name') || ' ' || webutil_clientinfo.GET_SYSTEM_PROPERTY('user.language‘)webutil_clientinfo.GET_IP_ADDRESS
-
17
Wir setzen einen Anwender Fingerprint in der Datenbanksession. Damit haben wir eine transparente Übersicht alle aktiven Formsuser.
Lösung: DBMS_APPLICATION_INFO.SET_CLIENT_INFO
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
select username,program,module,client_info from v$session where program like 'frmweb%'
Username program module client_infoCD_DEMO_OWNER frmweb.exe WEBUTIL_DEMO ZDX2637 : fhoffmann de
Wisst Ihr wer gerade auf der Datenbank arbeitet?
-
18
Welche Sicherheits-Regeln sollen eingehalten werden?1. Anwender(in) darf sich nicht mehr als 10 mal pro Stunde falsch anmelden2. Anwender(in) darf sich nur zwischen 6:00 und 23:00 anmelden3. Anwender(in) darf sich nicht mit einem Datenbankaccount von zwei verschiedenen Standorten anmelden4. Anwender(in) muss mit Fingerabdruck in einer Whitelist stehen (bei erhöhter Sicherheit)5. Anwender(in) darf nur eine begrenzte Anzahl von Sessions starten6. Anwender(in) darf nie mehr als 80% Datenbankressourcen bekommen7. Anwender(in) wird nach einer Zeit der Inaktivität automatisch abgemeldet8. Anwender(in) darf sich nur unter einer Applikationskennungen anmelden (kein SYS, SYSTEM etc.)9. Anwender(in) darf die Aufrufparameter der Formsanwendung nicht ändern (Parameterprüfung und Schutz)10.Anwender(in) muss 5-10 Sekunden nach Eingabe eines falschen Passworts warten11.Anwender(in) darf sich nicht mit verschiedenen Datenbankkennungen anmelden12.Anwender(in) darf sich nur mit einer aktuellen Java Version anmelden13.Anwender(in) darf sich nur mit aktuellen SSL Protokollen anmelden14.Anwender(in) darf sich nur mit original DLLs anmelden (jacob.dll etc.)15.Anwender(in) darf Forms nur mit eingeschränkten Konfigurationsparametern aufrufen 16.Anwender(in) wird automatisch aus dem System abgemeldet, wenn die Datenbanksession abgebrochen wurde17.Anwender(in) darf nur Module aufrufen die den Aufruf-Rechten entsprechen18.Anwender(in) darf nicht mehrere Anmeldemasken gleichzeitig starten19.Anwender(in) darf nur ein sicheres Passwort anlegen
Warnungen per EMAIL, Einträge in Protokolltabellen, Sperrung wenn nötig, Prüfungen mit PL/SQL vor APP-Start
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
-
19
Welche ONLINE-Informationen brauchen wir?
Beispiel für automatische E-Mail Benachrichtigungen:
(ORA-20708) Sicherheitswarnung: Der/die Benutzer(in) "HOFFMANNF" ist bereits schon einmal vom Arbeitsplatz "IP006 : fhoffmann de " angemeldet, ausgelöst durch Anwenderkennung "HOFFMANNF" gegen DB "ORAENT", Clientinformation "VO215 : xxx de" und IP "169.254.254.92", protokolliert unter Connection Log Id 13237
(ORA-20999) Sicherheitswarnung, die lokalen Forms12c-Bibliotheken(syslib dlls) mussten wegen einem fehlerhaftem Checksummenvergleich auf einem Forms12c-Client unter "C:\Users\runger\webutil\syslib\apcsrv7_12213\win32\" (USERPROFIL) erneuert werden. Checksummen (167424_81920_45056), ausgelöst durch Anwenderkennung "PROTECT_CONNECT" gegen DB "???", Clientinformation "ID008a : runger de" und IP "192.168.127.108", protokolliert unter Connection Log Id 5835
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
-
20
Wie sicher ist der eigene HTTPS Zugang?Selbstprüfung: https://www.ssllabs.com https://securityheaders.com
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
https://www.ssllabs.com/https://securityheaders.com/
-
21
Welche Sicherheitslücken muss ich noch schließen?
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
-
20.02.2020 22Formsday2020: Forms-Sicherheitsaspekte
Wir prüfen mögliche Sicherheitsrisiken auf dem Client (1/10)
Client-Umgebung: Schutz vor …1.1 dem Einsatz einer unsicheren alten Java Version1.2 der Manipulation von Forms Systemdateien (jacob.dll etc.)1.3 der Anmeldung unter falscher Identität1.4 dem Aufruf aus unsicherer Umgebung (Trojaner, Keylogger)1.5 der Nutzung alter unsicherer Protokolle z.B. TLS 1.0, 1.11.6 der Nutzung alter unsicherer SQLNET Protokolle (z.B. 8.0)1.7 der Manipulation von Aufrufparametern (DB, Ziel)1.8 dem Aufrufe mit nicht erlaubten Forms Parametern1.9 multiplem Aufruf der Masken bis Denial of Service
-
20.02.2020 23Formsday2020: Forms-Sicherheitsaspekte
Mögliche Sicherheitsrisiken – Server Firewall (2/10)
Server Firewall
2.1 Offener uneingeschränkter Zugang zum Internet (kein IP-Schutz)2.2 Unnötige offene Ports für einen Server-Einbruch2.3 Administrationsanwendungen sind offen für alle2.4 Aufrufe mit HTTP 1.0 sind erlaubt 2.5 Nutzung ohne Firewall? Mindestens MOD_SECURITY nutzen
-
20.02.2020 24Formsday2020: Forms-Sicherheitsaspekte
Mögliche Sicherheitsrisiken – HTTP Server (z.B. Apache) (3/10)
HTTP Server
3.1 Konfiguration lässt Angriffe zu3.2 Unsichere Protokolle sind nutzbar3.3 HTTP Zugang in Produktion möglich3.4 Einsatz ohne Sicherheitszertifikat3.5 SSL Header hat Sicherheitslücken3.6 Einsatz eines schwachen Zertifikats3.7 Softwareversion des HTTP Servers veraltet3.8 Aktuelle Protokolle nicht freigeschaltet (TLS 1.3)3.9 Unsichere Protokolle freigeschaltet (TLS 1.0, 1.1)3.10 HTTP 1.0 erlaubt
-
20.02.2020 25Formsday2020: Forms-Sicherheitsaspekte
Mögliche Sicherheitsrisiken – Weblogic Server (4/10)
Weblogic Server
4.1 Security Patches werden ignoriert4.2 Betrieb mit einer nicht supporten Datenbank (8,10g)4.3 Zugang über das Internet möglich (EM, CONSOLE)4.4 Passwort für Adminzugang zu schwach
-
20.02.2020 26Formsday2020: Forms-Sicherheitsaspekte
Mögliche Sicherheitsrisiken – Datenbank (5/10)
Datenbank
5.1 Produktionszugang mit 3rd party tools (SQLCL etc.)5.2 Zulassung unsicherer Passworte5.3 Zugang mit unsicheren SQLNET Protokolle (z.B. 8 für 6i)5.4 Anwender(innen) bekommen 100% Ressourcen5.5 Anwender(innen) haben mehr Session-Rechte als benötigt5.6 Daten werden nicht geschützt (kein Rechte Konzept)5.7 Sicherungen werden nicht geschützt bzw. verschlüsselt
-
27
Vielen Dank für Ihre Aufmerksamkeit
Kontakt:Frank Hoffmannfh@cologne-data.de
20.02.2020 Formsday2020: Forms-Sicherheitsaspekte
https://www.doag.org/#agenda-575234https://www.doag.org/#agenda-575234https://www.doag.org/#agenda-575234
Foliennummer 1Foliennummer 2Foliennummer 3Foliennummer 4Foliennummer 5Foliennummer 6Foliennummer 7Foliennummer 8Foliennummer 9Foliennummer 10Foliennummer 11Foliennummer 12Foliennummer 13Foliennummer 14Foliennummer 15Foliennummer 16Foliennummer 17Foliennummer 18Foliennummer 19Foliennummer 20Foliennummer 21Foliennummer 22Foliennummer 23Foliennummer 24Foliennummer 25Foliennummer 26Foliennummer 27
top related