troubleshooting security
Post on 03-Jan-2016
108 Views
Preview:
DESCRIPTION
TRANSCRIPT
Troubleshooting Security - Agenda
„„Řešení problémů s nastavením bezpečnosti“Řešení problémů s nastavením bezpečnosti“
• Vyspělá bezpečnost Caché Vyspělá bezpečnost Caché - opakování- opakování
• Šifrované databázeŠifrované databáze
• Bezpečnostní poradceBezpečnostní poradce
• System Management PortalSystem Management Portal
• Interní webový serverInterní webový server
• Řešení problémů – ukázkyŘešení problémů – ukázky
Komponenty…
Caché Advanced Security is based on the
following components:
• Autentizace Autentizace zajišťuje ověření zajišťuje ověření identityidentity všech uživatelů. všech uživatelů. • AutorizaceAutorizace zajistí, že uživatelé mají přístup jen a zajistí, že uživatelé mají přístup jen a pouzepouze k těm k těm
zdrojům, které potřebují.zdrojům, které potřebují.• AuditAudit udržuje záznamy - buď předdefinované systémem nebo udržuje záznamy - buď předdefinované systémem nebo
speciální události aplikace. speciální události aplikace. • Ochrana integrity dat Ochrana integrity dat zabraňuje útokům na data přenášená po síti.zabraňuje útokům na data přenášená po síti.• Ochrana důvěrnosti datOchrana důvěrnosti dat, aby např. žádný spyware nemohl získat , aby např. žádný spyware nemohl získat
užitečná data.užitečná data.
Autentizace: Ověření totožnosti
• Vyspělá bezpečnost Caché nabízí několik Vyspělá bezpečnost Caché nabízí několik mechanizmů k ověření totožnosti:mechanizmů k ověření totožnosti:
– Kerberos:Kerberos: Nejbezpečnější cesta autentizace. Nejbezpečnější cesta autentizace. Dostupná na všech platformách.Dostupná na všech platformách.
– Operační systém:Operační systém: Dostupný pro Windows, Dostupný pro Windows, UNIX a OpenVMS, autentizace založená na UNIX a OpenVMS, autentizace založená na OS používá identifikaci uživatele v operačním OS používá identifikaci uživatele v operačním systému pro identifikaci uživatele do Caché.systému pro identifikaci uživatele do Caché.
– Caché Login:Caché Login: Caché si udržuje tabulku Caché si udržuje tabulku kódovaných hodnot hesla pro každý kódovaných hodnot hesla pro každý uživatelský účet.uživatelský účet.
– Bez ověření: Bez ověření: Neznámý uživatelNeznámý uživatel
Autorizace určuje, Autorizace určuje, coco je Vám je Vám dovolenodovoleno dělat!dělat!
• Aktivum (asset) Aktivum (asset) je cokoliv, co chceme chránit:je cokoliv, co chceme chránit:– databáze Caché je aktivum.databáze Caché je aktivum.– schopnost se připojit do Caché pomocí SQL je aktivum schopnost se připojit do Caché pomocí SQL je aktivum – způsobilost spustit zálohování je aktivum. způsobilost spustit zálohování je aktivum.
• AktivaAktiva jsou zabezpečena pomocí jsou zabezpečena pomocí zdrojů (resources)zdrojů (resources). .
• Oprávnění (privilege)Oprávnění (privilege) dávádává povolení (permission)povolení (permission) něco dělat s jedním nebo něco dělat s jedním nebo více více aktivyaktivy chráněnýmichráněnými pomocí pomocí zdrojezdroje: : – např. být schopen např. být schopen čístčíst databázi zákazníků databázi zákazníků– nebo nebo spustitspustit zálohování zálohování
Autorizace
Uživatelé, role a aplikace
RoleRoleRoleRoleOprávněníOprávnění mohou být přidělená romohou být přidělená rollímím a a role role jednotlivým uživatelůmjednotlivým uživatelům
UživateléUživateléUživateléUživatelé OprávněníOprávnění mohou být přidělená přímo mohou být přidělená přímo uživatelůmuživatelům
AplikaceAplikaceAplikaceAplikaceOprávněníOprávnění mohou být přidělená mohou být přidělená aplikacímaplikacím a uživatelé mohou být a uživatelé mohou být oprávněnioprávněni spouštět tyto aplikacespouštět tyto aplikace
Rozvoj bezpečnosti
• Bezpečný je jen ten systém, kde jsou zabezpečeny všechny Bezpečný je jen ten systém, kde jsou zabezpečeny všechny komponenty:komponenty:
– Operační systémOperační systém– Autentizace a autorizaceAutentizace a autorizace– Caché a EnsembleCaché a Ensemble– Data v kliduData v klidu– Data v pohybuData v pohybu– Vývojové procesyVývojové procesy– Postupy (např. zálohování, distribuce hesel, atd.)Postupy (např. zálohování, distribuce hesel, atd.)– ……
Počáteční nastavení bezpečnosti
• Během instalace můžete zvolit následující typy instalace: Během instalace můžete zvolit následující typy instalace:
• Určuje Určuje počátečnípočáteční konfiguraci nastavení služeb a bezpečnosti konfiguraci nastavení služeb a bezpečnosti v Caché, kterou lze později změnitv Caché, kterou lze později změnit
MinimalMinimal
NormalNormal
Locked DownLocked Down
Nastavení Caché pro instalaci Minimal
• Nastavení služeb Nastavení služeb pro instalaci pro instalaci MinimalMinimal
Nastavení Caché pro instalaci Normal
• Nastavení služeb Nastavení služeb pro instalaci pro instalaci NormalNormal
Nastavení Caché pro instalaci Locked Down
• Nastavení služeb Nastavení služeb pro instalaci pro instalaci Locked DownLocked Down
Přesun databází mezi systémy
• Jestliže má vaše společnost více instalací Caché, můžete použít Jestliže má vaše společnost více instalací Caché, můžete použít šifrovanou databázi z jiné instalace (šifrovanou databázi z jiné instalace (používající jiný šifrovací klíčpoužívající jiný šifrovací klíč) ) nebo zašifrujete databázi jen pro přenos meti instalacemi.nebo zašifrujete databázi jen pro přenos meti instalacemi.
• Postup při přesunu mezi instalacemi je následující:Postup při přesunu mezi instalacemi je následující:1.1. Zazálohujte vaše dataZazálohujte vaše data2.2. Překódujte databázi s použitím nástroje Překódujte databázi s použitím nástroje cvencryptcvencrypt..
• cvencryptcvencrypt dovoluje: dovoluje:1.1. Změňte nešifrovanou databázi na šifrovanouZměňte nešifrovanou databázi na šifrovanou2.2. Změňte šifrovanou databázi na nešifrovanouZměňte šifrovanou databázi na nešifrovanou3.3. Změňte šifrovanou databázi s použitím nového klíčeZměňte šifrovanou databázi s použitím nového klíče
cvencryptD:\cache52>cd mgr\samplesD:\cache52>cd mgr\samples
D:\cache52\Mgr\Samples>..\..\bin\cvencrypt cache.datD:\cache52\Mgr\Samples>..\..\bin\cvencrypt cache.dat
Cache for Windows (Intel) 5.2 (Build 290) Wed Mar 22 2006 10:12:58 ESTCache for Windows (Intel) 5.2 (Build 290) Wed Mar 22 2006 10:12:58 EST
Stand-alone database encryption utilityStand-alone database encryption utility
Database u:\kit\little\release\mgr\samples\CACHE.DAT has 1920 blocks.Database u:\kit\little\release\mgr\samples\CACHE.DAT has 1920 blocks.
Database is not encrypted.Database is not encrypted.
1) Encrypt1) Encrypt
2) Quit2) Quit
Select: 1Select: 1
Access database encryption key.Access database encryption key.
Keyfile: c:\eurocon.keyKeyfile: c:\eurocon.key
Username: ADMINUsername: ADMIN
Password:Password:
Prepared to encrypt databasePrepared to encrypt database
(key ID = 94566BE7-E503-48A0-88E2-934C4137A3BF).(key ID = 94566BE7-E503-48A0-88E2-934C4137A3BF).
This utility will modify your database in place.This utility will modify your database in place.
Be sure that your data is adequately backed up before proceeding.Be sure that your data is adequately backed up before proceeding.
Continue? [Y/N]: YContinue? [Y/N]: Y
Do not interrupt this process!Do not interrupt this process!
Processed:Processed:
1920 blocks (done!)1920 blocks (done!)
Bezpečnostní poradce
• Navržen, aby pomohl systémovým správcům při Navržen, aby pomohl systémovým správcům při zabezpečení systému Caché.zabezpečení systému Caché.
• Je to webová stránka portálu, znázorňující současné Je to webová stránka portálu, znázorňující současné informace zaměřené na nastavení bezpečnosti systému. informace zaměřené na nastavení bezpečnosti systému. [[HomeHome] > [] > [Security ManagementSecurity Management] > [] > [Security AdvisorSecurity Advisor]]
• Doporučené změny nebo oblasti k prozkoumání.Doporučené změny nebo oblasti k prozkoumání.
• Odkazy na ostatní stránky k provedení doporučených Odkazy na ostatní stránky k provedení doporučených změn.změn.
Bezpečnostní poradce
• Bezpečnostní poradce navrhuje doporučení, jak zlepšit bezpečnostní Bezpečnostní poradce navrhuje doporučení, jak zlepšit bezpečnostní nastavení vašeho systému.nastavení vašeho systému.
• SMP je standardní aplikace CSPSMP je standardní aplikace CSP
• Minimální webový server Apache2 je instalován během Minimální webový server Apache2 je instalován během instalace Cache – Windows, Linux/Unixinstalace Cache – Windows, Linux/Unix
• Na OpenVMS nepodporujeme bránu CSP, takže je potřeba Na OpenVMS nepodporujeme bránu CSP, takže je potřeba nakonfigurovat webový server na jiném systému (Windows, nakonfigurovat webový server na jiném systému (Windows, Linux/Unix)Linux/Unix)
System Management Portal (SMP) – základy
Přístup do SMP
Start portáluStart portálu::
• Na platformáchNa platformách Windows, Windows, klikněte naklikněte na System Management Portal System Management Portal z z kostkykostky Cube Cube
• ZZ on on--line doline dokumentacekumentace Caché, Caché, klikněte na tlačítkoklikněte na tlačítko System System Management Portal.Management Portal.
• VyberteVyberte Portal Portal z menuz menu ‘Utilities’ ‘Utilities’ ve Studiuve Studiu Cach Cachéé
• NeboNebo přímo zadejte přímo zadejte URLURL portálu do portálu do webwebovéhoového prohlížečeprohlížeče: : http://127.0.0.1:8972/csp/sys/UtilHome.csp
Web Server
• Interní webový server instalovaný s Cache 5.1/5.2 je Interní webový server instalovaný s Cache 5.1/5.2 je Apache 2.0. Tento server běží na portu 8972 (default). Apache 2.0. Tento server běží na portu 8972 (default).
• Před verzí 5.1 jsme začlenili základní technologii http Před verzí 5.1 jsme začlenili základní technologii http serveru přímo do Caché - port 1972. Avšak tento server serveru přímo do Caché - port 1972. Avšak tento server nebyl určen pro produkci a stejně tak není určen ani nebyl určen pro produkci a stejně tak není určen ani interní webový server Apache. interní webový server Apache.
• Pokud zákazník chce používat své CSP aplikace, je Pokud zákazník chce používat své CSP aplikace, je nutné, aby si nakonfiguroval vlastní webový server.nutné, aby si nakonfiguroval vlastní webový server.
Cache.cpf
• [Startup][Startup]• stu=1stu=1• zstu=1zstu=1• start_0=System~1~1start_0=System~1~1• start_1=Process~1~1start_1=Process~1~1• start_2=Job~1~1start_2=Job~1~1• start_3=Callin~1~1start_3=Callin~1~1• LicenseServer=127.0.0.1,4001LicenseServer=127.0.0.1,4001• JobServers=0JobServers=0• maxconsolelogsize=5maxconsolelogsize=5• DefaultPort=1972DefaultPort=1972• DomainspaceMaster=0,DomainspaceMaster=0,• ShutdownTimeout=300ShutdownTimeout=300• ErrorPurge=30ErrorPurge=30• DBSizesAllowed=8192DBSizesAllowed=8192• TempDirectory=TempTempDirectory=Temp
• WebServer=ON,8975WebServer=ON,8975
Detaily konfigurace
• WindowsWindowsCSP.INICSP.INI CSP GTWCSP GTW
Apache InternalApache Internal
(port 8972)(port 8972)
C:\Cachesys\CSP\BinC:\Cachesys\CSP\Bin 127.0.0.1:8972/csp/bin/Systems/Module.cxw127.0.0.1:8972/csp/bin/Systems/Module.cxw
C:\Cachesys\CSP\Bin\ CSPa2*.dllC:\Cachesys\CSP\Bin\ CSPa2*.dll
C:\Cachesys\httpd\conf\httpd.confC:\Cachesys\httpd\conf\httpd.conf
IISIIS C:\Inetpub\CSPGatewayC:\Inetpub\CSPGateway 127.0.0.1/csp/bin/CSPmssys.dll127.0.0.1/csp/bin/CSPmssys.dll
C:\Inetpub\CSPGateway\CSPMSsys.dllC:\Inetpub\CSPGateway\CSPMSsys.dll
ApacheApache ……\Apache2\CSPGateway\Apache2\CSPGateway 127.0.0.1/csp/bin/Systems/Module.cxw127.0.0.1/csp/bin/Systems/Module.cxw
……\Apache2\CSPGateway\CSPa2*.dll\Apache2\CSPGateway\CSPa2*.dll
……\Apache2\conf\httpd.conf\Apache2\conf\httpd.conf
Detaily konfigurace
• Unix/Linux (příklad ze SuSE 9 SE)Unix/Linux (příklad ze SuSE 9 SE)CSP.INICSP.INI CSP GTWCSP GTW
Apache privateApache private
(port 8972)(port 8972)
/usr/cachesys/csp/bin/usr/cachesys/csp/bin 127.0.0.1:8972/csp/bin/Systems/Module.cxw127.0.0.1:8972/csp/bin/Systems/Module.cxw
/usr/cachesys/csp/bin/ CSPa2*.so/usr/cachesys/csp/bin/ CSPa2*.so
/usr/cachesys/httpd/conf/httpd.conf/usr/cachesys/httpd/conf/httpd.conf
ApacheApache
CGI moduleCGI module
/opt/cspgateway/bin/opt/cspgateway/bin 127.0.0.1/csp/bin/Systems/Module.cxw127.0.0.1/csp/bin/Systems/Module.cxw
/opt/cspgateway/bin/nph-CSPcgi*/opt/cspgateway/bin/nph-CSPcgi*
/usr/local/apache/conf/httpd.conf/usr/local/apache/conf/httpd.conf
ApacheApache
shared moduleshared module
(mod_csp.so)(mod_csp.so)
/opt/cspgateway/bin/opt/cspgateway/bin 127.0.0.1/csp/bin/Systems/Module.cxw127.0.0.1/csp/bin/Systems/Module.cxw
/opt/cspgateway/bin/CSPa2*.so/opt/cspgateway/bin/CSPa2*.so
/usr/local/apache/conf/httpd.conf/usr/local/apache/conf/httpd.conf
Řešení problémů CSP
• Nejpravděpodobnější příčiny problémů přístupu do SMP:Nejpravděpodobnější příčiny problémů přístupu do SMP:
1.1. Neběží interní webový server Apache.Neběží interní webový server Apache.
2.2. Neběží Caché nebo komunikace na portu Caché je blokována. Neběží Caché nebo komunikace na portu Caché je blokována.
3.3. Konfigurace brány CSP je nastavena na nesprávný server/port.Konfigurace brány CSP je nastavena na nesprávný server/port.
Řešení problémů CSP
• Otevřete CSP GTW Management page:Otevřete CSP GTW Management page:http://127.0.0.1:8972/csp/bin/Systems/Module.cxwhttp://127.0.0.1:8972/csp/bin/Systems/Module.cxw
• Zkuste „Test Server Connection“Zkuste „Test Server Connection“
• Zkontrolujte nastavení serveru (Server Access) – Zkontrolujte nastavení serveru (Server Access) – uživatelské jméno-heslo pro spojeníuživatelské jméno-heslo pro spojení
• I possible, try access SMP via another web server (IIS, I possible, try access SMP via another web server (IIS, Apache)Apache)http://127.0.0.1:8972/csp/sys/UtilHome.csphttp://127.0.0.1:8972/csp/sys/UtilHome.csphttp://127.0.0.1/csp/sys/UtilHome.csphttp://127.0.0.1/csp/sys/UtilHome.csp
Apache
1. Zkontrolujte, že Apache je spuštěn: 1. Zkontrolujte, že Apache je spuštěn:
Známka toho, že Apache neběží:Známka toho, že Apache neběží:
The page cannot be displayedThe page cannot be displayedCannot find server or DNS ErrorCannot find server or DNS Error
Internet ExplorerInternet Explorer
WINDOWS: netstat –aoWINDOWS: netstat –ao a zkontrolujte seznam naslouchajících portú a a zkontrolujte seznam naslouchajících portú a příslušných procesů.příslušných procesů.
UNIX: # netstat -ap |grep 8972UNIX: # netstat -ap |grep 8972
tcp 0 0 *:8972 *:* LISTEN 4507/httpdtcp 0 0 *:8972 *:* LISTEN 4507/httpd
Restart webového serveru
• Interní (privátní) Apache je restartován automaticky Interní (privátní) Apache je restartován automaticky během restartu Cachéběhem restartu Caché
• Může být restartován manuálně:Může být restartován manuálně:Na Windows (konfigurace CACHE52, Apache na portu 8972)Na Windows (konfigurace CACHE52, Apache na portu 8972)start:start: C:\CacheSys\httpd\bin\httpd -k start -n CACHE52httpd -c "Listen 8972"C:\CacheSys\httpd\bin\httpd -k start -n CACHE52httpd -c "Listen 8972"stop:stop:C:\CacheSys\httpd\bin\httpd -k stop -n CACHE52httpdC:\CacheSys\httpd\bin\httpd -k stop -n CACHE52httpd
• Na Unix (za předpokladu že Caché je instalováno do /usr/cachesys, Na Unix (za předpokladu že Caché je instalováno do /usr/cachesys, Apache na portu 8972):Apache na portu 8972):start:start:/usr/cachesys/httpd/bin/httpd -d /usr/cachesys/httpd –c "Listen 8972 “/usr/cachesys/httpd/bin/httpd -d /usr/cachesys/httpd –c "Listen 8972 “stop:stop:kill ‘cat /usr/cachesys/httpd/logs/httpd.pid’kill ‘cat /usr/cachesys/httpd/logs/httpd.pid’
1.1. Vytvořte roli „Vytvořte roli „Sym2006Sym2006””
2.2. Přidělte zdroj: Přidělte zdroj: %DB_USER%DB_USER
3.3. Vytvořte uživatele “Vytvořte uživatele “BobBob” s USER jako defaultním názvovým prostorem” s USER jako defaultním názvovým prostorem
4.4. Umožněte pro službuUmožněte pro službu %Service_Console%Service_Console pouze autentizaci heslem pouze autentizaci heslem
5.5. Přihlašte se do Přihlašte se do TermináluTerminálu jako uživatel jako uživatel BobBob, zkontrolujte Security Audit proč jste , zkontrolujte Security Audit proč jste se nemohli přihlásitse nemohli přihlásit
6.6. Přidejte oprávnění Přidejte oprávnění %Development%Development k roli „ k roli „Sym2006Sym2006””
7.7. Přihlašte se do Přihlašte se do TermináluTerminálu znovu jako uživatel znovu jako uživatel BobBob
8.8. Vyjměte oprávnění Vyjměte oprávnění %Development%Development z role „ z role „Sym2006Sym2006”, vytvořte testovací program ”, vytvořte testovací program a přidělte jej uživateli a přidělte jej uživateli BobBob
9.9. Přihlašte se do Přihlašte se do TermináluTerminálu znovu jako uživatel znovu jako uživatel BobBob
Řešení problémů – ukázka
Řešení problémů
• Základ proZáklad pro řešení problémů s bezpečnostířešení problémů s bezpečností – – Security Security AuditAudit - spusťte jej a odblokujte všechny systémové - spusťte jej a odblokujte všechny systémové událostiudálosti
• Použijte Použijte ^SECURITY^SECURITY pokud nemáte přístup z SMP pokud nemáte přístup z SMP
• %CACHELIB je %CACHELIB je read-only read-only – pouze ke čtení– pouze ke čtení
• Nouzový přístupNouzový přístupccontrol start <cache-instance-name> ccontrol start <cache-instance-name> //EmergencyIdEmergencyId=<username>,<password>=<username>,<password>
1.1. Vytvořte novouVytvořte novou rol rolii “ “SMPTestSMPTest” ” se zdrojemse zdrojem %DB_USER%DB_USER
2.2. Vytvořte uživateleVytvořte uživatele “ “BobBob”” a přidělíme mu roli a přidělíme mu roli ““SMPTestSMPTest””
3.3. Přihláste se doPřihláste se do SMPSMP jakojako BobBob. .
4.4. Přidejte zdroj Přidejte zdroj %Admin_Manage%Admin_Manage k roli k roli ““SMPTestSMPTest””
5.5. Obnovte stránkuObnovte stránku SMPSMP
6.6. Můžete si hrát s rolemiMůžete si hrát s rolemi - - %Admin_Operate%Admin_Operate, , %Admin_Secure %Admin_Secure atdatd. .
7.7. Spusťe Caché Terminál, přihlaste se jako Spusťe Caché Terminál, přihlaste se jako BobBob, zkontrolujte , zkontrolujte Security AuditSecurity Audit
Řešení problémů - cvičení
Řešení problémů
• Řešili jste již nějaké problémy při nastavování Řešili jste již nějaké problémy při nastavování bezpečnosti?bezpečnosti?
top related