Tomáš Vaverka

Troubleshooting Security

Troubleshooting Security - Agenda

„„Řešení problémů s nastavením bezpečnosti“Řešení problémů s nastavením bezpečnosti“

• Vyspělá bezpečnost Caché Vyspělá bezpečnost Caché - opakování- opakování

• Šifrované databázeŠifrované databáze

• Bezpečnostní poradceBezpečnostní poradce

• System Management PortalSystem Management Portal

• Interní webový serverInterní webový server

• Řešení problémů – ukázkyŘešení problémů – ukázky

Vyspělá bezpečnost Caché

Komponenty…

Caché Advanced Security is based on the

following components:

• Autentizace Autentizace zajišťuje ověření zajišťuje ověření identityidentity všech uživatelů. všech uživatelů. • AutorizaceAutorizace zajistí, že uživatelé mají přístup jen a zajistí, že uživatelé mají přístup jen a pouzepouze k těm k těm

zdrojům, které potřebují.zdrojům, které potřebují.• AuditAudit udržuje záznamy - buď předdefinované systémem nebo udržuje záznamy - buď předdefinované systémem nebo

speciální události aplikace. speciální události aplikace. • Ochrana integrity dat Ochrana integrity dat zabraňuje útokům na data přenášená po síti.zabraňuje útokům na data přenášená po síti.• Ochrana důvěrnosti datOchrana důvěrnosti dat, aby např. žádný spyware nemohl získat , aby např. žádný spyware nemohl získat

užitečná data.užitečná data.

Autentizace: Ověření totožnosti

• Vyspělá bezpečnost Caché nabízí několik Vyspělá bezpečnost Caché nabízí několik mechanizmů k ověření totožnosti:mechanizmů k ověření totožnosti:

– Kerberos:Kerberos: Nejbezpečnější cesta autentizace. Nejbezpečnější cesta autentizace. Dostupná na všech platformách.Dostupná na všech platformách.

– Operační systém:Operační systém: Dostupný pro Windows, Dostupný pro Windows, UNIX a OpenVMS, autentizace založená na UNIX a OpenVMS, autentizace založená na OS používá identifikaci uživatele v operačním OS používá identifikaci uživatele v operačním systému pro identifikaci uživatele do Caché.systému pro identifikaci uživatele do Caché.

– Caché Login:Caché Login: Caché si udržuje tabulku Caché si udržuje tabulku kódovaných hodnot hesla pro každý kódovaných hodnot hesla pro každý uživatelský účet.uživatelský účet.

– Bez ověření: Bez ověření: Neznámý uživatelNeznámý uživatel

Autorizace určuje, Autorizace určuje, coco je Vám je Vám dovolenodovoleno dělat!dělat!

• Aktivum (asset) Aktivum (asset) je cokoliv, co chceme chránit:je cokoliv, co chceme chránit:– databáze Caché je aktivum.databáze Caché je aktivum.– schopnost se připojit do Caché pomocí SQL je aktivum schopnost se připojit do Caché pomocí SQL je aktivum – způsobilost spustit zálohování je aktivum. způsobilost spustit zálohování je aktivum.

• AktivaAktiva jsou zabezpečena pomocí jsou zabezpečena pomocí zdrojů (resources)zdrojů (resources). .

• Oprávnění (privilege)Oprávnění (privilege) dávádává povolení (permission)povolení (permission) něco dělat s jedním nebo něco dělat s jedním nebo více více aktivyaktivy chráněnýmichráněnými pomocí pomocí zdrojezdroje: : – např. být schopen např. být schopen čístčíst databázi zákazníků databázi zákazníků– nebo nebo spustitspustit zálohování zálohování

Autorizace

Uživatelé, role a aplikace

RoleRoleRoleRoleOprávněníOprávnění mohou být přidělená romohou být přidělená rollímím a a role role jednotlivým uživatelůmjednotlivým uživatelům

UživateléUživateléUživateléUživatelé OprávněníOprávnění mohou být přidělená přímo mohou být přidělená přímo uživatelůmuživatelům

AplikaceAplikaceAplikaceAplikaceOprávněníOprávnění mohou být přidělená mohou být přidělená aplikacímaplikacím a uživatelé mohou být a uživatelé mohou být oprávněnioprávněni spouštět tyto aplikacespouštět tyto aplikace

Rozvoj bezpečnosti

• Bezpečný je jen ten systém, kde jsou zabezpečeny všechny Bezpečný je jen ten systém, kde jsou zabezpečeny všechny komponenty:komponenty:

– Operační systémOperační systém– Autentizace a autorizaceAutentizace a autorizace– Caché a EnsembleCaché a Ensemble– Data v kliduData v klidu– Data v pohybuData v pohybu– Vývojové procesyVývojové procesy– Postupy (např. zálohování, distribuce hesel, atd.)Postupy (např. zálohování, distribuce hesel, atd.)– ……

Počáteční nastavení bezpečnosti

• Během instalace můžete zvolit následující typy instalace: Během instalace můžete zvolit následující typy instalace:

• Určuje Určuje počátečnípočáteční konfiguraci nastavení služeb a bezpečnosti konfiguraci nastavení služeb a bezpečnosti v Caché, kterou lze později změnitv Caché, kterou lze později změnit

MinimalMinimal

NormalNormal

Locked DownLocked Down

Nastavení Caché pro instalaci Minimal

• Nastavení služeb Nastavení služeb pro instalaci pro instalaci MinimalMinimal

Nastavení Caché pro instalaci Normal

• Nastavení služeb Nastavení služeb pro instalaci pro instalaci NormalNormal

Nastavení Caché pro instalaci Locked Down

• Nastavení služeb Nastavení služeb pro instalaci pro instalaci Locked DownLocked Down

Nastavení Caché pro instalaci Locked Down

Lock Down: zdroje

Přesun databází mezi systémy

• Jestliže má vaše společnost více instalací Caché, můžete použít Jestliže má vaše společnost více instalací Caché, můžete použít šifrovanou databázi z jiné instalace (šifrovanou databázi z jiné instalace (používající jiný šifrovací klíčpoužívající jiný šifrovací klíč) ) nebo zašifrujete databázi jen pro přenos meti instalacemi.nebo zašifrujete databázi jen pro přenos meti instalacemi.

• Postup při přesunu mezi instalacemi je následující:Postup při přesunu mezi instalacemi je následující:1.1. Zazálohujte vaše dataZazálohujte vaše data2.2. Překódujte databázi s použitím nástroje Překódujte databázi s použitím nástroje cvencryptcvencrypt..

• cvencryptcvencrypt dovoluje: dovoluje:1.1. Změňte nešifrovanou databázi na šifrovanouZměňte nešifrovanou databázi na šifrovanou2.2. Změňte šifrovanou databázi na nešifrovanouZměňte šifrovanou databázi na nešifrovanou3.3. Změňte šifrovanou databázi s použitím nového klíčeZměňte šifrovanou databázi s použitím nového klíče

cvencryptD:\cache52>cd mgr\samplesD:\cache52>cd mgr\samples

D:\cache52\Mgr\Samples>..\..\bin\cvencrypt cache.datD:\cache52\Mgr\Samples>..\..\bin\cvencrypt cache.dat

Cache for Windows (Intel) 5.2 (Build 290) Wed Mar 22 2006 10:12:58 ESTCache for Windows (Intel) 5.2 (Build 290) Wed Mar 22 2006 10:12:58 EST

Stand-alone database encryption utilityStand-alone database encryption utility

Database u:\kit\little\release\mgr\samples\CACHE.DAT has 1920 blocks.Database u:\kit\little\release\mgr\samples\CACHE.DAT has 1920 blocks.

Database is not encrypted.Database is not encrypted.

1) Encrypt1) Encrypt

2) Quit2) Quit

Select: 1Select: 1

Access database encryption key.Access database encryption key.

Keyfile: c:\eurocon.keyKeyfile: c:\eurocon.key

Username: ADMINUsername: ADMIN

Password:Password:

Prepared to encrypt databasePrepared to encrypt database

(key ID = 94566BE7-E503-48A0-88E2-934C4137A3BF).(key ID = 94566BE7-E503-48A0-88E2-934C4137A3BF).

This utility will modify your database in place.This utility will modify your database in place.

Be sure that your data is adequately backed up before proceeding.Be sure that your data is adequately backed up before proceeding.

Continue? [Y/N]: YContinue? [Y/N]: Y

Do not interrupt this process!Do not interrupt this process!

Processed:Processed:

1920 blocks (done!)1920 blocks (done!)

Bezpečnostní poradce

• Navržen, aby pomohl systémovým správcům při Navržen, aby pomohl systémovým správcům při zabezpečení systému Caché.zabezpečení systému Caché.

• Je to webová stránka portálu, znázorňující současné Je to webová stránka portálu, znázorňující současné informace zaměřené na nastavení bezpečnosti systému. informace zaměřené na nastavení bezpečnosti systému. [[HomeHome] > [] > [Security ManagementSecurity Management] > [] > [Security AdvisorSecurity Advisor]]

• Doporučené změny nebo oblasti k prozkoumání.Doporučené změny nebo oblasti k prozkoumání.

• Odkazy na ostatní stránky k provedení doporučených Odkazy na ostatní stránky k provedení doporučených změn.změn.

Bezpečnostní poradce

• Bezpečnostní poradce navrhuje doporučení, jak zlepšit bezpečnostní Bezpečnostní poradce navrhuje doporučení, jak zlepšit bezpečnostní nastavení vašeho systému.nastavení vašeho systému.

System Management Portal

• SMP je standardní aplikace CSPSMP je standardní aplikace CSP

• Minimální webový server Apache2 je instalován během Minimální webový server Apache2 je instalován během instalace Cache – Windows, Linux/Unixinstalace Cache – Windows, Linux/Unix

• Na OpenVMS nepodporujeme bránu CSP, takže je potřeba Na OpenVMS nepodporujeme bránu CSP, takže je potřeba nakonfigurovat webový server na jiném systému (Windows, nakonfigurovat webový server na jiném systému (Windows, Linux/Unix)Linux/Unix)

System Management Portal (SMP) – základy

Přístup do SMP

Start portáluStart portálu::

• Na platformáchNa platformách Windows, Windows, klikněte naklikněte na System Management Portal System Management Portal z z kostkykostky Cube Cube

• ZZ on on--line doline dokumentacekumentace Caché, Caché, klikněte na tlačítkoklikněte na tlačítko System System Management Portal.Management Portal.

• VyberteVyberte Portal Portal z menuz menu ‘Utilities’ ‘Utilities’ ve Studiuve Studiu Cach Cachéé

• NeboNebo přímo zadejte přímo zadejte URLURL portálu do portálu do webwebovéhoového prohlížečeprohlížeče: : http://127.0.0.1:8972/csp/sys/UtilHome.csp

Web Server

• Interní webový server instalovaný s Cache 5.1/5.2 je Interní webový server instalovaný s Cache 5.1/5.2 je Apache 2.0. Tento server běží na portu 8972 (default). Apache 2.0. Tento server běží na portu 8972 (default).

• Před verzí 5.1 jsme začlenili základní technologii http Před verzí 5.1 jsme začlenili základní technologii http serveru přímo do Caché - port 1972. Avšak tento server serveru přímo do Caché - port 1972. Avšak tento server nebyl určen pro produkci a stejně tak není určen ani nebyl určen pro produkci a stejně tak není určen ani interní webový server Apache. interní webový server Apache.

• Pokud zákazník chce používat své CSP aplikace, je Pokud zákazník chce používat své CSP aplikace, je nutné, aby si nakonfiguroval vlastní webový server.nutné, aby si nakonfiguroval vlastní webový server.

Konfigurace portu - WebServerPort

Cache.cpf

• [Startup][Startup]• stu=1stu=1• zstu=1zstu=1• start_0=System~1~1start_0=System~1~1• start_1=Process~1~1start_1=Process~1~1• start_2=Job~1~1start_2=Job~1~1• start_3=Callin~1~1start_3=Callin~1~1• LicenseServer=127.0.0.1,4001LicenseServer=127.0.0.1,4001• JobServers=0JobServers=0• maxconsolelogsize=5maxconsolelogsize=5• DefaultPort=1972DefaultPort=1972• DomainspaceMaster=0,DomainspaceMaster=0,• ShutdownTimeout=300ShutdownTimeout=300• ErrorPurge=30ErrorPurge=30• DBSizesAllowed=8192DBSizesAllowed=8192• TempDirectory=TempTempDirectory=Temp

• WebServer=ON,8975WebServer=ON,8975

Detaily konfigurace

• WindowsWindowsCSP.INICSP.INI CSP GTWCSP GTW

Apache InternalApache Internal

(port 8972)(port 8972)

C:\Cachesys\CSP\BinC:\Cachesys\CSP\Bin 127.0.0.1:8972/csp/bin/Systems/Module.cxw127.0.0.1:8972/csp/bin/Systems/Module.cxw

C:\Cachesys\CSP\Bin\ CSPa2*.dllC:\Cachesys\CSP\Bin\ CSPa2*.dll

C:\Cachesys\httpd\conf\httpd.confC:\Cachesys\httpd\conf\httpd.conf

IISIIS C:\Inetpub\CSPGatewayC:\Inetpub\CSPGateway 127.0.0.1/csp/bin/CSPmssys.dll127.0.0.1/csp/bin/CSPmssys.dll

C:\Inetpub\CSPGateway\CSPMSsys.dllC:\Inetpub\CSPGateway\CSPMSsys.dll

ApacheApache ……\Apache2\CSPGateway\Apache2\CSPGateway 127.0.0.1/csp/bin/Systems/Module.cxw127.0.0.1/csp/bin/Systems/Module.cxw

……\Apache2\CSPGateway\CSPa2*.dll\Apache2\CSPGateway\CSPa2*.dll

……\Apache2\conf\httpd.conf\Apache2\conf\httpd.conf

Detaily konfigurace

• Unix/Linux (příklad ze SuSE 9 SE)Unix/Linux (příklad ze SuSE 9 SE)CSP.INICSP.INI CSP GTWCSP GTW

Apache privateApache private

(port 8972)(port 8972)

/usr/cachesys/csp/bin/usr/cachesys/csp/bin 127.0.0.1:8972/csp/bin/Systems/Module.cxw127.0.0.1:8972/csp/bin/Systems/Module.cxw

/usr/cachesys/csp/bin/ CSPa2*.so/usr/cachesys/csp/bin/ CSPa2*.so

/usr/cachesys/httpd/conf/httpd.conf/usr/cachesys/httpd/conf/httpd.conf

ApacheApache

CGI moduleCGI module

/opt/cspgateway/bin/opt/cspgateway/bin 127.0.0.1/csp/bin/Systems/Module.cxw127.0.0.1/csp/bin/Systems/Module.cxw

/opt/cspgateway/bin/nph-CSPcgi*/opt/cspgateway/bin/nph-CSPcgi*

/usr/local/apache/conf/httpd.conf/usr/local/apache/conf/httpd.conf

ApacheApache

shared moduleshared module

(mod_csp.so)(mod_csp.so)

/opt/cspgateway/bin/opt/cspgateway/bin 127.0.0.1/csp/bin/Systems/Module.cxw127.0.0.1/csp/bin/Systems/Module.cxw

/opt/cspgateway/bin/CSPa2*.so/opt/cspgateway/bin/CSPa2*.so

/usr/local/apache/conf/httpd.conf/usr/local/apache/conf/httpd.conf

Řešení problémů

Řešení problémů CSP

• Nejpravděpodobnější příčiny problémů přístupu do SMP:Nejpravděpodobnější příčiny problémů přístupu do SMP:

1.1. Neběží interní webový server Apache.Neběží interní webový server Apache.

2.2. Neběží Caché nebo komunikace na portu Caché je blokována. Neběží Caché nebo komunikace na portu Caché je blokována.

3.3. Konfigurace brány CSP je nastavena na nesprávný server/port.Konfigurace brány CSP je nastavena na nesprávný server/port.

Řešení problémů CSP

• Otevřete CSP GTW Management page:Otevřete CSP GTW Management page:http://127.0.0.1:8972/csp/bin/Systems/Module.cxwhttp://127.0.0.1:8972/csp/bin/Systems/Module.cxw

• Zkuste „Test Server Connection“Zkuste „Test Server Connection“

• Zkontrolujte nastavení serveru (Server Access) – Zkontrolujte nastavení serveru (Server Access) – uživatelské jméno-heslo pro spojeníuživatelské jméno-heslo pro spojení

• I possible, try access SMP via another web server (IIS, I possible, try access SMP via another web server (IIS, Apache)Apache)http://127.0.0.1:8972/csp/sys/UtilHome.csphttp://127.0.0.1:8972/csp/sys/UtilHome.csphttp://127.0.0.1/csp/sys/UtilHome.csphttp://127.0.0.1/csp/sys/UtilHome.csp

Apache

1. Zkontrolujte, že Apache je spuštěn: 1. Zkontrolujte, že Apache je spuštěn:

Známka toho, že Apache neběží:Známka toho, že Apache neběží:

The page cannot be displayedThe page cannot be displayedCannot find server or DNS ErrorCannot find server or DNS Error

Internet ExplorerInternet Explorer

WINDOWS: netstat –aoWINDOWS: netstat –ao a zkontrolujte seznam naslouchajících portú a a zkontrolujte seznam naslouchajících portú a příslušných procesů.příslušných procesů.

UNIX: # netstat -ap |grep 8972UNIX: # netstat -ap |grep 8972

tcp 0 0 *:8972 *:* LISTEN 4507/httpdtcp 0 0 *:8972 *:* LISTEN 4507/httpd

Restart webového serveru

• Interní (privátní) Apache je restartován automaticky Interní (privátní) Apache je restartován automaticky během restartu Cachéběhem restartu Caché

• Může být restartován manuálně:Může být restartován manuálně:Na Windows (konfigurace CACHE52, Apache na portu 8972)Na Windows (konfigurace CACHE52, Apache na portu 8972)start:start: C:\CacheSys\httpd\bin\httpd -k start -n CACHE52httpd -c "Listen 8972"C:\CacheSys\httpd\bin\httpd -k start -n CACHE52httpd -c "Listen 8972"stop:stop:C:\CacheSys\httpd\bin\httpd -k stop -n CACHE52httpdC:\CacheSys\httpd\bin\httpd -k stop -n CACHE52httpd

• Na Unix (za předpokladu že Caché je instalováno do /usr/cachesys, Na Unix (za předpokladu že Caché je instalováno do /usr/cachesys, Apache na portu 8972):Apache na portu 8972):start:start:/usr/cachesys/httpd/bin/httpd -d /usr/cachesys/httpd –c "Listen 8972 “/usr/cachesys/httpd/bin/httpd -d /usr/cachesys/httpd –c "Listen 8972 “stop:stop:kill ‘cat /usr/cachesys/httpd/logs/httpd.pid’kill ‘cat /usr/cachesys/httpd/logs/httpd.pid’

1.1. Vytvořte roli „Vytvořte roli „Sym2006Sym2006””

2.2. Přidělte zdroj: Přidělte zdroj: %DB_USER%DB_USER

3.3. Vytvořte uživatele “Vytvořte uživatele “BobBob” s USER jako defaultním názvovým prostorem” s USER jako defaultním názvovým prostorem

4.4. Umožněte pro službuUmožněte pro službu %Service_Console%Service_Console pouze autentizaci heslem pouze autentizaci heslem

5.5. Přihlašte se do Přihlašte se do TermináluTerminálu jako uživatel jako uživatel BobBob, zkontrolujte Security Audit proč jste , zkontrolujte Security Audit proč jste se nemohli přihlásitse nemohli přihlásit

6.6. Přidejte oprávnění Přidejte oprávnění %Development%Development k roli „ k roli „Sym2006Sym2006””

7.7. Přihlašte se do Přihlašte se do TermináluTerminálu znovu jako uživatel znovu jako uživatel BobBob

8.8. Vyjměte oprávnění Vyjměte oprávnění %Development%Development z role „ z role „Sym2006Sym2006”, vytvořte testovací program ”, vytvořte testovací program a přidělte jej uživateli a přidělte jej uživateli BobBob

9.9. Přihlašte se do Přihlašte se do TermináluTerminálu znovu jako uživatel znovu jako uživatel BobBob

Řešení problémů – ukázka

Řešení problémů

• Základ proZáklad pro řešení problémů s bezpečnostířešení problémů s bezpečností – – Security Security AuditAudit - spusťte jej a odblokujte všechny systémové - spusťte jej a odblokujte všechny systémové událostiudálosti

• Použijte Použijte ^SECURITY^SECURITY pokud nemáte přístup z SMP pokud nemáte přístup z SMP

• %CACHELIB je %CACHELIB je read-only read-only – pouze ke čtení– pouze ke čtení

• Nouzový přístupNouzový přístupccontrol start <cache-instance-name> ccontrol start <cache-instance-name> //EmergencyIdEmergencyId=<username>,<password>=<username>,<password>

1.1. Vytvořte novouVytvořte novou rol rolii “ “SMPTestSMPTest” ” se zdrojemse zdrojem %DB_USER%DB_USER

2.2. Vytvořte uživateleVytvořte uživatele “ “BobBob”” a přidělíme mu roli a přidělíme mu roli ““SMPTestSMPTest””

3.3. Přihláste se doPřihláste se do SMPSMP jakojako BobBob. .

4.4. Přidejte zdroj Přidejte zdroj %Admin_Manage%Admin_Manage k roli k roli ““SMPTestSMPTest””

5.5. Obnovte stránkuObnovte stránku SMPSMP

6.6. Můžete si hrát s rolemiMůžete si hrát s rolemi - - %Admin_Operate%Admin_Operate, , %Admin_Secure %Admin_Secure atdatd. .

7.7. Spusťe Caché Terminál, přihlaste se jako Spusťe Caché Terminál, přihlaste se jako BobBob, zkontrolujte , zkontrolujte Security AuditSecurity Audit

Řešení problémů - cvičení

Řešení problémů

• Řešili jste již nějaké problémy při nastavování Řešili jste již nějaké problémy při nastavování bezpečnosti?bezpečnosti?

Děkuji Vám!