1 / 35

Troubleshooting Security

Troubleshooting Security. Tomáš Vaverk a. Troubleshooting Security - Agenda. „Řešení problémů s nastavením bezpečnosti“ Vyspělá bezpečnost Caché - opakování Šifrované databáze Bezpečnostní poradce System Management Portal Interní webový server Řešení problémů – ukázky.

ciaran-shaw
Download Presentation

Troubleshooting Security

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Troubleshooting Security Tomáš Vaverka

  2. Troubleshooting Security - Agenda „Řešení problémů s nastavením bezpečnosti“ • Vyspělá bezpečnost Caché - opakování • Šifrované databáze • Bezpečnostní poradce • System Management Portal • Interní webový server • Řešení problémů – ukázky

  3. Vyspělá bezpečnost Caché

  4. Komponenty… Caché Advanced Security is based on the following components: • Autentizace zajišťuje ověření identity všech uživatelů. • Autorizace zajistí, že uživatelé mají přístup jen a pouze k těm zdrojům, které potřebují. • Audit udržuje záznamy - buď předdefinované systémem nebo speciální události aplikace. • Ochrana integrity dat zabraňuje útokům na data přenášená po síti. • Ochrana důvěrnosti dat, aby např. žádný spyware nemohl získat užitečná data.

  5. Autentizace: Ověření totožnosti • Vyspělá bezpečnost Caché nabízí několik mechanizmů k ověření totožnosti: • Kerberos: Nejbezpečnější cesta autentizace. Dostupná na všech platformách. • Operační systém: Dostupný pro Windows, UNIX a OpenVMS, autentizace založená na OS používá identifikaci uživatele v operačním systému pro identifikaci uživatele do Caché. • Caché Login: Caché si udržuje tabulku kódovaných hodnot hesla pro každý uživatelský účet. • Bez ověření: Neznámý uživatel

  6. Autorizace Autorizace určuje, co je Vám dovoleno dělat! • Aktivum (asset) je cokoliv, co chceme chránit: • databáze Caché je aktivum. • schopnost se připojit do Caché pomocí SQL je aktivum • způsobilost spustit zálohování je aktivum. • Aktiva jsou zabezpečena pomocí zdrojů (resources). • Oprávnění (privilege)dávápovolení (permission) něco dělat s jedním nebo více aktivychráněnými pomocí zdroje: • např. být schopen číst databázi zákazníků • nebo spustit zálohování

  7. Uživatelé Oprávněnímohou být přidělená přímo uživatelům Oprávněnímohou být přidělená rolím a role jednotlivým uživatelům Role Oprávněnímohou být přidělená aplikacíma uživatelé mohou být oprávněnispouštět tyto aplikace Aplikace Uživatelé, role a aplikace

  8. Rozvoj bezpečnosti • Bezpečný je jen ten systém, kde jsou zabezpečeny všechny komponenty: • Operační systém • Autentizace a autorizace • Caché a Ensemble • Data v klidu • Data v pohybu • Vývojové procesy • Postupy (např. zálohování, distribuce hesel, atd.) • …

  9. Minimal Normal Locked Down Počáteční nastavení bezpečnosti • Během instalace můžete zvolit následující typy instalace: • Určuje počáteční konfiguraci nastavení služeb a bezpečnosti v Caché, kterou lze později změnit

  10. Nastavení Caché pro instalaci Minimal • Nastavení služeb pro instalaci Minimal

  11. Nastavení Caché pro instalaci Normal • Nastavení služeb pro instalaci Normal

  12. Nastavení Caché pro instalaci Locked Down • Nastavení služeb pro instalaci Locked Down

  13. Nastavení Caché pro instalaci Locked Down Lock Down: zdroje

  14. Přesun databází mezi systémy • Jestliže má vaše společnost více instalací Caché, můžete použít šifrovanou databázi z jiné instalace (používající jiný šifrovací klíč) nebo zašifrujete databázi jen pro přenos meti instalacemi. • Postup při přesunu mezi instalacemi je následující: • Zazálohujte vaše data • Překódujte databázi s použitím nástroje cvencrypt. • cvencrypt dovoluje: • Změňte nešifrovanou databázi na šifrovanou • Změňte šifrovanou databázi na nešifrovanou • Změňte šifrovanou databázi s použitím nového klíče

  15. cvencrypt D:\cache52>cd mgr\samples D:\cache52\Mgr\Samples>..\..\bin\cvencrypt cache.dat Cache for Windows (Intel) 5.2 (Build 290) Wed Mar 22 2006 10:12:58 EST Stand-alone database encryption utility Database u:\kit\little\release\mgr\samples\CACHE.DAT has 1920 blocks. Database is not encrypted. 1) Encrypt 2) Quit Select: 1 Access database encryption key. Keyfile: c:\eurocon.key Username: ADMIN Password: Prepared to encrypt database (key ID = 94566BE7-E503-48A0-88E2-934C4137A3BF). This utility will modify your database in place. Be sure that your data is adequately backed up before proceeding. Continue? [Y/N]: Y Do not interrupt this process! Processed: 1920 blocks (done!)

  16. Bezpečnostní poradce • Navržen, aby pomohl systémovým správcům při zabezpečení systému Caché. • Je to webová stránka portálu, znázorňující současné informace zaměřené na nastavení bezpečnosti systému. [Home] > [Security Management] > [Security Advisor] • Doporučené změny nebo oblasti k prozkoumání. • Odkazy na ostatní stránky k provedení doporučených změn.

  17. Bezpečnostní poradce • Bezpečnostní poradce navrhuje doporučení, jak zlepšit bezpečnostní nastavení vašeho systému.

  18. System Management Portal

  19. System Management Portal (SMP) – základy • SMP je standardní aplikace CSP • Minimální webový server Apache2 je instalován během instalace Cache – Windows, Linux/Unix • Na OpenVMS nepodporujeme bránu CSP, takže je potřeba nakonfigurovat webový server na jiném systému (Windows, Linux/Unix)

  20. Přístup do SMP • Start portálu: • Na platformách Windows, klikněte na System Management Portal z kostky Cube • Z on-line dokumentace Caché, klikněte na tlačítko System Management Portal. • Vyberte Portal z menu ‘Utilities’ ve Studiu Caché • Nebopřímo zadejte URL portálu do webovéhoprohlížeče: http://127.0.0.1:8972/csp/sys/UtilHome.csp

  21. Web Server • Interní webový server instalovaný s Cache 5.1/5.2 je Apache 2.0. Tento server běží na portu 8972 (default). • Před verzí 5.1 jsme začlenili základní technologii http serveru přímo do Caché - port 1972. Avšak tento server nebyl určen pro produkci a stejně tak není určen ani interní webový server Apache. • Pokud zákazník chce používat své CSP aplikace, je nutné, aby si nakonfiguroval vlastní webový server.

  22. Konfigurace portu - WebServerPort

  23. Cache.cpf • [Startup] • stu=1 • zstu=1 • start_0=System~1~1 • start_1=Process~1~1 • start_2=Job~1~1 • start_3=Callin~1~1 • LicenseServer=127.0.0.1,4001 • JobServers=0 • maxconsolelogsize=5 • DefaultPort=1972 • DomainspaceMaster=0, • ShutdownTimeout=300 • ErrorPurge=30 • DBSizesAllowed=8192 • TempDirectory=Temp • WebServer=ON,8975

  24. Detaily konfigurace • Windows

  25. Detaily konfigurace • Unix/Linux (příklad ze SuSE 9 SE)

  26. Řešení problémů

  27. Řešení problémů CSP • Nejpravděpodobnější příčiny problémů přístupu do SMP: • Neběží interní webový server Apache. • Neběží Caché nebo komunikace na portu Caché je blokována. • Konfigurace brány CSP je nastavena na nesprávný server/port.

  28. Řešení problémů CSP • Otevřete CSP GTW Management page:http://127.0.0.1:8972/csp/bin/Systems/Module.cxw • Zkuste „Test Server Connection“ • Zkontrolujte nastavení serveru (Server Access) – uživatelské jméno-heslo pro spojení • I possible, try access SMP via another web server (IIS, Apache)http://127.0.0.1:8972/csp/sys/UtilHome.csphttp://127.0.0.1/csp/sys/UtilHome.csp

  29. Apache 1. Zkontrolujte, že Apache je spuštěn: Známka toho, že Apache neběží: The page cannot be displayed Cannot find server or DNS Error Internet Explorer WINDOWS: netstat –ao a zkontrolujte seznam naslouchajících portú a příslušných procesů. UNIX: # netstat -ap |grep 8972 tcp 0 0 *:8972 *:* LISTEN 4507/httpd

  30. Restart webového serveru • Interní (privátní) Apache je restartován automaticky během restartu Caché • Může být restartován manuálně:Na Windows (konfigurace CACHE52, Apache na portu 8972)start:C:\CacheSys\httpd\bin\httpd -k start -n CACHE52httpd -c "Listen 8972"stop:C:\CacheSys\httpd\bin\httpd -k stop -n CACHE52httpd • Na Unix (za předpokladu že Caché je instalováno do /usr/cachesys, Apache na portu 8972):start:/usr/cachesys/httpd/bin/httpd -d /usr/cachesys/httpd –c "Listen 8972 “stop:kill ‘cat /usr/cachesys/httpd/logs/httpd.pid’

  31. Řešení problémů – ukázka • Vytvořte roli „Sym2006” • Přidělte zdroj: %DB_USER • Vytvořte uživatele “Bob” s USER jako defaultním názvovým prostorem • Umožněte pro službu%Service_Console pouze autentizaci heslem • Přihlašte se do Terminálu jako uživatel Bob, zkontrolujte Security Audit proč jste se nemohli přihlásit • Přidejte oprávnění %Development k roli „Sym2006” • Přihlašte se do Terminálu znovu jako uživatel Bob • Vyjměte oprávnění %Development z role „Sym2006”, vytvořte testovací program a přidělte jej uživateli Bob • Přihlašte se do Terminálu znovu jako uživatel Bob

  32. Řešení problémů • Základ prořešení problémů s bezpečností – Security Audit - spusťte jej a odblokujte všechny systémové události • Použijte ^SECURITY pokud nemáte přístup z SMP • %CACHELIB je read-only – pouze ke čtení • Nouzový přístupccontrol start <cache-instance-name> /EmergencyId=<username>,<password>

  33. Řešení problémů - cvičení • Vytvořte novou roli “SMPTest” se zdrojem%DB_USER • Vytvořte uživatele “Bob” a přidělíme mu roli “SMPTest” • Přihláste se doSMPjakoBob. • Přidejte zdroj %Admin_Managek roli “SMPTest” • Obnovte stránkuSMP • Můžete si hrát s rolemi - %Admin_Operate, %Admin_Secure atd. • Spusťe Caché Terminál, přihlaste se jako Bob, zkontrolujte Security Audit

  34. Řešení problémů • Řešili jste již nějaké problémy při nastavování bezpečnosti?

  35. Děkuji Vám!

More Related