HỌC VIỆN KỸ THUẬT MẬT Mà KHOA AN TỒN THƠNG TIN ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ MODULE THỰC HÀNH AN TOÀN CƠ SỞ DỮ LIỆU BÀI THỰC HÀNH THỰC HÀNH CƠ CHẾ VPD, OLS, Mà HĨA TDE VÀ TẤN CƠNG ROOTKIT TRÊN CSDL ORACLE Người xây dựng thực hành: GV Trần Thị Lượng HÀ NỘI, 2015 MỤC LỤC MỤC LỤC Thông tin chung thực hành Chuẩn bị thực hành Đối với giảng viên Đối với sinh viên Bài THỰC HÀNH CƠ CHẾ CƠ SỞ DỮ LIỆU RIÊNG ẢO (VPD) 1.1 GIỚI THIỆU 1.2 MỤC TIÊU THỰC HÀNH 1.3 NỘI DUNG THỰC HÀNH 1.3.1 Thực hành ngữ cảnh ứng dụng 1.3.2 Thực hành bảo mật mức hàng 16 1.3.3 Thực hành bảo mật mức cột 26 1.3.4 Thực hành quyền Exempt access policy 27 Bài THỰC HÀNH Mà HÓA CƠ SỞ DỮ LIỆU TRONG SUỐT (TDE) 28 2.1 GIỚI THIỆU 28 2.2 MỤC TIÊU THỰC HÀNH 29 2.3 NỘI DUNG THỰC HÀNH 29 2.3.1 Cấu hình Wallet 30 2.3.2 Mã hóa cột sở liệu TDE 32 2.3.3 Mã hóa không gian bảng sở liệu TDE 35 Bài THỰC HÀNH CƠ CHẾ AN TOÀN DỰA VÀO NHÃN (OLS) TRONG ORACLE 41 3.1 GIỚI THIỆU 41 3.2 MỤC TIÊU THỰC HÀNH 41 3.3 NỘI DUNG THỰC HÀNH 41 3.3.1 Hướng dẫn cấu hình OLS 42 3.3.2 Tạo tài khoản người dùng liệu 55 3.3.3 Tạo sách OLS 57 3.3.4 Tạo nhãn liệu (data label) để sử dụng 60 3.3.5 Áp dụng sách an tồn OLS cho bảng 61 3.3.6 Gán nhãn cho hàng liệu bảng 62 3.3.7 Tạo người dùng cần thiết 64 3.3.8 Gán nhãn cho người dùng 65 Bài THỰC HÀNH TẤN CÔNG ROOTKIT TRONG CƠ SỞ DỮ LIỆU ORACLE 70 -2- 4.1 GIỚI THIỆU 70 4.2 MỤC TIÊU THỰC HÀNH 70 4.3 NỘI DUNG THỰC HÀNH 70 TÀI LIỆU THAM KHẢO 82 PHỤ LỤC 83 Phụ lục Các thuộc tính ngữ cảnh mặc định Userenv 83 Phụ lục Hướng dẫn cài đặt Oracle 11g 86 -3- THÔNG TIN CHUNG VỀ BÀI THỰC HÀNH Tên thực hành: Thực hành chế sở liệu riêng ảo (VPD), chế an tồn dựa vào nhãn (OLS), mã hóa suốt (TDE) công Rootkit CSDL Oracle Module: An toàn sở liệu Số lượng sinh viên thực hiện: 01 Địa điểm thực hành: Phòng máy Yêu cầu:  Yêu cầu phần cứng:  Mỗi sinh viên bố trí 01 máy tính với cấu hình tối thiểu: CPU 2.0 GHz, RAM 2GB, HDD 50GB  Yêu cầu phần mềm máy:  Hệ điều hành Windows XP/7/8  Oracle 11g, JDK Development (bắt buộc)  SQL Developer (tùy chọn)  Công cụ thực hành:  Đĩa ảo HirenBoot 15.2 (*.ISO)  Yêu cầu kết nối mạng LAN: không  Yêu cầu kết nối mạng Internet: không  Yêu cầu khác: máy chiếu, bảng viết, bút/phấn viết bảng -4- CHUẨN BỊ BÀI THỰC HÀNH Đối với giảng viên Trước buổi học, giảng viên (người hướng dẫn thực hành) cần kiểm tra phù hợp điều kiện thực tế phòng thực hành với yêu cầu thực hành Ngồi khơng địi hỏi thêm Đối với sinh viên Trước bắt đầu thực hành, cần tạo máy ảo để sử dụng Đồng thời xác định vị trí lưu trữ công cụ phần yêu cầu -5- BÀI THỰC HÀNH CƠ CHẾ CƠ SỞ DỮ LIỆU RIÊNG ẢO (VPD) 1.1 GIỚI THIỆU Trong phần giới thiệu kiến thức chế sở liệu riêng ảo (VPD - Virtual Private Database) Oracle, thành phần sách VPD để thực thành công chế Oracle VPD cho phép thực bảo mật tới mức thấp trực tiếp bảng khung nhìn Chính sách bảo mật chế gán trực tiếp vào bảng khung nhìn tự động áp dụng người dùng truy xuất liệu, người dùng khơng có cách để bỏ qua kiểm tra Khi người dùng trực tiếp gián tiếp truy xuất vào bảng, khung nhìn bảo vệ sách VPD, máy chủ tự điều chỉnh cách tự động câu lệnh SQL người sử dụng Sự điều chỉnh dựa điều kiện mệnh đề WHERE (tân từ) trả lại hàm thực sách bảo mật Câu lệnh điều chỉnh cách tự động, suốt với người dùng Các sách VPD áp dụng cho câu lệnh SELECT, INSERT, UPDATE, INDEX DELETE  Ngữ cảnh ứng dụng (Application context) tập cặp thuộc tính - giá trị lưu nhớ Nó xác định, thiết lập lấy người dùng ứng dụng Các thuộc tính liên quan nhóm lại thành nhóm truy cập theo tên Bằng cách lưu trữ giá trị thuộc tính nhớ, sau chia sẻ chúng dựa ngữ cảnh giúp việc truy xuất giá trị nhanh chóng Thơng thường ngữ cảnh ứng dụng chứa số thuộc tính chẳng hạn tên người dùng, tổ chức, quy tắc, hay tiêu đề Các sách bảo mật tham chiếu tới thuộc tính người dùng kiểm sốt truy nhập Nhờ việc lưu trữ giá trị nhớ, nên với câu truy vấn giống nhau, hệ thống lấy giá trị ngữ cảnh ứng dụng, -6- tiết kiệm thời gian Vì mà tài liệu bảo mật thường chứa ngữ cảnh ứng dụng Tuy nhiên tất ngữ cảnh ứng dụng sử dụng việc thực thi bảo mật ngược lại  Ngữ cảnh mặc định: Oracle cung cấp ngữ cảnh mặc định cho phiên sử dụng CSDL Nó có khơng gian tên USERNV Hầu hết thuộc tính USRENV định sẵn CSDL Nếu ta sử dụng ngữ cảnh mặc định vấn đề trở nên đơn giản sáng sủa Bởi USERENV cung cấp nhiều thuộc tính hữu ích chẳng hạn thơng tin môi trường người dùng, địa IP máy khách, tên người dùng ủy quyền, giao thức sử dụng để kết nối Ví dụ cú pháp sau để trả thông tin phiên SYS_CONTEXT('userenv', 'tên thuộc tính')  Ngữ cảnh cục bộ: Khác với USERENV định danh người dùng thuộc tính khách hàng thiết lập người dùng ngữ cảnh cục thiết lập riêng cho phiên làm việc Ngữ cảnh cục hỗ trợ khả xác định không gian tên riêng dựa thuộc tính bổ sung  RLS (Row Level Security): sách bảo mật mức hàng cho phép giới hạn việc truy xuất hàng bảng khung nhìn dựa sách bảo mật thực PL/SQL Một sách bảo mật mơ tả quy định quản lý việc truy xuất hàng liệu Để thực RLS, tạo hàm PL/SQL trả chuỗi String String chứa điều kiện sách bảo mật mà ta muốn thực Hàm PL/SQL vừa tạo sau đăng ký cho bảng, khung nhìn mà ta muốn bảo vệ cách dùng package PL/SQL DBMS_RLS Khi có câu truy vấn user đối tượng bảo vệ, Oracle nối chuỗi trả từ hàm nêu vào mệnh đề WHERE câu lệnh SQL ban đầu, -7- nhờ lọc hàng liệu theo điều kiện sách bảo mật Vậy tóm lược chế làm việc RLS gồm bước sau:  Bước 1: Tạo hàm PL/SQL trả String A  Bước 2: Tạo sách bảo mật áp dụng vào bảng, khung nhìn muốn bảo vệ  Bước 3: Khi User thực câu truy vấn SQL Hệ thống gán String A vào sau mệnh đề WHERE Một ưu điểm RLS ta thay đổi nội dung sách bảo mật cách viết lại hàm thực sách (Bước 1) mà khơng cần phải đăng ký lại sách cho đối tượng cần bảo vệ (Bước 2) 1.2 MỤC TIÊU THỰC HÀNH Mục tiêu thực hành giúp sinh viên hiểu chế VPD biết cách thức thực kỹ thuật CSDL riêng ảo Oracle, bao gồm: + Ngữ cảnh ứng dụng (Application context) + Bảo mật mức hàng (Row-Level Security) + Bảo mật mức cột (Column Sensitive VPD) nhằm bảo vệ CSDL mức hàng mức cột 1.3 NỘI DUNG THỰC HÀNH Thực hành sở liệu riêng ảo chia thành phần thực hành nhỏ, bao gồm: -8-  Thực hành ngữ cảnh ứng dụng  Thực hành bảo mật mức hàng  Thực hành bảo mật mức cột  Thực hành quyền Exempt Access Policy 1.3.1 Thực hành ngữ cảnh ứng dụng Mục đích: nhằm giúp sinh viên hiểu ngữ cảnh ứng dụng cách tạo Yêu cầu: Đã cài đặt Oracle đăng nhập tài khoản có quyền tạo ngữ cảnh ứng dụng Bước 1: Chuẩn bị bảng tạo user để thực hành Đăng nhập vào SQL*Plus người dùng SYS quyền SYSDBA: conn / as sysdba Tạo tài khoản Congty phân quyền: create user congty identified by 123456; GRANT UNLIMITED TABLESPACE TO congty; grant create session to congty; grant resource to congty; -9- Thoát khỏi tài khoản SYS đăng nhập tài khoản Congty vừa tạo: disconnect conn congty/123456 Tạo bảng nhân viên: create table NhanVien( Tiếp theo, tạo bảng NhanVien: Create table NhanVien (MaNV varchar(10) primary key, TenTaiKhoan varchar(30), TenNV varchar(30), Phong varchar(30), ChucVu varchar(30), Luong int); Chèn liệu vào bảng NhanVien: - 10 - connect hacker/abc123 update system.nhanvien set luong= 6000000 where manv=’nv001’; Sửa chức vụ trưởng phịng thành nhân viên có họ tên Quốc Trung update system.nhanvien set chucvu=’nhanvien’ where hoten=’quoc trung ’; - 79 - Truy vấn liệu sau sửa => bị thay đổi select * from system.nhanvien; Thay đổi chức vụ từ nhân viên lên quản lý lương từ 5.000000 lên 8.000000 nhân viên Kim Chuyên: - 80 - - 81 - TÀI LIỆU THAM KHẢO [1] Oracle Corporation, Oracle9i Database Concepts Release (9.2), Part Number A96524-01, 2002 [2] Oracle Corporation, Database Security Guide 10g Release (10.1) Part Number B10773-01, 2002 [3] Adam Cecchetti Leviathan Security Group, Inc Oracle Database Server 11g, Version 1.0.1, January 2009 [4] Hale, L P Advanced Security Administrator's Guide 2003) (December [5] Jeloka, S Advanced Security Administrator’s Guide 11g Release (11.1), (January 2014) [6] Jeloka, S Advanced Security Administrator’s Guide, (June 2012) [7] Wah, P Oracle Advanced Security Transparent Data Encryption Best Practices, (July 2012) - 82 - PHỤ LỤC Phụ lục CÁC THUỘC TÍNH TRONG NGỮ CẢNH MẶC ĐỊNH USERENV Tên thuộc tính ACTION AUDITED_CUR SORID AUTHENTICAT ED_IDENTITY AUTHENTICAT ION_DATA AUTHENTICAT ION_METHOD BG_JOB_ID CLIENT_IDEN TIFIER CLIENT_INFO CURRENT_BIN Giá trị trả ID vị trí module (application name) thiết lập thơng qua DBMS_APPLICATION_INFO package OCI Trả ID cursor phiên mà Triggered kiểm tốn Tham số khơng hợp lệ mơi trường kiểm tốn mức mịn Trả ID người dùng sử dụng xác thực Dữ liệu sử dụng để xác thực người dùng đăng nhập Trả phương thức xác thực ID cơng việc phiên thành lập tiến trình Trả ID thiết lập ứng dụng thông qua thủ tục DBMS_SESSION.SET_IDENTIFIER, thuộc tính OCI_ATTR_CLIENT_IDENTIFIER OCI, lớp Java Oracle.jdbc.OracleConnection.setClie ntIdentifier Trả kích thước lên tới 64 byte thông tin phiên người dùng lưu trữ DBMS_APPLICATION_INFO package Các biến ràng buộc kiểm toán mức mịn D CURRENT_SCH Tên schema EMA CURRENT_SCH EMAID CURRENT_SQL ID schema CURRENT_SQL trả 4K byte dầu tiên SQL Triggered kiểm toán mức mịn - 83 - CURRENT_SQL CURRENT_SQLn trả 4K byte n CURRENT_SQL _LENGTH DB_DOMAIN DB_NAME DB_UNIQUE_N AME ENTRYID ENTERPRISE_ IDENTITY FG_JOB_ID GLOBAL_CONT EXT_MEMORY GLOBAL_UID HOST IDENTIFICAT ION_TYPE INSTANCE INSTANCE_NA ME IP_ADDRESS Độ dài SQL Triggered kiểm toán mức mịn Tên miền CSDL Tên CSDL Tên CSDL Số Entry kiểm toán Trả ID người dùng doanh nghiệp ID cơng việc phiên thành lập tiến trình bật Trả số sử dụng System Global Area Trả ID người dùng toàn cục từ Oracle Internet Directory for Enterprise User Security Tên máy chủ mà Client kết nối tới Trả cách mà schema tạo CSDL Số ID Instance Tên Instance Địa IP máy chủ mà Client kết nối tới ISDBA LANG LANGUAGE MODULE NETWORK_PRO TOCOL NLS_CALENDA R NLS_CURRENC Y Trả TRUE người dùng xác thực có đặc quyền DBA Chữ viết tắt ISO cho tên ngôn ngữ Ngôn ngữ lãnh thổ sử dụng phiên người dùng Tên ứng dụng thiết lập thông qua OCI DBMS_APPLICATION_INFO Giao thức mạng sử dụng để liên lạc Lịch phiên Đơn vị tiền tệ phiên - 84 - NLS_DATE_FO Định dạng ngày phiên RMAT NLS_DATE_LA NGUAGE NLS_SORT NLS_TERRITO RY OS_USER POLICY_INVO KER PROXY_ENTER PRISE_IDENTITY PROXY_GLOBA L_UID PROXY_USER PROXY_USERI D SERVER_HOST SERVICE_NAM Ngôn ngữ sử dụng để diễn tả ngày BINARY linguistic Lãnh thổ phiên Tên tài khoản OS bắt đầu phiên Invoker RLS policy functions Trả Oracle Internet Directory DN tài khoản proxy tài khoản doanh nghiệp ID tài khoản toàn cục từ Oracle Internet Directory for Enterprise User Security NULL cho tất tài khoản proxy khác Tên người dùng mở phiên danh nghĩa SESSION_USER ID người dùng mở phiên danh nghĩa SESSION_USER Tên máy chủ chạy Tên dịch vụ mà phiên kết nối E SESSION_USE R SESSION_USE RID SESSIONID SID STATEMENTID TERMINAL Đối với tài khoản doanh nghiệp trả schema Đối với người dùng khác, trả tên tài khoản CSDL mà người dùng xác thực ID người dùng CSDL mà người dùng xác thức ID phiên kiểm toán Số phiên (khác với sessionID) Định danh báo cáo kiểm toán STATEMENTID trả số lượng câu SQL kiểm toán phiên cụ thể Định danh OS client phiên - 85 - Phụ lục HƯỚNG DẪN CÀI ĐẶT ORACLE 11G Mục đích: Cài đặt Oracle 11g Các bước cài đặt Oracle 11g thực sau: Bước 1: Cài đặt JDK Development Để cài đặt Oracle 11g, trước hết phải cài JDK Development trước, cài đặt JDK Development Ấn Next - 86 - Chọn vị trí cài đặt JDK, ấn Next Ấn Next Ấn Close để hoàn tất cài đặt JDK Development - 87 - Bước 2: Cài đặt Oracle Database 11g Oracle Universal Installer khởi động: Trong cửa sổ Configure Security Updates, nhập email (có thể bỏ qua) nhấn Next Chọn Install database software only cửa sổ Select Installation option nhấn Next - 88 - Chọn Single Instance Database installation nhấn Next - 89 - Trong cửa sổ Select Product Language chọn English ấn Next Trong cửa sổ Select Database Edition chọn Select Options - 90 - Tại ta tích vào Oracle Label Security (vì sau có phần thực hành chế này) sau nhấn OK Sau quay cửa sổ Select Database Edition nhấn Next - 91 - Trong cửa sổ Specify Installation Location ta chọn đường dẫn nhấn Next Trong cửa sổ Summary, chọn Finish để hoàn tất cài đặt - 92 - Bước 3: cài SQL Developer (tùy chọn) Nếu bạn cảm thấy tạo CSDL câu lệnh SQL command line hay Database Home Page q khơ khan tải SQL Developer để thực CSDL giao diện đồ họa Vì SQL Developer chạy java, system 32 thiếu file MSCVR100.dll, nên ta tải file đặt system 32 cài vcredist_x86 sau: Ấn vào “I have read and accept the license terms.” Và ấn Install Ấn Finish để kết thúc - 93 - ... đặt Oracle 11g 86 -3- THÔNG TIN CHUNG VỀ BÀI THỰC HÀNH Tên thực hành: Thực hành chế sở liệu riêng ảo (VPD), chế an toàn dựa vào nhãn (OLS), mã hóa suốt (TDE) cơng Rootkit CSDL Oracle Module: ... 27 - BÀI THỰC HÀNH Mà HÓA CƠ SỞ DỮ LIỆU TRONG SUỐT (TDE) 2.1 GIỚI THIỆU Mã hóa liệu suốt (TDE – Transparent Data Encryption) chế bảo mật tiên tiến Oracle, có khả tự động mã hóa giải mã liệu lưu... điều hành Ngoài khóa chủ lưu trữ HSM Khóa chủ quan trọng sử dụng để bảo vệ khóa mã hóa lưu trữ bên sở liệu Oracle Để mã hóa cột, TDE tạo khóa mã hóa cho bảng có yêu cầu mã hóa cột Kết khóa mã hóa