HỌC VIỆN KỸ THUẬT MẬT Mà KHOA AN TỒN THƠNG TIN ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ MODULE THỰC HÀNH AN TOÀN CƠ SỞ DỮ LIỆU BÀI THỰC HÀNH THỰC HÀNH CƠ CHẾ VPD, OLS, Mà HĨA TDE VÀ TẤN CƠNG ROOTKIT TRÊN CSDL ORACLE Người xây dựng thực hành: GV Trần Thị Lượng HÀ NỘI, 2015 MỤC LỤC MỤC LỤC Thông tin chung thực hành Chuẩn bị thực hành Đối với giảng viên Đối với sinh viên Bài THỰC HÀNH CƠ CHẾ CƠ SỞ DỮ LIỆU RIÊNG ẢO (VPD) 1.1 GIỚI THIỆU 1.2 MỤC TIÊU THỰC HÀNH 1.3 NỘI DUNG THỰC HÀNH 1.3.1 Thực hành ngữ cảnh ứng dụng 1.3.2 Thực hành bảo mật mức hàng 1.3.3 Thực hành bảo mật mức cột 1.3.4 Thực hành quyền Exempt access policy Bài THỰC HÀNH Mà HÓA CƠ SỞ DỮ LIỆU TRONG SUỐT (TDE) 2.1 GIỚI THIỆU 2.2 MỤC TIÊU THỰC HÀNH 2.3 NỘI DUNG THỰC HÀNH 2.3.1 Cấu hình Wallet 2.3.2 Mã hóa cột sở liệu TDE 2.3.3 Mã hóa không gian bảng sở liệu TDE Bài THỰC HÀNH CƠ CHẾ AN TOÀN DỰA VÀO NHÃN (OLS) TRONG ORACLE 3.1 GIỚI THIỆU 3.2 MỤC TIÊU THỰC HÀNH 3.3 NỘI DUNG THỰC HÀNH 3.3.1 Hướng dẫn cấu hình OLS 3.3.2 Tạo tài khoản người dùng liệu 3.3.3 Tạo sách OLS 3.3.4 Tạo nhãn liệu (data label) để sử dụng 3.3.5 Áp dụng sách an tồn OLS cho bảng 3.3.6 Gán nhãn cho hàng liệu bảng 3.3.7 Tạo người dùng cần thiết 3.3.8 Gán nhãn cho người dùng Bài THỰC HÀNH TẤN CÔNG ROOTKIT TRONG CƠ SỞ DỮ LIỆU ORACLE -2- 4.1 GIỚI THIỆU 70 4.2 MỤC TIÊU THỰC HÀNH 70 4.3 NỘI DUNG THỰC HÀNH 70 TÀI LIỆU THAM KHẢO .82 PHỤ LỤC 83 Phụ lục Các thuộc tính ngữ cảnh mặc định Userenv 83 Phụ lục Hướng dẫn cài đặt Oracle 11g 86 -3- THÔNG TIN CHUNG VỀ BÀI THỰC HÀNH Tên thực hành: Thực hành chế sở liệu riêng ảo (VPD), chế an tồn dựa vào nhãn (OLS), mã hóa suốt (TDE) cơng Rootkit CSDL Oracle Module: An tồn sở liệu Số lượng sinh viên thực hiện: 01 Địa điểm thực hành: Phòng máy Yêu cầu:  Yêu cầu phần cứng:  Mỗi sinh viên bố trí 01 máy tính với cấu hình tối thiểu: CPU 2.0 GHz, RAM 2GB, HDD 50GB  Yêu cầu phần mềm máy:  Hệ điều hành Windows XP/7/8  Oracle 11g, JDK Development (bắt buộc)  SQL Developer (tùy chọn)  Công cụ thực hành:  Đĩa ảo HirenBoot 15.2 (*.ISO)  Yêu cầu kết nối mạng LAN: không  Yêu cầu kết nối mạng Internet: không  Yêu cầu khác: máy chiếu, bảng viết, bút/phấn viết bảng -4- CHUẨN BỊ BÀI THỰC HÀNH Đối với giảng viên Trước buổi học, giảng viên (người hướng dẫn thực hành) cần kiểm tra phù hợp điều kiện thực tế phòng thực hành với yêu cầu thực hành Ngồi khơng địi hỏi thêm Đối với sinh viên Trước bắt đầu thực hành, cần tạo máy ảo để sử dụng Đồng thời xác định vị trí lưu trữ công cụ phần yêu cầu -5- BÀI THỰC HÀNH CƠ CHẾ CƠ SỞ DỮ LIỆU RIÊNG ẢO (VPD) 1.1 GIỚI THIỆU Trong phần giới thiệu kiến thức chế sở liệu riêng ảo (VPD - Virtual Private Database) Oracle, thành phần sách VPD để thực thành cơng chế Oracle VPD cho phép thực bảo mật tới mức thấp trực tiếp bảng khung nhìn Chính sách bảo mật chế gán trực tiếp vào bảng khung nhìn tự động áp dụng người dùng truy xuất liệu, người dùng khơng có cách để bỏ qua kiểm tra Khi người dùng trực tiếp gián tiếp truy xuất vào bảng, khung nhìn bảo vệ sách VPD, máy chủ tự điều chỉnh cách tự động câu lệnh SQL người sử dụng Sự điều chỉnh dựa điều kiện mệnh đề WHERE (tân từ) trả lại hàm thực sách bảo mật Câu lệnh điều chỉnh cách tự động, suốt với người dùng Các sách VPD áp dụng cho câu lệnh SELECT, INSERT, UPDATE, INDEX DELETE  Ngữ cảnh ứng dụng (Application context) tập cặp thuộc tính - giá trị lưu nhớ Nó xác định, thiết lập lấy người dùng ứng dụng Các thuộc tính liên quan nhóm lại thành nhóm truy cập theo tên Bằng cách lưu trữ giá trị thuộc tính nhớ, sau chia sẻ chúng dựa ngữ cảnh giúp việc truy xuất giá trị nhanh chóng Thơng thường ngữ cảnh ứng dụng chứa số thuộc tính chẳng hạn tên người dùng, tổ chức, quy tắc, hay tiêu đề Các sách bảo mật tham chiếu tới thuộc tính người dùng kiểm soát truy nhập Nhờ việc lưu trữ giá trị nhớ, nên với câu truy vấn giống nhau, hệ thống lấy giá trị ngữ cảnh ứng dụng, -6- tiết kiệm thời gian Vì mà tài liệu bảo mật thường chứa ngữ cảnh ứng dụng Tuy nhiên tất ngữ cảnh ứng dụng sử dụng việc thực thi bảo mật ngược lại  Ngữ cảnh mặc định: Oracle cung cấp ngữ cảnh mặc định cho phiên sử dụng CSDL Nó có khơng gian tên USERNV Hầu hết thuộc tính USRENV định sẵn CSDL Nếu ta sử dụng ngữ cảnh mặc định vấn đề trở nên đơn giản sáng sủa Bởi USERENV cung cấp nhiều thuộc tính hữu ích chẳng hạn thơng tin môi trường người dùng, địa IP máy khách, tên người dùng ủy quyền, giao thức sử dụng để kết nối Ví dụ cú pháp sau để trả thông tin phiên SYS_CONTEXT('userenv', 'tên thuộc tính')  Ngữ cảnh cục bộ: Khác với USERENV định danh người dùng thuộc tính khách hàng thiết lập người dùng ngữ cảnh cục thiết lập riêng cho phiên làm việc Ngữ cảnh cục hỗ trợ khả xác định khơng gian tên riêng dựa thuộc tính bổ sung  RLS (Row Level Security): sách bảo mật mức hàng cho phép giới hạn việc truy xuất hàng bảng khung nhìn dựa sách bảo mật thực PL/SQL Một sách bảo mật mơ tả quy định quản lý việc truy xuất hàng liệu Để thực RLS, tạo hàm PL/SQL trả chuỗi String String chứa điều kiện sách bảo mật mà ta muốn thực Hàm PL/SQL vừa tạo sau đăng ký cho bảng, khung nhìn mà ta muốn bảo vệ cách dùng package PL/SQL DBMS_RLS Khi có câu truy vấn user đối tượng bảo vệ, Oracle nối chuỗi trả từ hàm nêu vào mệnh đề WHERE câu lệnh SQL ban đầu, -7- nhờ lọc hàng liệu theo điều kiện sách bảo mật Vậy tóm lược chế làm việc RLS gồm bước sau:  Bước 1: Tạo hàm PL/SQL trả String A  Bước 2: Tạo sách bảo mật áp dụng vào bảng, khung nhìn muốn bảo vệ  Bước 3: Khi User thực câu truy vấn SQL Hệ thống gán String A vào sau mệnh đề WHERE Một ưu điểm RLS ta thay đổi nội dung sách bảo mật cách viết lại hàm thực sách (Bước 1) mà khơng cần phải đăng ký lại sách cho đối tượng cần bảo vệ (Bước 2) 1.2 MỤC TIÊU THỰC HÀNH Mục tiêu thực hành giúp sinh viên hiểu chế VPD biết cách thức thực kỹ thuật CSDL riêng ảo Oracle, bao gồm: + Ngữ cảnh ứng dụng (Application context) + Bảo mật mức hàng (Row-Level Security) + Bảo mật mức cột (Column Sensitive VPD) nhằm bảo vệ CSDL mức hàng mức cột 1.3 NỘI DUNG THỰC HÀNH Thực hành sở liệu riêng ảo chia thành phần thực hành nhỏ, bao gồm: -8-  Thực hành ngữ cảnh ứng dụng  Thực hành bảo mật mức hàng  Thực hành bảo mật mức cột  Thực hành quyền Exempt Access Policy 1.3.1 Thực hành ngữ cảnh ứng dụng Mục đích: nhằm giúp sinh viên hiểu ngữ cảnh ứng dụng cách tạo Yêu cầu: Đã cài đặt Oracle đăng nhập tài khoản có quyền tạo ngữ cảnh ứng dụng Bước 1: Chuẩn bị bảng tạo user để thực hành Đăng nhập vào SQL*Plus người dùng SYS quyền SYSDBA: conn / as sysdba Tạo tài khoản Congty phân quyền: create user congty identified by 123456; GRANT UNLIMITED TABLESPACE TO congty; grant create session to congty; grant resource to congty; -9- Thoát khỏi tài khoản SYS đăng nhập tài khoản Congty vừa tạo: disconnect conn congty/123456 Tạo bảng nhân viên: create table NhanVien( Tiếp theo, tạo bảng NhanVien: Create table NhanVien (MaNV varchar(10) primary key, TenTaiKhoan varchar(30), TenNV varchar(30), Phong varchar(30), ChucVu varchar(30), Luong int); Chèn liệu vào bảng NhanVien: -10- Truy vấn liệu sau sửa => bị thay đổi select * from system.nhanvien; Thay đổi chức vụ từ nhân viên lên quản lý lương từ 5.000000 lên 8.000000 nhân viên Kim Chuyên: -80- -81- TÀI LIỆU THAM KHẢO Oracle Corporation, Oracle9i Database Concepts Release (9.2), Part Number A96524-01, 2002 [1] Oracle Corporation, Database Security Guide 10g Release (10.1) Part Number B10773-01, 2002 [2] Adam Cecchetti Leviathan Security Group, Inc Oracle Database Server 11g, Version 1.0.1, January 2009 [3] [4] Hale, L P Advanced Security Administrator's Guide (December 2003) Jeloka, S Advanced Security Administrator’s Guide 11g Release (11.1), (January 2014) [6] Jeloka, S Advanced Security Administrator’s Guide, (June 2012) [5] [7] Wah, P Oracle Advanced Security Transparent Data Encryption Best Practices, (July 2012) -82- PHỤ LỤC Phụ lục CÁC THUỘC TÍNH TRONG NGỮ CẢNH MẶC ĐỊNH USERENV Tên thuộc tính ACTION AUDITED_CUR SORID AUTHENTICAT ED_IDENTITY AUTHENTICAT ION_DATA AUTHENTICAT ION_METHOD BG_JOB_ID CLIENT_IDEN TIFIER CLIENT_INFO D EMA CURRENT_BIN CURRENT_SCH CURRENT_SCH EMAID CURRENT_SQL -83CURRENT_SQL n CURRENT_SQL _LENGTH DB_DOMAIN DB_NAME DB_UNIQUE_N AME ENTRYID ENTERPRISE_ IDENTITY FG_JOB_ID GLOBAL_CONT EXT_MEMORY GLOBAL_UID HOST IDENTIFICAT ION_TYPE INSTANCE INSTANCE_NA ME IP_ADDRESS ISDBA LANG LANGUAGE MODULE NETWORK_PRO TOCOL R Y NLS_CALENDA NLS_CURRENC -84RMAT NLS_DATE_FO NLS_DATE_LA NGUAGE NLS_SORT RY NLS_TERRITO OS_USER KER POLICY_INVO PROXY_ENTER PRISE_IDENTITY PROXY_GLOBA L_UID PROXY_USER PROXY_USERI D SERVER_HOST E SERVICE_NAM SESSION_USE R SESSION_USE RID SESSIONID SID STATEMENTID TERMINAL -85- Phụ lục HƯỚNG DẪN CÀI ĐẶT ORACLE 11G Mục đích: Cài đặt Oracle 11g Các bước cài đặt Oracle 11g thực sau: Bước 1: Cài đặt JDK Development Để cài đặt Oracle 11g, trước hết phải cài JDK Development trước, cài đặt JDK Development Ấn Next -86- Chọn vị trí cài đặt JDK, ấn Next Ấn Next Ấn Close để hoàn tất cài đặt JDK Development -87- Bước 2: Cài đặt Oracle Database 11g Oracle Universal Installer khởi động: Trong cửa sổ Configure Security Updates, nhập email (có thể bỏ qua) nhấn Next Chọn Install database software only cửa sổ Select Installation option nhấn Next -88- Chọn Single Instance Database installation nhấn Next -89- Trong cửa sổ Select Product Language chọn English ấn Next Trong cửa sổ Select Database Edition chọn Select Options -90- Tại ta tích vào Oracle Label Security (vì sau có phần thực hành chế này) sau nhấn OK Sau quay cửa sổ Select Database Edition nhấn Next -91- Trong cửa sổ Specify Installation Location ta chọn đường dẫn nhấn Next Trong cửa sổ Summary, chọn Finish để hoàn tất cài đặt -92- Bước 3: cài SQL Developer (tùy chọn) Nếu bạn cảm thấy tạo CSDL câu lệnh SQL command line hay Database Home Page q khơ khan tải SQL Developer để thực CSDL giao diện đồ họa Vì SQL Developer chạy java, system 32 thiếu file MSCVR100.dll, nên ta tải file đặt system 32 cài vcredist_x86 sau: Ấn vào “I have read and accept the license terms.” Và ấn Install Ấn Finish để kết thúc -93- ... đặt Oracle 11g 86 -3- THÔNG TIN CHUNG VỀ BÀI THỰC HÀNH Tên thực hành: Thực hành chế sở liệu riêng ảo (VPD), chế an toàn dựa vào nhãn (OLS), mã hóa suốt (TDE) cơng Rootkit CSDL Oracle Module: ... -27- BÀI THỰC HÀNH Mà HÓA CƠ SỞ DỮ LIỆU TRONG SUỐT (TDE) 2.1 GIỚI THIỆU Mã hóa liệu suốt (TDE – Transparent Data Encryption) chế bảo mật tiên tiến Oracle, có khả tự động mã hóa giải mã liệu lưu... điều hành Ngoài khóa chủ lưu trữ HSM Khóa chủ quan trọng sử dụng để bảo vệ khóa mã hóa lưu trữ bên sở liệu Oracle Để mã hóa cột, TDE tạo khóa mã hóa cho bảng có yêu cầu mã hóa cột Kết khóa mã hóa