Tag Archives: Kerberos

DB 12.2: Neue Security Features

Oracle hat die Dokumentation für die Datenbank Version 12.2 veröffentlicht. Es sind eine Reihe neuer Security Features enthalten, insbesondere im Bereich TDE (Transparent Data Encryption). Wir bereits vermutet wurde, wird der Krypto-Algorithmus GOST unterstützt. Auch in der Kerberos-Implementierung soll sich einiges verbessert haben: Kerberos kann nun auch für Direct NFS genutzt werden und die Client-Konfiguration wird einfacher.

Eine kurze Übersicht über die neuen Security Features gibt der New Features Guide12c Release 2:

Encryption

  • TDE Tablespace Live Conversion
  • Fully Encrypted Database
  • Support for ARIA, SEED, and GOST Encryption Algorithms in TDE
  • TDE Tablespace Offline Conversion

Kerberos in der Standard Edition

Stefan Oehrli beschreibt in seinem Blog, wie man Kerberos in der Oracle Datenbank Standard Edition verwenden kann.

In der Datenbank 11g Standard Edition wird Kerberos nicht unterstützt. In MOS Note 2145731.1 ist beschrieben, wie der RADIUS Adapter in dieser Datenbank-Version eingeschaltet werden kann. Die gleiche Vorgehensweise kann auf benutzt werden, um Kerberos einzuschalten, auch wenn MOS Note 2028070.1 ausführt, das Kerberos in der SE nicht verfügbar ist.

 

Oracle CPU Advisory April: Kerberos Schwachstelle

CVE-2016-0677 ist eine Schwachstelle in der Kerberos-Implementation der Oracle Datenbank. Betroffen sind die Versionen 12.1.0.1 und 12.1.0.2, also die neue Kerberos-Implementation in Oracle 12.

“Die einfach auszunutzende Schwachstelle kann durch einen entfernten, nicht authentisierten Angreifer zum Herbeiführen eines kompletten Denial-of-Service-Zustands ausgenutzt werden” (DFN-CERT-2016-0646). Das Oracle Critical Patch Upgrade April 2016 beseitigt noch 5 weitere sicherheitsrelevante Datenbank-Fehler. Zwei dieser Schwachstellen, darunter das Kerberos-Problem, können aus der Ferne ohne Authentifizierung eines Benutzers ausgenutzt werden.

Neuer Kerberos Stack: AD Authentifikation für Datenbank 12c

Wir haben in diesem Blog des öfteren die Empfehlung ausgesprochen, eine zentrale Benutzerverwaltung statt lokaler Benutzerkonten für den Zugang zu Oracle Datenbanken zu verwenden. Für Umgebungen mit bestehender Active Directory Infrastruktur bietet sich hierfür in erster Linie die AD-Anbindung über LDAP und Kerberos an.

Die Kerberos-Unterstützung ist bereits seit Version 7 der Oracle Datenbank vorhanden und gut dokumentiert. Für die Anbindung an Active Directory wird in der Regel ein Oracle LDAP-Server (OID oder OUD) verwendet, um die Oracle-spezifischen Einstellungen nicht im Active Directory Verzeichnis speichern zu müssen. Die Einrichtung dieser Komponenten mit der Datenbank 11gR2, dem Oracle Internet Directory als LDAP-Server und Microsoft Windows Server 2008 haben wir bereits in diesem Blog und in unserem Wiki beschrieben.

Enterprise Security mit LDAP und PKI – Varianten der zentralen Benutzerverwaltung für Oracle Datenbanken

Einleitung

Direkte Benutzerkonten und Passwörter in der Datenbank sind eine Sicherheits-Schwachstelle, da in der Regel keine eindeutige Zuordnung von natürlichen Personen zu Benutzerkonten möglich ist, keine unternehmenseinheitliche Sicherheitsregel durchgesetzt werden kann und ausgeschiedene Mitarbeiter nicht sicher und sofort aus sämtlichen Systemen ausgeschlossen werden können.

In diesem Artikel werden die verschiedenen Möglichkeiten aufgezeigt, Enterprise Single Sign On und Public Key Infrastructure (PKI) zu nutzen, um Datenbankbenutzer zu authentifizieren. Anhand von Projekterfahrungen aus der Praxis wird die Integration der Oracle Datenbank mit LDAP-Verzeichnissen (OID, OUD) und Microsoft ActiveDirectory mit und ohne Oracle Virtual Directory (OVD) erklärt sowie die Einführung von SmartCard-basierter PKI als Alternative vorgestellt.