数据库安全网关用户使用手册.doc

I 数据库安全网关数据库安全网关 用户使用手册用户使用手册 国家电网信息安全实验室国家电网信息安全实验室 20092009 年年 1212 月月 I 目目 录录 1 简介简介 1 1 1 产品概述 1 1 2 产品功能 1 2 安装安装 2 2 1 目标 2 2 1 1 数据库安全加固系统配置 3 2 1 2 Oracle客户端配置 8 2 1 3 使用数据库安全加固系统 8 3 详细配置说明详细配置说明 11 3 1 ORACLE 客户端配置 11 3 1 1 Oracle客户端通道的建立 11 3 2 系统配置 12 3 2 1 登录系统 12 3 2 2 服务映射配置 12 3 2 3 权限配置 13 3 2 4 连接监控 15 3 2 5 日志管理 15 3 3 使用数据库安全加固系统 16 3 3 1 启动服务程序 16 3 3 2 应用程序访问数据库 17 3 3 3 连接监控 17 3 3 4 日志管理 18 3 3 5 密码管理 19 3 4 管理员日志审计 19 4 附录附录 A ORACLE 网络连接设置网络连接设置 20 1 1 简介简介 1 1 产品概述产品概述 由于 Oracle 数据库本身安全性的不足 攻击者可能通过非正常途径来访问数 据库 甚至实施缓冲区溢出或 SQL 注入来攻击数据库 从而造成敏感信息的泄漏 危害数据安全以及信息系统的安全 为保障数据库以及信息系统的安全 在应用 系统和数据库之间增加一个透明数据库安全加固系统 对数据库的所有操作必须 通过该系统才能完成 达到对数据库安全加固的目的 引入数据库安全加固系统后 数据库系统的体系结构如图 1 1 所示 图图 1 1 1 2 产品功能产品功能 1 数据库映射 通过映射 把真实数据库与应用程序隔离 用户只能访问 映射的 映像数据库 2 连接控制 可以限制访问数据库的连接数 连接数范围是 1 50 支持 多用户并发连接 2 3 实体权限管理 通过配置各用户对数据库的访问权限 独立于数据库的 权限控制 到表一级 严格限制 IP 用户名 对数据库的操作 避免攻击者以不 同 IP 或不同用户名非法连接到数据库或者攻击者非法提升权限后进行 合法 的越 权访问 4 连接监控 实时监控当前所有到数据库的连接 监控信息包括连接建立 时间 来源 IP 登录用户名 上行流量 下行流量 非法操作 攻击 统计等 管理员可以随时中断指定的连接 5 攻击保护 分析连接的指令流 自动识别出缓冲区溢出攻击和 SQL 注入 攻击 并自动阻止攻击 6 审计 对不同的数据库 用户 表 可配置不同的审计策略 审计事件 包括建立连接 断开连接 非法操作 常规 SQL 操作 攻击等 可通过时间 精 确到天 IP 用户名 事件类型等条件进行审计结果查询 查询结果可以导出为 XML TXT 等格式文件 7 支持 ODBC JDBC OCI 多种编程接口 2 安装安装 启动硬件 通过终端访问硬件数据库安全加固系统 修改 IP 为需要的 IP 即 可完成部署 硬件默认第一网口开启 默认 ip 192 168 0 10 系统默认账户 admin 和密码 abcde12345 2 1 2 1 目标目标 假设现有一个数据库服务器 IP 地址为 192 168 0 1 运行 Oracle 数据库 端 口为默认的 1521 应用服务器 IP 地址为 192 168 0 2 使用 scott 用户登录 业务 处理中仅需要对模式 scott 下的 dept 表的访问操作 本例中应用程序为 Oracle 的 客户端工具 sql plus 数据库系统没有进行任何安全防护 3 在本例中 希望通过部署数据库安全加固系统 达到如下目的 屏蔽数据库原端口 而使用 6000 端口对外提供数据服务 避免缺省 扫描 仅允许 192 168 0 2 上的 scott 用户登录 且只允许其对数据库 scott 下 的 dept 表执行操作 对于来自于其它 IP 的用户拒绝连接到数据库 对于来自于 192 168 0 2 上的其它用户也拒绝连接到数据库 对于 192 168 0 2 上的 scott 用户 不允许访问 scott dept 以外的表 视 图 防止任意用户进行缓冲区溢出攻击和 SQL 注入攻击 2 1 1 数据库安全加固系统配置数据库安全加固系统配置 启动设备 直接输入 http IP srs ora IP 为该硬件设备的 IP 即可 输入管理员账号 xx 输入默认密码 abcde12345 如下图 图 2 1 登录成功后 进入服务映射列表页面 如图 2 2 所示 系统将显示所有的服 务映射信息 4 图 2 2 点击添加按钮 添加服务器映射 在如下输入框中输入 自定义映射名 map3 IP 地址 数据库服务器 IP 输入 192 168 0 1 选择本地监听 IP 如果本 机只有一个 IP 将不能选择 如果有多个 IP 请指定需要绑定的 IP 数据库类型 选择 oracle 图 2 3 点击确定完成添加映射 最大连接数默认 点击 服务映射 节点 在右侧面板选中一个服务映射可以修改和删除服务 映射 修改之后 需重启该映射生效 图 2 4 先停止 再运行 5 图 2 4 配置客户端 点击授权节点下的客户端 如下图 图 2 5 点击 客户端白名单列表 下的 添加 按钮 添加可以访问的客户端 客 户端可以是单个 IP 也可以是一个 IP 段 如下图 图 2 6 输入客户端名称 起始 IP 和终止 IP 如果要设置单个 IP 将起始 IP 和终止 IP 设置为相同即可 这些 IP 将可以访问数据库映射 如果添加到黑名单里 则 这些 IP 将无法访问数据库映射 客户端说明填写一些注记 添加成功后选中在 客户端 节点的右侧面板中选中一个客户端实例 可以通过 修改 按钮和 6 删除 按钮来编辑和删除客户端 完成之后在 授权 节点处点击 立即应 用 按钮 配置用户 在客户端节点下选择客户端 ClientA 右侧显示用户白名单列表和用户黑名列 表 如图 2 7 图 2 7 单击白名单列表上的 添加 按钮 出现 添加用户 面板 如图 2 8 图 2 8 点击 确定 按钮 那么表明客户端 ClientA 可以通过用户 scott 登录到 map1 映射的数据库上 其他用户比如 system 登录时 系统将会根据默认审计策 略做出相应的动作 同样 如果在黑名单上添加 意味着除了 scott 剩下的用户都 可以正常登录 7 点击 ClientA 节点 在右侧的面板上选中一个用户可以对其进行删除和修 改 之后点击 授权 节点下的 立即应用 按钮 配置用户权限 可以通过两种方式来配置用户权限 1 选中 scott 节点 点击 数据库白名单 在右侧点击 添加 按钮 添加数据库 如图 2 9 图 2 9 如果选择 无 子节点 表示数据库下所有的模式和表都采用越权审计策略 如果选择 有 节点 则点击数据库节点来添加模式 同样 点击模式节点可以 添加字段 数据库黑名单的添加方法类似 2 选中 scott 节点 右侧面板将显示当前可用已经加入的组和未加入的组 组是一个数据库权限和越权审计策略配置的集合 添加方法和 1 中的一样 在 当前用户未加入组列表 中选中一个组 点击 添加 添加到 当前用户已 加入组列表 如图 2 10 然后 scott 就拥有了组 group1 里的所有配置 也可以在 8 组的配置页面上将 scott 添加到组 图 2 10 2 1 2 Oracle 客户端配置客户端配置 要访问 Oracle 服务器 我们必须通过 Oracle 客户端或者 JDBC 来进行 具体 配置步骤参见 3 1 的 Oracle 客户端配置 此处我们配置客户端网络服务名 orcl2 2 1 3 使用使用数据库安全加固系统数据库安全加固系统 数据库安全加固系统对应用程序来说是透明的 合法操作与没加入数据库安 全加固系统时一致 非法操作则返回操作失败 并审计其操作 点击配置系统右上角的保存按钮 保存配置 点击启动按钮 启动数据库安 全加固系统 运行 Oracle 客户端 SQLPLUS 9 图 2 11 在 SQLPLUS 中输入 conn system 123456 orcl2 并执行 显示已连接 尝试使用 select 语句访问 dept 表格的数据 尝试使用其它用户登录 并访问其它 表格或者视图的数据 操作结果验证上述合法操作均成功进行 与部署该数据库 安全加固系统之前并没有区别 这也正是该系统完全透明所在 用户访问的并不 是一个真实存在的数据库 而是一个虚拟的数据库系统 但是结果和数据库系统 并无二致 尝试使用缓冲区溢出攻击和 SQL 注入攻击 操作结果表明上述非法操 作失败 上述操作结果表明数据库安全加固系统达到了对 Oracle 数据库安全防护 的目的 在应用程序进行操作的时候 展开一个服务映射实例 点击 连接 节点 右侧显示连接监控面板 可以看到当前连接到数据库的所有连接 点击右侧 断 开 按钮 可以断开选定的连接 如图 2 12 点击 连接 按钮下的 日志 按 钮 可查看该服务映射的审计记录 也可以通过关键字来进行查询 10 图 2 12 图 2 13 图 2 14 为 scott 的审计日志 我们可以看到查询 dept 表显示越权 这正是 我们期望的结果 在设置中我们设置了对 dept 表只允许 insert 因此所有其他操 作均记录为越权访问 11 图 2 14 3 详细配置说明详细配置说明 3 1 ORACLE 客户端配置客户端配置 数据库安全加固系统安装完成后 需要对 ORACLE 客户端进行必要的配置 保证客户端能够正确连接我们的虚拟数据库服务器达到屏蔽真实数据库的目的 3 1 1 Oracle 客户端通道的建立客户端通道的建立 打开企业管理器控制 右键单击左侧树 数据库 选择 将数据库添加到树 弹出添加对话框 图 3 1 12 此处主机名为我们虚拟的数据库所在主机名或者 IP 端口为虚拟的数据库端 口 即映射端口 SID 为数据库实例名 网络服务名则是客户端通道名称 确定 之后将会在左侧出现我们刚刚添加的服务名 启动数据库安全加固系统 我们就 可以利用刚刚配置的通道进行数据库操作 3 2 系统配置系统配置 3 2 1 登录系统登录系统 打开浏览器 输入 http IP srs ora 输入账号 admin 默认密码 abcde12345 如下图 图 3 2 3 2 2 服务映射配置服务映射配置 点击 服务映射 进入 服务映射 面板 在此面板配置服务器映射 通过映射 把 原来的数据库端口对应用程序隐藏起来 应用程序访问的是映射后的 虚拟数数 据库 点击 添加 按钮 在如下输入框中输入 映射名称 服务器 IP 地址 服务 器端口 本地监听 IP 地址 映射后监听端口 以 map1 192 168 0 250 1521 本机所有 IP 6688 oracle 为例 直通 表示是否需要让通过该端口的连接直接放行 不进行任何检测 作为 数据库映射 此处我们不选择直通 当该台服务器需要作为其他应用时 我们为 了隐藏应用服务本身的端口 可以在此处设置映射端口 该服务的客户端可以通 过配制成映射后的端口进行访问 注意 注意 作为客户端和服务器的中间层 如果服务器中运行有除oralcle以外的其它应用 请在此处配置端口映射 保证其它服务的正常通信 13 图 3 3 点击确定完成添加映射 可以添加多个映射 对应多个数据库 表示多个数 据库通过此数据库安全加固系统控制访问 点击修改按钮 可对当前服务器映射 进行修改 点击删除按钮 删除当前映射 并会级联删除权限配置中该数据库的 所有权限配置 详见 3 2 3 权限配置 注意 注意 映射名称不能为中文 使用技巧 使用技巧 也可以配置数据库安全加固系统 仍然对外提供 1521 端口 而隐 藏实际的 Oracle 端口 此时需要修改 Oracle 的服务器监听端口 并重启服务 而 应用程序的不用进行任何修改 具体配置请参见 Oracle 监听端口配置 3 2 3 权限配置权限配置 14 图 3 3 1 在图 3 3 1 中 体现了权限的分配 1 配置允许连接到数据的客户端 IP 地址 如下图 图 3 3 2 我们可以设置单独一个 IP 也可以指定 IP 段的范围 那么网段内的所有 IP 均采用该配置策略 对于多个网段 请添加多条 2 配置允许连接到数据库的用户 如下图 图 3 3 3 15 可以通过白名单和黑名单两种方式来配置用户 并可以选择审计策略 记录允许访问 但是会记录在日志里 阻断在会记录在日志里 同时阻止当前 sql 语句的执行 断开连接会记录在日志里 同时将当前的连接断开 3 此出用于配置到表一级的访问权限 也分为白名单和黑名单两种模式 同时对 sql 语句的类型 也可以设置权限 如下图 图 3 3 4 4 组是 3 的一个集合 它的存在是为了方便权限的配置 3 2 4 连接监控连接监控 连接监控用于监控当前所有连接 并能查看连接的日志 还可以断开可疑连 接 保障数据库安全 点击 连接监控 标签 打开连接监控面板 可以看到当 前连接到数据库的所有连接 监控信息包括连接建立时间 连接 IP 登录用户名 上行流量统计 下行流 量统计 以及相应动态流量图 非法操作次数 越权操作 攻击 等 上下行流 量统计和非法操作统计实时刷新 可以点击最右边的日志按钮 查看所选连接的 日志 当有非法操作时 连接的行颜色变为红色 明显的标识出有非法操作的连接 便于在连接数较多时快速发现可疑连接 当发现可疑连接 如非法操作次数过多 或者有非法操作时 管理员可以勾选上连接左边的复选框 然后点击断开按钮立 即断开所选连接 3 2 5 日志管理日志管理 通过日志管理可以对日志进行有条件的查询操作 根据时间 用户 访问 IP 以及事件类型进行有条件的日志查询 同时也可以将当前列出的日志导出为 Excel 表格进行后续处理 16 日志管理无须任何配置即可使用 查询日志时请保证服务为启动状态 否则 无法查询 图 3 4 3 3 使用使用数据库安全加固系统数据库安全加固系统 3 3 1 启动服务程序启动服务程序 数据库安全加固系统对应用程序来说是透明的 合法操作与没安装数据库安 全加固系统时完全一致 并且服务程序随计算机启动 对应用程序的使用更没有 影响 第一次使用或者修改配置时 在完成安全策略的配置之后 点击配置系统 右上角的 保存 按钮 保存配置 然后点击 启动 按钮 启动数据库安全加固 系统 当要修改配置时 需要先停止服务程序 然后才可以修改权限配置和相关 设置 17 图 3 5 注意 注意 如果当前有客户端连接数据库安全加固系统 强制停止服务后 立即点击 启动 服务器可能会提示 启动失败 此时需等待约1分钟左右再重新启动服务 3 3 2 应用程序访问数据库应用程序访问数据库 应用程序只需要修改连接数据库的连接字符串 就可以连接到数据库 接上 述例子 把 IP 为 192 168 0 2 上的应用程序到数据库连接修改为指向虚拟数据库 数据库 IP 192 168 0 1 监听端口 6000 修改数据库为映射的虚拟数据库后 客 户端所有操作和部署数据库安全加固系统前一样 登录数据库 对 scott 中的 dept 表进行访问 除此之外的其它连接 不同客 户端 IP 不同用户名登录 其它操作 漏洞攻击 SQL 注入攻击都将根据策略 配置执行响应的操作 并有详细的日志审计 3 3 3 连接监控连接监控 连接监控用于监控当前所有连接 并能查看连接的日志 还可以断开可疑连 接 保障数据库安全 点击 连接 节点 打开连接监控面板 可以看到当前连 接到数据库的所有连接 监控信息包括连接建立时间 连接 IP 登录用户名 上行流量统计 下行流 量统计 以及相应动态流量 非法操作次数 越权操作 攻击 等 上下行流量 统计和非法操作统计实时刷新 可以点击最右边的日志按钮 查看所选连接的日 志 当有非法操作时 连接的行颜色变为红色 明显的标识出有非法