07 noviembre 2017

Oracle Database Security Assessment Tool


 

Con el creciente número de infracciones de datos cada día, salvaguardar la propiedad intelectual, la información sensible y los datos regulados se ha vuelto crítico. La herramienta de evaluación de seguridad de la base de datos Oracle (DBSAT) ayuda a identificar áreas de riesgo y recomienda cambios y controles que se deben implementar para mitigar esos riesgos. La herramienta de evaluación de seguridad de la base de datos Oracle recopila automáticamente los datos de configuración de una base de datos y luego informa los hallazgos.

 Oracle ha proporcionado una nueva herramienta para evaluar la configuración de seguridad y asesor ar sobre ella. Es una utilidad liviana y lo más importante es que es gratis (¡Pero si es Oracle!, pobre Larry adiós a su nuevo barco  ). Siempre que tengamos el soporte activo de Oracle, deberíamos poder descargar la utilidad (¡no tan gratis!). 


Para los S.O. del lado oscuro (Microsoft)  no es tan útil

Para la primera versión, es muy prometedor, aunque los hallazgos para los sistemas operativos de Windows son limitados. Para Windows, no se ve las configuraciones del sistema operativo.

Necesitamos crear un usuario.

Primero, un usuario necesita ser creado con privilegios minimalistas. La documentación tiene el script de muestra que podría aprovisionarse.

 create user dbsat_user identified by xxxxx;
//Si has instalado Database Vault y está habilitada, conéctate como DV_ACCTMGR para ejecutar este comando.
grant create session to dbsat_user;
grant select_catalog_role to dbsat_user;
grant select on sys.registry$history to dbsat_user;
grant select on sys.dba_users_with_defpwd to dbsat_user; // 11g and 12c
grant select on audsys.aud$unified to dbsat_user; // 12c only
grant audit_viewer to dbsat_user; // 12c
grant capture_admin to dbsat_user;// 12c covers sys.dba_priv_captures, sys.priv_capture$, sys.capture_run_log$
// Si has instalado Database Vault y está habilitada, conéctate como DV_OWNER para ejecutar este comando.
grant DV_SECANALYST to dbsat_user;

Recuperar información.

Necesitamos "recopilar" la configuración ejecutando los comandos a continuación. Como de costumbre, esto se ejecutará "como administrador". En el caso del proceso, le pedirá la contraseña. Asegúrese de que esté segura ya que el archivo tiene información muy importante.

D:\dbsat_output>set path=%path%;d:\dbsat

D:\dbsat_output>dbsat collect dbsat_user/xxxxxxxxxx dbsat_output20171024


Connecting to the target Oracle database...
SQL*Plus: Release 12.1.0.2.0 Production on Tue Oct 24 13:01:05 2017
Copyright (c) 1982, 2014, Oracle.  All rights reserved.
Connected to:
Oracle Database 12c Enterprise Edition Release 12.1.0.2.0 - 64bit Production
With the Partitioning, Oracle Label Security, OLAP, Advanced Analytics and Real Application Testing options
Database Security Assessment Tool version 1.0.2 (October 2016)
Setup complete.
SQL queries complete.
OS Commands Skipped.
BEGIN
*
ERROR at line 1:
ORA-20002: Complete without OS Commands.
ORA-06512: at line 4

Disconnected from Oracle Database 12c Enterprise Edition Release 12.1.0.2.0 - 64bit Production
With the Partitioning, Oracle Label Security, OLAP, Advanced Analytics and Real Application Testing options DBSAT Collector completed successfully.
Calling D:\app\oracle\product\12.1.0\dbhome_1\bin\zip.exe to encryptdbsat_output20171024.json...
Enter password:
Verify password:
adding: dbsat_output20171024.json (164 bytes security) (deflated 88%) zip completed successfully.

D:\dbsat_output>dir
Volume in drive D is New Volume
Volume Serial Number is 32D6-96CB

Directory of D:\dbsat_output
10/24/2017  01:01 PM  
10/24/2017  01:01 PM  
 ..
10/24/2017  01:01 PM            29,227 dbsat_output20171024.zip
               1 File(s)         29,227 bytes

               2 Dir(s)  223,632,429,056 bytes free

Mostrar los informes

Necesitamos generar un informe basado en el archivo, generado a partir del último paso. Al completar este paso, tendremos tres archivos (archivo de texto, excel, html) que enumeran las recomendaciones. Asegúrese de proteger este archivo, ya que la exposición al mundo exterior causaría riesgos de seguridad que nuestra base de datos tiene ahora.
Esta herramienta está destinada a ayudarnos a identificar posibles vulnerabilidades en nuestros sistemas, pero usted es el único responsable de su sistema y del efecto y los resultados de la ejecución de esta herramienta.
(Incluyendo, sin limitación, cualquier daño o pérdida de datos). Además, la salida generada por esta herramienta puede incluir información de configuración del sistema potencialmente sensible e información que podría ser utilizada por un atacante experto para penetrar en su sistema. Somos los  únicos responsables de garantizar que el resultado de esta herramienta, incluidos los informes generados, se maneje de acuerdo con las políticas de nuestra organización.

Archive:  dbsat_output20171024.zip
[dbsat_output20171024.zip] dbsat_output20171024.json password:
password incorrect--reenter:
password incorrect--reenter:
  inflating: dbsat_output20171024.json
Database Security Assessment Tool version 1.0.2 (October 2016)

DBSAT Reporter ran successfully.

Además, para generar el informe, necesitaría instalar Python en su máquina. Mi preferencia es usar el html ya que tiene enlaces a las secciones individuales. Los infores tienen esta apariencia:




Publicado por en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Por favor deja tu comentario, es valioso.

Suscribirse a: Enviar comentarios (Atom)