IX S Zaproszenie

Warszawa, 11.05.2004, ul. Chałubińskiego 8

IX Seminarium PLOUG

Zabezpieczanie instalacji i aplikacji Oracle

Seminarium jest poświęcone zagadnieniom zapewnienia
wysokiej poufności informacji w kontekście wykorzystania technologii Oracle.
Jest ono adresowane do konsultantów, projektantów i
administratorów.

Tematykę zajęć można podzielić na dwa główne wątki:

  1. Ochrona instalacji produktów Oracle i aplikacji przez nie obsługiwanych.
    – Ochrona aplikacji internetowych przy użyciu oprogramowania open source mod_security
    – Zabezpieczanie (hardenning) instalacji bazy Oracle (warsztat 2 godz.)
  2. Wykorzystanie możliwości zabezpieczeń obecnych w Oracle
    – Szyfrowanie danych w bazie
    – Integracja Oracle 9i z mechanizmami uwierzytelniania i PKI Windows 2000/Active Directory

Większość referatów będzie zawierać praktyczne prezentacje „na żywo” omawianych technik.

Serdecznie zapraszamy!

Program Seminarium:

Referaty:

 
10:00-10:05 Otwarcie
10:05-10:35 Wojciech Dworakowski, SecuRing: „(Nie)bezpieczeństwo instalacji Oracle – 7 grzechów głównych”
10:35-11:20 Wojciech Dworakowski, SecuRing: „Zabezpieczanie aplikacji internetowych za pomocą mod_security”
11:20-11:35 Przerwa
11:35-12:50 Paweł Goleń, Stanisław Kipiel, Cryptotech: „Integracja Oracle 9i z mechanizmami Active Directory”
12:50-13:50 Paweł Goleń, Stanisław Kipiel, Cryptotech: „Szyfrowanie danych w bazie”
13:50 Lunch
15:00-16:30 Krzysztof Mikołajczyk, Bull: „Tunning bezpieczeństwa bazy Oracle”
16:30-16:45 Przerwa
16:45-17:45 „Tunning bezpieczeństwa …” cd.

Opisy referatów i tutoriali

REFERATY

Wojciech Dworakowski – SecuRing
„(Nie)bezpieczeństwo instalacji Oracle – 7 grzechów głównych”

Od kilku lat zajmuje się ocenami bezpieczeństwa systemów informatycznych.
Wykład będzie krótkim przeglądem najczęściej spotykanych podatności w
instalacjach Oracle, z jakimi miałem do czynienia.
W większości instalacji można zauważyć te same błędy. Dotyczy to zwłaszcza
baz, które działają już od kilku lat i na których bezpieczeństwo ma wpływ
nie tylko sposób konfiguracji początkowej ale również proces codziennego
administrowania bazą.

Wojciech Dworakowski – SecuRing
„Zabezpieczanie aplikacji internetowych za pomocą mod_security”

Aplikacje internetowe – czyli aplikacje udostępniające
interfejs użytkownika za pomocą przeglądarki internetowej – to technologia która
zrewolucjonizowała sposób tworzenia aplikacji. Niestety – jak z każdą nową
technologią, również i z tą wiążą się nowe niebezpieczeństwa (przegląd
technik ataku był prezentowany na zeszłorocznym Seminarium). Ze względu na
charakter ataków na aplikacje internetowe, tradycyjne środki ochrony (np.
firewalle) nie są w stanie zapewnić właściwego poziomu ochrony. Stąd powstało
zapotrzebowanie na firewalle aplikacyjne, czyli filtry działające na wysokich
warstwach modelu OSI, rozumiejące protokoły aplikacyjne.
Mod_security to moduł integrujący się z serwerem HTTP
Apache, który pozwala na szczegółowe filtrowanie w zależności od zawartości
danych przekazywanych w protokole HTTP. Niektóre z jego możliwości to:
normalizacja zleceń HTTP, możliwość analizy zleceń GET i POST, filtrowanie
po parametrach zleceń, filtrowanie w zależności od zawartości nagłówków
HTTP, możliwość filtrowana odpowiedzi serwera.
Mod_security to projekt Open Source, więc jest dostępny całkowicie
nieodpłatnie.
Apache jest serwerem HTTP stosowanym w Oracle Application
Server, tak więc mod_security można zintegrować bezpośrednio z rozwiązaniami
Oracle. Podczas wykładu przedstawiony zostanie również sposób w jaki można
zbudować firewall aplikacyjny wykorzystujący mod_security na osobnym serwerze,
bez żadnej ingerencji w konfigurację chronionych serwerów aplikacyjnych.

Paweł Goleń, Stanisław Kipiel – Cryptotech
„Integracja Oracle 9i z mechanizmami Active Directory”

Infrastruktura informatyczna w przedsiębiorstwach staje się z czasem coraz
bardziej złożona. Wraz ze wzrostem jej złożoności coraz bardziej wyraźne
stają się tendencje do wykorzystania mechanizmów centralnego zarządzania i
single sign-on. Jednym z takich rozwiązań jest Active Directory wprowadzone
wraz z Windows 2000, a następnie rozwinięte w Windows 2003. Celem prezentacji
jest przedstawienie możliwości integracji Oracle z Active Directory, a w
szczególności:

  • Uwierzytelniania użytkowników Oracle względem Active Directory
  • Mechanizmów single sign-on
  • Integracji mechanizmów PKI Oracle i Windows 2000/2003

Po omówieniu zasad realizacji poszczególnych funkcji przeprowadzona
zostanie praktyczna prezentacja, w której przedstawione zostanie:

  • Jak utworzyć użytkownika Oracle uwierzytelniającego się w Active
    Directory
  • Jak spójnie zarządzać uprawnieniami użytkowników w systemie
    operacyjnym i bazach danych
  • Jak realizować single sign-on, również z wykorzystaniem kart
    kryptograficznych
  • Jak spójnie zarządzać certyfikatami wykorzystywanymi przez Oracle i
    system Windows
  • Jak automatycznie wystawiać certyfikaty na potrzeby Oracle i systemu
    Windows

Paweł Goleń, Stanisław Kipiel – Cryptotech
„Szyfrowanie danych w bazie”

Dane przechowywane w bazie mają różny status. W jednej tabeli
przechowywane mogą być informacje powszechnie dostępne, jak i dane poufne, do
których dostęp powinien być ściśle ograniczony. Często istniejące
mechanizmy kontroli dostępu są niewystarczające, dlatego konieczne jest
wprowadzenie dodatkowego poziomu ochrony – szyfrowania danych. Ponieważ w
jednym rzędzie znajdować się mogą dane istotne (hasła, numery kart
kredytowych), jak i dane mniej istotne (indeksy, powszechnie znane
identyfikatory) nie zawsze szyfrowanie wszystkich danych jest rozwiązaniem
odpowiednim. Prezentacja ma na celu zapoznanie uczestników z istniejącymi możliwościami
dodatkowego zwiększenia bezpieczeństwa danych przechowywanych w bazie oraz
rozważenie różnic między dostępnymi rozwiązaniami.

Po przedstawieniu zagadnień teoretycznych przeprowadzona zostanie
prezentacja praktyczna. Przedstawiać będzie ona rozwiązanie umożliwiające
realizację szyfrowania informacji w bazie danych na poziomie kolumn, do
prezentacji tej wykorzystany zostanie produkt Secure.Data firmy Protegrity. W
trakcie pokazu zaprezentowane zostanie:

  • Zarządzanie kluczami
  • Kontrola dostępu do kluczy i zarządzanie użytkownikami
  • Sposób integracji produktu z istniejącymi aplikacjami

TUTORIAL

Krzysztof Mikołajczyk – Bull
„Tunning bezpieczeństwa bazy Oracle”

Standardowe instalacje produktów Oracle zawierają wiele
podatności wiążących się z „fabrycznymi” ustawieniami. Poziom
bezpieczeństwa instalacji daje się jednak stosunkowo łatwo podnieść.
Prezentacja będzie miała na celu przedstawienie najważniejszych kroków jakie
należy wykonać żeby podnieść poziom bezpieczeństwa instalacji bazy Oracle.
Zostaną omówione najważniejsze cechy i funkcje związane z
bezpieczeństwem Oracle. Na co zwracać uwagę przy instalacji i utrzymaniu bazy
danych? Co zrobić aby zabezpieczyć się przed ewentualnymi zagrożeniami?
Szczególny nacisk zostanie położony na praktyczne
konsekwencje zwiększania poziomu bezpieczeństwa produktów Oracle.
Całość procesu hardenningu zostanie przedstawiona na
instalacji Oracle 9iR2, ale większość zagadnień będzie również dotyczyć
Oracle 8i.


Prosimy o zgłaszanie pytań/problemów/tematów do poruszenia na seminarium, na adres: ploug-sem@ploug.org.pl

W trakcie seminarium podany zostanie adres mailowej listy dyskusyjnej, na której przez okres dwu tygodni będzie można dyskutować na tematy poruszane na seminarium. Na listę zostaną zapisani uczestnicy i prelegenci seminarium.


Opłata za uczestnictwo w seminarium wynosi 290 zł. Opłata dla członków Stowarzyszenia – 250 zł.

Dla zgłoszenia uczestnictwa w seminarium należy skopiować niżej dostępny formularz, wypełnić i przysłać zgodnie ze wskazówką na końcu formularza.

Organizacja seminarium:
Sławomir Kwiecień,
tel. +48 601 958 703, +48 12 415-82-64
fax: +48 12 632-35-24
e-mail: