Безопасный доступ к Oracle E-Business Suite

PCWeek/RE, №13/2006
Безопасный доступ к Oracle E-Business Suite
АЛЕКСЕЙ ВОРОНИН
Динамично развивающийся бизнес требует наращивания ресурсов, как технологических, так
и человеческих, при этом ценность циркулирующей внутри компании информации постоянно
повышается, а значит, растут и риски несанкционированного доступа (НСД) к ней, особенно
если компания развивает бизнес с помощью сети удаленных филиалов и/или мобильных
рабочих мест.
Необходимость существенно снизить или даже полностью исключить упомянутые риски
легла в основу совместного проекта консалтинговой группы “Борлас” (www.borlas.ru) и
компании Aladdin — разработчика и поставщика решений по строгой аутентификации
(www.aladdin.ru).
В 2005 г. в “Борлас” был реализован внутренний проект по созданию корпоративной
системы управления на базе комплекса бизнес-приложений Oracle E-Business Suite (OEBS).
Обладая широким функционалом (от управления финансами и производством до
управления отношениями с поставщиками и клиентами), данная система консолидирует в
среде своих бизнес-приложений обширную конфиденциальную информацию о деятельности
предприятия. Обеспечение авторизованного доступа к этим данным — одно из важнейших
условий корректного функционирования всей информационной системы управления.
Основные задачи проекта Aladdin и “Борлас” по обеспечению защищенного доступа к
ресурсам системы заключались в следующем:
•
•
•
•
предоставление удаленным рабочим станциям безопасного доступа к корпоративным
информационным ресурсам на базе OEBS;
обеспечение как для внутренних, так и для удаленных пользователей возможности
работы по единому защищенному протоколу;
развертывание системы строгой двухфакторной аутентификации сотрудников в сети
с использованием аппаратного ключа eToken и ПИН-кода;
построение инфраструктуры для защищенного документооборота на основе ЭЦП и
корпоративного удостоверяющего центра.
До запуска проекта задачу защиты приложений Oracle от НСД специалисты “Борлас”
пробовали решить путем разбиения ЛВС на виртуальные подсети (VLAN). Ограничение
числа пользователей для каждой подсети уменьшило риски внешнего проникновения, но не
снизило риски внутреннего характера, т. е. риски потери, искажения и утечки информации со
стороны внутренних пользователей подсети и администраторов системы. В результате
специалисты компании пришли к необходимости ввода авторизованного доступа
пользователей к данным бизнес-приложений OEBS с использованием цифровых
сертификатов, защищенного SSL-протокола взаимодействия пользователя и OEBS на базе
специализированных аппаратно-программных продуктов Aladdin.
Для реализации проекта была сформирована рабочая группа из специалистов и экспертов
обеих компаний во главе с начальником отдела систем безопасности “Борлас” Евгением
Нестеровым; менеджером проекта со стороны компании Aladdin был назначен Александр
Додохов.
Стандартная система безопасности Oracle E-Business Suite базируется на четырех
компонентах — аутентификации, авторизации, аудите и безопасности сети.
Аутентификация осуществляется по имени пользователя и паролю. Возможности
имеющейся специальной системы настройки политики управления паролями и их качеством
персоналом упорно не используются, и все недостатки, присущие парольной
аутентификации, поэтому сохраняются. Короткие и простые пароли легко подбираются;
длинные и сложные тяжело запомнить, и потому их часто записывают, что является грубым
нарушением политики безопасности; слишком редкая смена пароля пользователями тоже
существенно ослабляет все усилия специалистов безопасности.
Система авторизации обеспечивает управление правами и привилегиями, назначенными
определенной учетной записи, а система аудита позволяет протоколировать и
обрабатывать информацию о транзакциях, выполненных от имени каждого пользователя по
учетной записи. OEBS поддерживает работу всех своих подсистем по протоколу HTTPS, что
обеспечивает защиту каналов передачи данных по сети.
Помимо своевременных обновлений, повышения качества паролей и регулярного аудита в
случае доступа к приложениям через Интернет Oracle рекомендует для защиты приложений
использовать протокол HTTPS и предоставляет для этого соответствующее
документированное описание. После ряда процедур (как автоматизированных, так и
выполняемых вручную) все компоненты OEBS смогут работать через защищенные каналы
связи. Однако, если на WEB-сервере, обрабатывающем запросы от браузера клиента и
формирующем HTML-страницы, установить обязательную проверку подлинности
сертификата клиента, работа на сервере Oracle Forms, обслуживающем формы OEBS и
поддерживающем графический интерфейс пользователя, становится невозможной. Это
происходит вследствие того, что Oracle Jinitiator (встроенный в браузер компонент),
используемый на уровне клиента, не поддерживает аутентификацию клиента по SSLпротоколу, поскольку не умеет извлекать сертификат клиента из хранилища браузера. Эта
проблема может быть решена заменой на клиентской рабочей станции компонента Jinitiator
от Oracle на подключаемый модуль Java Plug-In от Sun. Однако это требует дополнительных
настроек на стороне сервера и клиента. Еще один недостаток такого решения — наличие
дополнительного хранилища сертификатов и ключей, “понятных” Java-клиенту.
Сертификаты и ключи, установленные в браузере (т. е. в локальном хранилище
сертификатов Microsoft), порождают как минимум две проблемы. Во-первых, они не могут
считаться в достаточной мере защищенными, поскольку эта информация доступна для
учетной записи пользователя компьютера, на котором установлен браузер, и для
администратора системы, следовательно, ею могут воспользоваться несанкционированно.
Во-вторых, остается проблема удаленного доступа с произвольного компьютера, поскольку
учетной записью могут воспользоваться через Интернет с удаленного компьютера.
Вариант с хранением ключевой информации на незащищенных носителях (дискеты, flashпамять и т. п.) неприемлем как с точки зрения безопасности, так и по соображениям
надежности и удобства использования: удаленному пользователю, например, нужно
установить ключевой контейнер с носителя на компьютер, а по завершению сеанса не
забыть его удалить. Разумным выходом является хранение ключей и сертификатов на
отчуждаемом защищенном носителе — USB-ключе или смарт-карте eToken. Именно eToken
стала одним из главных элементов проекта Aladdin — “Борлас”.
eToken — это программно-аппаратный продукт, предназначенный для строгой,
двухфакторной аутентификации пользователей при их подключении к защищенным
информационным ресурсам, безопасного хранения ключевой информации, профилей
пользователей и других конфиденциальных данных, а также для аппаратного выполнения
криптографических вычислений и работы с асимметричными ключами и сертификатами
Х.509.
Широкие возможности электронного ключа eToken PRO позволяют использовать его в
системах, построенных на базе PKI (Entrust, Microsoft CA, RSA Keon, удостоверяющих
центров и др.), в качестве носителя ключевой информации в системах с юридически
значимым документооборотом, для защиты электронной почты, Web-серверов и
приложений электронной коммерции, для организации защищенных каналов передачи
данных с использованием Интернета (в VPN с протоколами IPSec и SSL).
Благодаря цифровому сертификату X 509, хранящемуся в защищенной памяти eToken,
реализуется авторизованный и контролируемый доступ к БД. Во-первых, пользователь
просто не может получить доступ к данным, не обладая соответствующим сертификатом,
записанным в защищенную память eToken. Во-вторых, все действия пользователя
фиксируются, что позволяет не только находить виновного в случае инцидента, но и
осуществлять профилактику нарушений: пользователь, неоднократно пытавшийся получить
доступ к данным, на который у него нет прав, попадает в категорию “нелояльных”, и на него
могут быть наложены административные санкции.
Вариант перехода на аутентификацию по цифровым сертификатам предполагает
использование клонированных служб уровня приложений, работающих с той же базой
данных, что и исходные службы, — с Web- и forms-серверами и др. Но в отличие от
исходных служб клонированные изначально настроены на применение HTTPS-протокола и
обязательную двустороннюю аутентификацию с клиентом. Клон уровня приложений
располагается в защищенном сегменте сети и доступен как для пользователей глобальной
сети (например, через прокси-сервер), так и для пользователей локальной сети. Такая схема
имеет следующие преимущества:
•
•
•
•
возможность постепенного перевода пользователей с прежней системы
аутентификации на новую;
безопасное хранение ключевой информации;
возможность безопасной работы в глобальной сети;
возможность
проверки
подлинности
клиентов,
снижение
рисков
атак,
организованных, например, путем подбора пароля.
На начальной стадии выполнения проекта в компании “Борлас” были развернуты OID —
Oracle Internet Directory, представляющие собой LDAP-хранилище Oracle, и корпоративный
удостоверяющий центр (УЦ) на базе Microsoft CA, который помимо генерации, например,
цифровых
сертификатов
обеспечивает
организацию
юридически
значимого
документооборота с применением ЭЦП в качестве аналога собственноручной подписи.
Компания Aladdin, используя встроенные в СУБД Oracle средства защиты информации, на
базе eToken разработала для клиентских станций ПО “Защищенный клиент для Oracle”.
Механизм двухфакторной аутентификации при доступе к СУБД позволяет на порядок
повысить уровень информационной безопасности, проводить постоянный аудит всех
действий в системе, а также полностью исключает перехват идентификационной
информации потенциальным злоумышленником. Защита данных на рабочих станциях
реализована с использованием продукта Secret Disk NG компании Aladdin. Он обеспечивает
защиту конфиденциальной информации, хранящейся и обрабатываемой на ПК под
управлением ОС Windows 2000 Professional или XP.
Одно из достижений совместного проекта “Борлас” и Alladin заключается в организации
удаленного доступа к бизнес-приложениям Oracle E-Business Suite с помощью защищенного
SSL-протокола, обеспечивающего надежную защиту передаваемой информации.
Соединение осуществляется в два этапа. Сначала в ходе двусторонней аутентификации
сервера и пользователя происходит установление SSL-сессии, в результате которой
подтверждается подлинность обеих сторон. На втором этапе обеспечивается защита
обмена данными посредством шифрования канала, в результате чего передаваемая
информация в соответствии с российским законодательством приобретает такие свойства,
как конфиденциальность и целостность.
В заключение отметим, что в результате внедрения данного проекта консалтинговая группа
“Борлас” с помощью своего партнера, компании Aladdin, не только снизила или даже вовсе
исключила риск целого ряда угроз своей информационной безопасности (см. таблицу), но и
фактически разработала и опробовала на себе решение, которое в дальнейшем может
предлагать своим клиентам, внедряющим Oracle E-Business Suite.
Угрозы и реализованные в ходе проекта методы противодействия им
Угроза
Кража или
использование чужой учетной
записи из-за отсутствия ее
защиты
Применение паролей,
установленных по умолчанию
(если он не был
переустановлен
пользователем)
Кража или перехват
пароля
Метод
противодействия
Описание
Аутентификация по
цифровому сертификату
Использование
механизма SSLаутентификации
Аутентификация по
цифровому сертификату
Отказ от паролей,
переход на SSLаутентификацию с
использованием сертификатов
Закрытый ключ
хранится как
неэкспортируемый в
защищенной памяти
смарт-карты или USBключа eToken
Внедрение смарт-карттехнологий для безопасного
хранения закрытых ключей
Подбор пароля
Взлом пароля ключевого
контейнера
Кража или копирование
ключевого контейнера или его
резервной копии
Перехват закрытого
ключа
Кража eToken
Подбор PIN-кода eToken
Аппаратная
реализация
криптографических
операций в смарт-карте
или USB-ключе eToken
PRO
Доступ к
защищенной памяти
eToken, в которой
хранятся закрытые
ключи, защищен PINкодом
Задание уровня
сложности вводимых
PIN-кодов и
блокирование eToken
после определенного
числа подряд введенных
неправильных значений
Использование смарткарт-технологий для
аппаратного выполнения
криптографических операций
(SSL) в процессоре карты без
“выхода” закрытых ключей
наружу
В eToken реализован
контроль длины и качества
задаваемого пользователем
PIN-кода и запрет “слабых”
комбинаций, который может
задаваться в групповых
политиках
При форматировании eToken
PRO имеется возможность
задания количества
неправильно введенных подряд
PIN-кодов пользователя и/или
администратора, после чего
Дублирование eToken
Доступ к
защищенной памяти
eToken, в которой
хранятся закрытые
ключи, защищен PINкодом
Закрытые ключи не могут
быть экспортированы из
eToken PRO
Перехват трафика между
ключом eToken и компьютером
Защищенный
обмен данными
Перехват передаваемых
по сети данных
Шифрование
сетевого трафика
eToken блокируется
Закрытые ключи,
сгенерированные eToken или
импортированные в него,
хранятся в закрытой памяти
смарт-карты и не могут быть из
нее извлечены, что
подтверждается
международными
сертификатами безопасности
ITSEC Level E4, FIPS 140-1 —
Level 2, 3
Предусмотрена
возможность шифрования
трафика с использованием
Secure Messaging по алгоритму
3DES (CBC).
Применение SSL
протокола для шифрования
передаваемых по сети данных
с помощью встроенных в Oracle
алгоритмов симметричного
шифрования