安装及配置文档
本章节所有文本均基于AVDF12.1.1.0版本,主要描述Audit Vault Server和Oracle Database Firewall的安装及配置使用。
AVDF12.1.1.0架构图
Oracle AVDF提供了数据库的第一道安全防线,它可以整合来自数据库、操作系统、目录的审计数据进行监督控制。基于 SQL 语法的高度精确的技术,在网络中未授权的SQL 语句到达数据库之前,数据库防火墙对其实施监视和阻断。Audit Vault服务器结合从网络访问的数据库信息和详细的审计数据,轻松提供各种合规报告和告警,AVDF可以很容易地定制,以满足企业的安全要求。
-
- AVDF12.1.1.0的安装
- 软件下载
- AVDF12.1.1.0软件下载
- 软件下载
- AVDF12.1.1.0的安装
下载页面:https://edelivery.oracle.com, 选择Product Pack: Oracle Database, Platform: Linux x86-86
点击Oracle Audit Vault and Database Firewall 12.1.1 Media Pack for Linux x86-64,下载三个软件包:
DBFW Utilities里面有DDI、F5 BIG-IP ASM集成相关的配置脚本。
-
-
- Oracle DBFW和Audit Vault Server安装前提
-
安装AVDF的服务器需求:
2GB以上内存
125GB以上磁盘空间
网卡:
- Audit Vault Server 最少1块网卡
- Database Firewall:
代理模式:最少1块网卡
旁入监听模式:最少2块网卡
DPE模式:最少3块网卡
被Agent监控的主机要求Java SE version 6
-
-
-
- AVDF 部署案例(DBFW代理模式)
-
-
以下是AVDF的一个简单部署方案。图中的三台虚机分别是:DB02—被监控的数据库、DBFW及AVServer。DBFW采用代理模式监控数据库的网络活动,通过在DB02主机在部署AV Agent来监控DB02的操作系统、目录和数据库的信息。
AVDF部署案例
安装步骤如下:
- 首先设置BIOS从CD-ROM启动,reboot机器
- 插入V38463-01.iso(DBFW安装介质)开始安装
输入 install ,然后回车,开始安装
- 安装进程信息
- 提示插入Database Firewall的安装盘:
- 提示输入安装密码:
- 提示再次输入安装密码:
提示安装密码设置成功:
- 选择一个网卡作为管理控制口:
- 输入管理端口的IP地址:
- 将光标位于Reboot,按Enter重启系统:
- DBFW的运行界面:
11. 通过https://DBFW_IP来访问DBFW的WEB界面,输入在安装时设置的安装密码:
12. 设置DBFW管理用户,root,和support用户的密码:
点击保存之后,页面会自动跳转到DBFW管理用户的登陆界面:
登录之后,进入DBFW的运行界面:
安装步骤如下:
- 首先设置BIOS从CD-ROM启动,reboot机器
- 插入V38462-01.iso(Audit Vault Server安装介质),输入 install,然后回车,开始安装
- 安装进程信息
- 提示输入安装密码:
- 提示再次输入安装密码:
提示安装密码设置成功:
- 选择一个网卡作为管理控制口:
- 输入管理端口的IP地址:
- 将光标位于Reboot,按Enter重启系统:
- Audit Vault Server的运行界面:
11. 通过https://AVServer_IP来访问Audit Vault Server的WEB界面:
12. 设置Audit Vault Server的管理员用户,root,和support用户的密码:
点击保存之后,页面会自动跳转到Audit Vault Server的登陆界面(avadmin或者avauditor用户):
登录之后,进入Audit Vault Server的运行界面:
- 登陆DBFW Web控制台: https://DBFW_IP
- 在System页面中,选择日期和时间,点击右下角的更改:
- 输入相应的日期和时间,点击保存:
- 登陆DBFW Web控制台: https://DBFW_IP
- 在System页面中,选择服务,点击右下角的更改:
- 将Web访问、SSH访问、SNMP访问设置为all,点击保存:
- 登陆DBFW Web控制台: https://DBFW_IP
2)点击键盘,选择键盘布局us,点击应用。
- 登陆DBFW Web控制台: https://DBFW_IP
- 在System页面中,点击网络:
- 点击右下角的更改,在代理端口中输入11521,选中已启用,点击添加:
点击右下角的保存,完成代理端口的添加:
- 登陆DBFW Web控制台: https://DBFW_IP
- 点击Audit Valut服务器:
- 输入Audit Vault服务器IP地址,从Audit Vault Server的设置/证书处复制服务器证书,点击应用:
- 使用管理员账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
- 在设置Tab页面中,点击系统/管理:
- 设置相应的时间、日期,选择键盘布局,点击保存。
1) 使用管理员账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
2)在设置Tab页面中,点击服务:
3)将SSH访问、SNMP访问都设置为“全部”,点击保存:
1)使用管理员账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
2)在防火墙Tab页面中,点击注册:
- 输入名称及防火墙的IP地址,点击保存:
确保在注册之前已向防火墙提供此系统的证书。
- 使用管理员账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
- 在受保护目标Tab页面中,点击目标/注册
- 添加相应的信息,注册受保护目标:
参数说明:
新受保护目标名称:输入受保护目标的名称
受保护目标位置:JDBC连接串,例如jdbc:oracle:thin:@//192.168.0.12:1521/orcl
受保护目标类型:选择Oracle Database
用户名:输入用于URA,SPA审计的用户名
添加受保护目标地址:输入IP地址、端口号、服务名之后,点击添加
最后点击保存
1)使用管理员账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
2) 在受保护目标Tab页面中,选择监视/强制点,点击创建:
3)输入强制点名称、选择监视模式、要监控的受保护目标、选择防火墙及通信端口,点击保存:
4)启动强制点:选择ORCLEP,点击启动
- 使用审计账户avauditor,登陆Audit Vault Server Web控制台: https://AVServer_IP
- 在受保护目标Tab页面中,点击orcl:
3)点击防火墙策略,点击更改:
4)选择相应的防火墙策略,例如Log all,点击保存。
- 使用审计账户avadmin,登陆Audit Vault Server Web控制台: https://AVServer_IP
2)在主机Tab页面中,点击注册:
3)输入主机名及主机IP,点击保存:
- 使用oracle用户登录192.168.0.12(ORCLDB)
- 创建一个avagent目录:
cd /u01/app/oracle/product
mkdir avagent
- 在avagent目录下从Audit Vault Server上下载avagent:
cd /u01/app/oracle/product/avagent
scp [email protected]:/var/lib/oracle/dbfw/av/jlib/agent.jar .
- 使用oracle用户登录192.168.0.12(ORCLDB)
- 进入avagent目录,安装代理:
cd /u01/app/oracle/product/avagent
java -jar agent.jar
- 激活avagent:
cd /u01/app/oracle/product/avagent/bin
./agentctl activate
1)使用管理员账户avadmin,登录Audit Vault Server https://AVServer_IP
- 在主机Tab页面中,选择主机,勾选相应的主机名,再点击激活:
激活后,代理激活状态变为Approved:
- 在ORCLDB(192.168.0.12)主机上,使用oracle账号启动代理:
cd /u01/app/oracle/product/avagent
./agentctl start -k 5FZG-QU3K-YYJK-ZGI0-NNF1 (agentctl start –k key,这里的key是上图中的代理激活密钥)
- 刷新Audit Vault Server页面,查看代理状态:
在主机Tab页面中,选择主机,查看代理状态是否为Running:
AVDF需要在受保护主机上创建数据库账户,并赋予相应权限,才能做到:收集审计数据,管理审计策略,SPA,URA,及DDI(数据加密for Oracle)。
- 使用oracle账户,进入受保护主机的avagent/av/plugins/com.oracle.av.plugin.oracle/config/目录
cd /u01/app/oracle/product/avagent/av/plugins/com.oracle.av.plugin.oracle/config/
- 创建数据库账户avaudituser
sqlplus / as sysdba
SQL> create user avaudituser identified by oracle account unlock;
- 运行下面的脚本:
SQL> @oracle_user_setup.sql avaudituser setup; (为avaudituser赋予管理审计策略、从非Redo日志中收集数据的权限)
sqlplus / as sysdba @oracle_user_setup.sql avaudituser REDO_COLL (为avaudituser赋予从Redo日志中收集数据的权限)
sqlplus / as sysdba @oracle_user_setup.sql avaudituser SPA (SPA权限)
sqlplus / as sysdba @oracle_user_setup.sql avaudituser ENTITLEMENT (URA权限)
4)在受保护目标Tab页面中,添加数据库用户名avaudituser及密码等信息,点击保存:(这步非常有必要,否则会导致后面的审计线索启动不了)
1)使用oracle用户登录192.168.0.12(ORCLDB)
2)查看数据库的audit参数:
sqlplus / as sysdba
show parameter audit
- 如果audit_sys_operations为Fasle or audit_trail 不为DB, EXTENDED,则:
SQL> alter system set audit_sys_operations=true scope=spfile;
SQL> alter system set audit_trail=DB, EXTENDED scope=spfile;
SQL> shutdown immediate;
SQL>startup;
- 使用管理员账户avadmin登录Audit Vault Server https://AVServer_IP
- 在受保护目标Tab页面中,选择审计线索,点击添加:
- 选择收集主机,受保护目标名称,审计线索类型为TABLE,线索位置为SYS.AUD$,点击保存。
4)启动新添加的审计线索:
- 添加另一个审计线索:
点击保存,并启动这个审计线索。
- 查看审计线索状态:
- 使用审计账户avauditor登录Audit Vault Server https://AVServer_IP
- 在策略Tab页面中,选择审计设置,选中受保护目标orcl,点击检索审计设置:
- 在设置Tab页面中,选择系统/作业,可以看到检索审计设置是否完成:
4)在策略Tab页面中,选择审计设置,可以看到当前的审计设置状态:
- 点击orcl,查看具体的审计设置:
- 点击Object,可以看到正在使用的Object审计设置:
点击右上角的创建:
选择对象类型为TABLE,
对象SH.COSTS(TABLE),
对象执行条件:两者(成功或失败),
DML审计粒度:访问,
语句审计类型:ALTER,DELETE,INSERT,SELECT,UPDATE,
点击保存。
- 在策略Tab页面,策略/审计设置中查看现在的审计设置:
- 点击Object,查看具体的对象审计设置:
- 选中新添加的5个Object规则,点击右上角的“设置为需要”,然后选择Object,点击导出/预配:
输入用户名avaudituser及密码,点击预配:
9)完成之后,查看现在审计设置:
使用审计者账户avauditor登录Audit Vault Server https://AVServer_IP
在策略Tab页面中,选择策略/防火墙策略,点击创建策略:
3)点击修改SQL,针对SQL语句定义策略:
4)选择受保护目标ORCL ,点击下角的应用:
5)选择某几条SQL,点击右上角的设置策略:
6)设置策略控制:操作Warn,日记记录级别:始终,威胁严重性:中等,点击保存。
7)可以在搜索框中输入过滤条件,比如SQL语句包含DUAL,点击开始进行搜索:
显示只包含DUAL的SQL:
选中这些SQL,设置策略控制:
8)设置默认规则:点击Default Rule
编辑默认策略,点击应用更改:
9)添加新规则:所有未见过的有关于BONUS,EMP,EMPLOYEES的DDL,DCL,DML语句都进行告警、每次都记录,威胁严重性为主要。
10)在策略控制/设置里面设置登录失败告警、无效语句策略等设置:
30s内连续2次登录失败,第三次将告警;针对无效的SQL语句进行告警:
注意:登录失败告警及无效SQL告警设置要生效,必须先激活数据库响应。(以管理账户avadmin登陆Audit Vault Server,在受保护目标Tab页面中,选择强制点/ORCLEP,启用数据库响应)
11)点击右上角的发布,新创建的策略就可以用于DBFW的监控了:
12)应用新创建的策略进行DBFW监控:在受保护目标Tab页面中,选择目标orcl,选择防火墙策略,点击更改:
选择新创建的策略,点击保存:
DBFW应用新的策略test进行监控:
下面主要看AVDF的几类内置报表:审计报告、相容性报告、及专用报告。(需要审计者账户登录avauditor登录AVServer https://AVServer_IP )
在报告Tab页面中,选择内置报告/审计报告,可以看到各种审计报告:
活动报告中包括常见的数据访问、数据更改、登录失败、用户Login/Logout、授权变化、受保护目标的启停机等11种报告。右边的三排按钮的功能分别是:浏览生成的报告、查看报告数据、Schedule报告。
以一个数据更改报告为例,用户可以在搜索框中输入相应条件来过滤自己感兴趣的内容:
- 在报告Tab页面中,选择内置报告/审计报告/预警报告:
2)点击All Alerts第二排按钮的查看报告数据:
- 先确保之前检索过用户授权:在受保护目标Tab页面中,选择目标/orcl,点击用户授权(如果上次检过时间为--,则点击右侧的检索用户受权数据)
- 在报告Tab页面中,选择内置报告/审计报告/授权报告:
- 点击User Accounts授权报告的第二排按钮查看报告数据:
- 先确保之前激活过存储过程审计:在受保护目标Tab页面中,选择目标/orcl,点击存储过程审计
- 在报告Tab页面中,选择内置报告/审计报告/存储过程审计报告:
- 点击Stored Procedure Activity Overview报告的第二排按钮查看报告数据:
相溶性报告包含:PCI报告、GLBA报告、HIPAA报告、SOX报告、DPA报告。
以PCI报告为例:
- 将受保护目标加入PCI组中:在受保护目标/管理/组中,选择PCI:
2)选中受保护目标,点击添加成员,然后点击保存:
这样受保护目标就可以生成PCI合规报表了。
3)在报告Tab页面中,选择相溶性报告/PCI报告,点击查看Data Modification的数据:
Data Modification(PCI)报告:
专用报告主要是跟DBFW相关的报告:策略报告和F5报告。策略报告中包括根据客户端IP行为追踪、OS用户行为追踪、告警、阻断及无效SQL报告。
- 客户端IP行为追踪:
2)告警报告: