Schutz der Oracle E-Business Suite: Aktivieren Sie die Serversicherheit

Von:

15. Juni 2017

Wie die meisten unserer regelmäßigen Leser vielleicht wissen, Onapsis Research Labs die Onapsis Research Labs seit mehreren Monaten an der Entwicklung von Oracle Security. Dazu haben wir unsere Leser regelmäßig mit Analysen zu den vierteljährlichen Patch-Updates auf dem Laufenden gehalten und bis heute über hundert Sicherheitshinweise für diese platform veröffentlicht. Im Rahmen unseres kontinuierlichen Bestrebens, der Branche mehr Ressourcen zur Sicherung ihrer geschäftskritischen Anwendungen zur Verfügung zu stellen, veröffentlichen wir ab heute eine Reihe wöchentlicher Blogbeiträge, die sich auf verschiedene Bereiche des Schutzes der Oracle E-Business Suite konzentrieren.

Die Oracle E-Business Suite wird in einer mehrschichtigen Konfiguration mit einem Datenbankserver und mehreren möglichen Anwendungsservern der mittleren Ebene bereitgestellt. Zu den Anwendungsservern können unter anderem Apache JSP/Servlet, Forms und Discoverer gehören. Jedes Programm, das eine SQLNet-Verbindung zur Oracle Applications-Datenbank herstellt, muss auf einer bestimmten Ebene als vertrauenswürdig eingestuft werden. Die Server-Sicherheitsfunktion stellt sicher, dass Anmeldeverbindungen (FNDLogin) von vertrauenswürdigen Rechnern stammen. Im Folgenden werden wir uns eingehend damit befassen, wie dies funktioniert und welche Vorteile es bietet.

Sicherheitsfunktion des Servers

Die Funktion „Anwendungsserver-Sicherheit“ ist standardmäßig aktiviert. Sie müssen daher lediglich überprüfen, ob die Einstellung auf„SICHER“ gesetzt ist: Das bedeutet, dass nur registrierte Anwendungsserver und vertrauenswürdige Codemodule eine Verbindung herstellen dürfen.

Die beiden anderen Werte, die Sie finden können, sind„OFF“und„ON“. Ist ein Wert auf„OFF“ gesetzt, bedeutet dies, dass die Funktion nicht aktiviert ist und keine Server oder Code-IDs überprüft werden (empfohlen nur für Entwicklungssysteme ohne Produktionsdaten). Ist ein Wert aufON gesetzt, ist die Situation etwas komplizierter: Dies bedeutet nicht, dass die Sicherheit aktiviert ist, und trotz der Einschränkungen gibt es Server, die laut Oracle eine Verbindung herstellen können (beschränkt auf bei der Datenbank registrierte Anwendungsserver oder bestimmte vertrauenswürdige Module); aus Sicherheitsgründen wird dies jedoch für Produktionsserver nicht empfohlen.

Die Funktion „Server Security“ der Application Object Library unterstützt die Authentifizierung von Anwendungsserver-Rechnern und Codemodulen für den Zugriff auf die Datenbank. Wenn „Server Security“ aktiviert ist, müssen Anwendungsserver Server-IDs (ähnlich wie Passwörter) und/oder Code-IDs angeben, um auf einen Datenbankserver zugreifen zu können. Server-IDs identifizieren den Rechner, von dem die Verbindung ausgeht. Code-IDs identifizieren das Modul und den Patch-Stand, von dem die Verbindung ausgeht, und werden bei der Entwicklung in den Anwendungscode eingebunden.

Der Datenbankserver kann so konfiguriert werden, dass der Zugriff nur von bestimmten Rechnern und/oder nur für Code mit einem bestimmten Patch-Stand erlaubt ist.

Beispiele & Schritt-für-Schritt-Anleitung

Schauen wir uns also ein Beispiel an, wie das funktioniert. Oracle EBS bietet die Möglichkeit, über die URL http://hostname.domain:port/forms/frmservlet eine direkte Verbindung zu Forms herzustellen.

oracle3
Beispiel: bei der Sicherheitskonfiguration „SECURE“

In diesem Fall bestätigt die Fehlermeldung, dass wir die Datenbank nicht von einem nicht autorisierten Knoten aus nutzen können. Dieser Fehler tritt bei jeder Anwendung auf. Solange die Serversicherheit deaktiviert ist, können Sie direkt auf alle Formulare zugreifen (siehe Abbildung mit der unsicheren Konfiguration auf demselben System):

oracle4

So überprüfen und ändern Sie die Konfiguration

Sie können den Status der Serversicherheit vor der Aktivierung der Serversicherheit mit dem Befehl STATUS im AdminAppServer-Dienstprogramm überprüfen, um sicherzustellen, dass alle gewünschten Anwendungsserver registriert wurden.


$ java oracle.apps.fnd.security.AdminAppServer apps/
STATUS DBC=$FND_SECURE/$TWO_TASK.dbc

Datenbankserver
—————
DATABASE_ID: EBS1224
AUTHENTICATION: OFF
Anwendungsserver
——————
APPL_SERVER_STATUS: VALID
APPL_SERVER_ID: 4FBCDB3F320276DAE05367E1A4C0B0C782575937229267617094091991671493

Eine weitere Möglichkeit, um zu überprüfen, ob die Serversicherheit auf „sicher“ eingestellt ist, besteht darin, die folgende SQL-Abfrage auszuführen, während man als APPS angemeldet ist: (schneller)

oracle5

Wie kann man diese Einstellungen ändern?

Befolgen Sie die folgenden Schritte, um die Serversicherheit ordnungsgemäß zu konfigurieren:

oracle7

Fazit

Zusammenfassend lässt sich sagen, dass es sich hierbei um eine nützliche Funktion handelt, die manche Unternehmen deaktivieren, um den Entwicklungsprozess zu beschleunigen. Es wird jedoch dringend empfohlen, diese Funktion aktiviert zu lassen, um die Sicherheit Ihrer Daten und geschäftskritischen Anwendungen zu gewährleisten. Oracle rät dringend davon ab, diese Funktion in Produktionsumgebungen zu deaktivieren. Weitere Informationen finden Sie in den folgenden Referenzhinweisen:

In den kommenden Wochen werden wir weitere Informationen zur Sicherheit der Oracle E-Business Suite veröffentlichen – bleiben Sie auf unserem Blog auf dem Laufenden!

  • So rufen Sie Formulare direkt in Oracle Applications R12 auf (Doc-ID 552301.1)
  • Verwaltung der Serversicherheit in Release 12 (Doc-ID 443978.1)
Stichworte, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen