Schutz der Oracle E-Business Suite: Webschnittstelle verschlüsseln (HTTPS)

Nach der Veröffentlichung unseres Bedrohungsberichts über a Kritische Sicherheitslücke in Bezug auf „Unauthorized Business Data Exfiltration Vulnerability“, wir setzen unsere fort Blogpostreihe über die Sicherheit der Oracle E-Business Suite. Um unsere Leser über Sicherheitsrisiken und Abhilfemaßnahmen für Oracles größtes ERP, die E-Business Suite (EBS), auf dem Laufenden zu halten, werden wir weiterhin monatlich Blogs veröffentlichen. In unserer letzten Veröffentlichung haben wir gezeigt, wie Sie die Angriffsfläche reduzieren können, indem Sie offengelegte JAVA-Dateien auf die Whitelist setzen. Heute besprechen wir die Konfiguration von sicherem und verschlüsseltem Webbrowsen über das HTTPS-Protokoll. Lassen Sie uns zunächst verstehen, was es ist und was der Unterschied zu HTTP ist.

Hyper Text Transfer Protocol Secure (HTTPS) ist die sichere Version von HTTP, dem Protokoll, über das Daten zwischen Ihrem Browser und dem EBS, mit dem Sie verbunden sind, gesendet werden. Das „S“ am Ende von HTTPS steht für „Secure“. Dies bedeutet, dass die gesamte Kommunikation zwischen Ihrem Browser und der Website (EBS) verschlüsselt ist. HTTPS wird häufig zum Schutz streng vertraulicher Online-Transaktionen wie Online-Banking und Online-Shopping-Bestellformulare verwendet. Mit einfachen Konfigurationen, die dieses Protokoll aktivieren, können Benutzer verhindern, dass Angreifer ihren Datenverkehr überwachen (z. B. ein Passwort auf der Anmeldeseite).

Secure Sockets Layer (SSL) und sein Nachfolger Transport Layer Security (TLS) sind Funktionen, die eine Verschlüsselung des Netzwerkverkehrs zwischen dem Browser des Benutzers und dem Oracle E-Business Suite-Webserver ermöglichen. Es wird dringend empfohlen, Ihre Oracle E-Business Suite-Umgebung für die Verwendung von HTTPS (HTTP über TLS) zu konfigurieren.

Stand Oktober 2014 (nach dem Pudelangriff) Alle Versionen von SSL werden von Oracle als unsicher angesehen und sollten nicht verwendet werden. Oracle empfiehlt Kunden der Oracle E-Business Suite dringend, von SSL auf TLS 1.2 zu migrieren. Auf diese Weise werden Benutzer eine Reihe aktueller Sicherheitslücken beheben (z. B. POODLE, FREAK, LOGIAM und RC4NOMORE und andere).

HTTPS 101: Terminologie und Konzepte

Um voranzukommen, stellen Sie sicher, dass Sie die grundlegenden Konzepte und Protokolle im Zusammenhang mit HTTPS vollständig verstehen:

  1. Transport Layer Security (TLS): stellt eine verschlüsselte Verbindung zwischen zwei Maschinen her und ermöglicht die Übertragung privater Informationen ohne Abhörprobleme, Datenmanipulation oder Nachrichtenfälschung
  2. Secure Sockets Layer (SSL): Definiert die wesentlichen Funktionen der gegenseitigen Authentifizierung, Datenverschlüsselung und Datenintegrität für sichere Transaktionen
  3. HTTP und HTTPS: HTTP ist das primäre Kommunikationsprotokoll für das World Wide Web. HTTPS ist eine Kombination aus HTTP und TLS.
  4. Zertifizierungsstelle (CA): ist ein vertrauenswürdiger Dritter, der für die Ausstellung, Sperrung und Erneuerung digitaler Zertifikate verantwortlich ist
  5. Zertifikatssignierungsanfrage (CSR): Ist eine digitale Datei, die Ihren öffentlichen Schlüssel und Ihren Namen enthält. Sie senden den CSR an eine Zertifizierungsstelle (Certifying Authority, CA), um ihn in ein echtes Zertifikat umzuwandeln.
  6. Digitales Zertifikat (öffentlicher Schlüssel):  ist eine digitale Datei, die Sie als Teil eines Schlüsselpaars (privater Schlüssel und öffentlicher Schlüssel) generieren und zum Verschlüsseln/Entschlüsseln von Nachrichten verwenden.
  7. TLS-Endpunkt: Ein TLS-Endpunkt ist der Endpunktserver für die verschlüsselte Verbindung, die von einem Client (z. B. einem Browser) initiiert wurde.

Arten von Verbindungen in EBS

Oracle E-Business Suite-Verbindungen fallen in die folgenden drei Kategorien: eingehende, Loopback- und ausgehende Verbindungen; wie es im folgenden Bild dargestellt ist.

Bild „Arten von Verbindungen“.
  1. Eingehende Verbindungen erfolgen von einem Client zum Oracle HTTP Server (OHS), der mit dem Anwendungstechnologie-Stack der Oracle E-Business Suite bereitgestellt wird. (Mobil, XML Gateway, Zugriffe über Browser und Forms Servlet-Modus.
  2. Loopback-Verbindungen stammen von der Oracle E-Business Suite zurück zum Oracle HTTP Server (OHS), der mit dem Oracle E-Business Suite-Anwendungstechnologie-Stack geliefert wird (Workflow, Zahlungsrückruf, Opmn, OAM).
  3. Ausgehende Verbindungenstammen von der Oracle E-Business Suite zu externen Sites. (iProcurement, isupply, Zahlungen, Kreditkartenabwicklung usw.)

Natürlich können (und sollten) alle Arten von Verbindungen sicher sein, aber das Wichtigste ist, wenn es einen externen Standort in einer DMZ gibt. In diesem Szenario stellt ein Benutzer über nicht vertrauenswürdige Netzwerke eine Verbindung zur geschäftskritischen Anwendung her, wodurch die Notwendigkeit einer angemessenen Absicherung der Datenübertragung steigt.

Wenn Sie einen Teil Ihres Oracle E-Business Suite-Produktionssystems dem Internet zugänglich machen, können Sie das My Oracle Support Knowledge Document 1375670.1 konsultieren, das die Rolle von DMZs, externen Webebenen, externen Verantwortlichkeiten, URL-Firewall und Reverse-Proxys besser beschreibt eine sichere externe Oracle E-Business Suite-Bereitstellung.

So überprüfen Sie, ob HTTPS in EBS aktiviert ist

Sie können ganz einfach überprüfen, ob HTTPS in Ihrer Umgebung aktiviert ist, indem Sie über einen Webbrowser auf die E-Business Suite zugreifen. Wenn dies der Fall ist, sollten Sie nach dem Versuch, über HTTP auf die Website zuzugreifen, zu HTTPS umgeleitet werden oder eine Meldung wie diese sehen:

HTTPS-Bild

Auch die folgende Abfrage an die Datenbank kann bestätigen, dass HTTPS ordnungsgemäß aktiviert ist:

Wählen Sie decode(UPPER(SUBSTR(APPS.FND_WEB_CONFIG.PROTOCOL,1,5)), 'HTTPS','HTTPS_ENABLED', 'HTTPS_DISABLED') „SSL-Modus“ aus Dual;

Konfigurieren Sie HTTPS in EBS

Ehrlich gesagt ist die Aktivierung von HTTPS in der Oracle E-Business Suite keine leichte Aufgabe. Sie müssen alle Ebenen in Ihrem System (Client, Datenbank und Anwendungen) überprüfen. Je nach Version müssen Sie unter anderem Weblogic (für 12.2.X) oder Apache (für 12.1.X) konfigurieren sowie notwendige Änderungen in vielen Dateien in der Umgebung vornehmen, Autoconfig ausführen und Dienste neu starten. Aber... es ist sehr notwendig und wir empfehlen dringend, diese Schritte für eine sichere Konfiguration durchzuführen (wenn Sie nur HTTP verwenden, erfolgt die gesamte Informationsübertragung zwischen der Ebene und den Clients ohne Verschlüsselung und jeder Angreifer könnte dies erkennen).

Hier ist eine Liste einiger Variablen, die geändert werden müssen, um HTTPS ordnungsgemäß zu aktivieren, und des Werts, den Sie konfigurieren sollten, damit es funktioniert:

Variable

Nicht-TLS-Wert

TLS-Wert

s_url_protocol

http

https

s_local_url_protocol

http

https

s_webentryurlprotocol

http

https

s_active_webport

dasselbe wie s_webport

Identisch mit s_webssl_port

s_webssl_port

unzutreffend

Standard ist 4443

s_https_listen_parameter

unzutreffend

Identisch mit s_webssl_port

s_login_page

URL erstellt mit http-Protokoll und s_webport

URL erstellt mit https-Protokoll und s_webssl_port

s_external_url

URL erstellt mit http-Protokoll und s_webport

URL erstellt mit https-Protokoll und s_webssl_port

Schließlich ist der Wert von s_webport bereits vor der Aktivierung konfiguriert, sodass er im gleichen Zustand bleiben kann, es sei denn, Sie möchten einen nicht standardmäßigen Port konfigurieren. Wenn nicht, besteht keine Notwendigkeit, diesen Wert zu konfigurieren.

Konklusion

Im vorherigen Beitrag haben wir die Bedeutung der Passwortrichtlinie untersucht und sehen nun einen weiteren wichtigen und grundlegenden Aspekt der Sicherheit. HTTP ist die Zukunft der Sicherheit von Webanwendungen, da es ohne „s“ (https) nicht mehr sicher ist.

Wenn Sie weitermachen (und das erwarten wir), sollten Sie das vollständige Verfahren in den folgenden Dokumenten lesen (basierend auf Ihrer Version):

  1. 376700.1, Aktivieren von TLS in Oracle E-Business Suite Version 12.1.
  2. 1367293.1, Aktivieren von TLS in Oracle E-Business Suite Version 12.2.

Die Onapsis-Plattform für Oracle EBS bietet eine effektive und effiziente Lösung zur Abstimmung von IT-, Sicherheits- und Compliance-Teams durch die Automatisierung manueller Aufgaben und die Optimierung der Prozesse, die erforderlich sind, um die Verfügbarkeit zu maximieren und Ihren Schutz und die Compliance zu gewährleisten. Mehr erfahren or DEMOVERSION ANFORDERN.