Sicherheit der Oracle E-Business Suite: Verschlüsselung der Webschnittstelle (HTTPS)

Nach der Veröffentlichung unseres Bedrohungsberichts über einekritische Sicherheitslücke zum Thema „Unauthorized Business Data Exfiltration Vulnerability“ setzen wir unsereBlogreihe zur Sicherheit der Oracle E-Business Suite fort. Um unsere Leser über Sicherheitsrisiken und Abwehrmaßnahmen für Oracles größtes ERP-System, die E-Business Suite (EBS), auf dem Laufenden zu halten, werden wir weiterhin monatlich Blogbeiträge veröffentlichen. In unserem letzten Beitrag haben wir gezeigt, wie sich die Angriffsfläche durch die Whitelisting von exponierten JAVA-Dateien verringern lässt, und heute werden wir die Konfiguration eines sicheren und verschlüsselten Web-Browsing über das HTTPS-Protokoll erörtern. Lassen Sie uns zunächst verstehen, was das ist und worin der Unterschied zu HTTP besteht.

Hyper Text Transfer Protocol Secure (HTTPS) ist die sichere Version von HTTP, dem Protokoll, über das Daten zwischen Ihrem Browser und dem EBS, mit dem Sie verbunden sind, übertragen werden. Das „S“ am Ende von HTTPS steht für „Secure“ (sicher). Es bedeutet, dass die gesamte Kommunikation zwischen Ihrem Browser und der Website (EBS) verschlüsselt ist. HTTPS wird häufig zum Schutz streng vertraulicher Online-Transaktionen wie Online-Banking und Bestellformulare beim Online-Shopping verwendet. Durch einfache Konfigurationen, die dieses Protokoll aktivieren, können Nutzer verhindern, dass Angreifer ihren Datenverkehr ausspionieren (z. B. ein Passwort auf der Anmeldeseite).

Secure Sockets Layer (SSL) und dessen Nachfolger Transport Layer Security (TLS) sind Funktionen, die den Netzwerkverkehr zwischen dem Browser des Benutzers und dem Webserver der Oracle E-Business Suite verschlüsseln. Es wird dringend empfohlen, Ihre Oracle E-Business Suite-Umgebung so zu konfigurieren, dass HTTPS (HTTP über TLS) verwendet wird.

Seit Oktober 2014 (nach demPOODLE-Angriff) werden alle SSL-Versionen von Oracle als unsicher eingestuft und sollten nicht mehr verwendet werden. Oracle empfiehlt den Kunden der Oracle E-Business Suite dringend, von SSL auf TLS 1.2 umzustellen. Dadurch beheben Anwender eine Reihe aktueller Sicherheitslücken (wie POODLE, FREAK, LOGIAM, RC4NOMORE und andere).

HTTPS für Einsteiger: Begriffe und Konzepte

Um weiterzumachen, sollten Sie sicherstellen, dass Sie die grundlegenden Konzepte und Protokolle im Zusammenhang mit HTTPS vollständig verstanden haben:

1. Transport Layer Security (TLS):Stellt eine verschlüsselte Verbindung zwischen zwei Computern her, sodass vertrauliche Informationen ohne die Gefahr von Abhörversuchen, Datenmanipulationen oder Nachrichtenfälschungen übertragen werden können
2. Secure Sockets Layer (SSL): Definiertdie wesentlichen Funktionen der gegenseitigen Authentifizierung, Datenverschlüsselung und Datenintegrität für sichere Transaktionen
3. HTTP und HTTPS: HTTPist das wichtigste Kommunikationsprotokoll für das World Wide Web. HTTPS ist eine Kombination aus HTTP und TLS.
4. Zertifizierungsstelle (CA):Eine vertrauenswürdige dritte Partei, die für die Ausstellung, den Widerruf und die Verlängerung digitaler Zertifikate zuständig ist
5. Zertifikatssignierungsanforderung (CSR):Eine digitale Datei, die Ihren öffentlichen Schlüssel und Ihren Namen enthält. Sie senden die CSR an eine Zertifizierungsstelle (CA), damit diese in ein echtes Zertifikat umgewandelt wird.
6. Digitales Zertifikat (öffentlicher Schlüssel): isteine digitale Datei, die Sie als Teil eines Schlüsselpaars (privater Schlüssel und öffentlicher Schlüssel) erstellen und zur Ver- und Entschlüsselung von Nachrichten verwenden.
7. TLS-Endpunkt: EinTLS-Endpunkt ist der Server, der als Endpunkt für die von einem Client (z. B. einem Browser) initiierte verschlüsselte Verbindung dient.

Verbindungsarten in EBS

Die Verbindungen der Oracle E-Business Suite lassen sich in die folgenden drei Kategorien einteilen: eingehende, Loopback- und ausgehende Verbindungen, wie in der folgenden Abbildung dargestellt.

1. Eingehende Verbindungen kommen von einem Client zum Oracle HTTP Server (OHS), der im Technologie-Stack der Oracle E-Business Suite-Anwendungen enthalten ist. (Mobile, XML-Gateway, Zugriffe über den Browser und im Forms-Servlet-Modus.)
2. Loopback-Verbindungen führen von der Oracle E-Business Suite zurück zum Oracle HTTP Server (OHS), der im Technologie-Stack der Oracle E-Business Suite-Anwendungen enthalten ist (Workflow, Zahlungsrückruf, OPMN, OAM)
3. Ausgehende Verbindungenführen von der Oracle E-Business Suite zu externen Websites. (iProcurement, isupply, Zahlungen, Kreditkartenabwicklung usw.)

Natürlich können (und sollten) alle Arten von Verbindungen sicher sein, doch am wichtigsten ist dies, wenn sich eine externe Website in einer DMZ befindet. In diesem Fall stellt ein Benutzer über nicht vertrauenswürdige Netzwerke eine Verbindung zur geschäftskritischen Anwendung her, was die Notwendigkeit eines angemessenen Schutzes der Datenübertragung noch verstärkt.

Wenn Sie einen Teil Ihres Oracle E-Business Suite-Produktionssystems für das Internet zugänglich machen, können Sie das My Oracle Support-Wissensdokument 1375670.1 zu Rate ziehen, in dem die Rolle von DMZs, externen Web-Ebenen, externen Zuständigkeiten, URL-Firewalls und Reverse-Proxys in einer sicheren externen Oracle E-Business Suite-Bereitstellung näher beschrieben wird.

So überprüfen Sie, ob HTTPS in EBS aktiviert ist

Sie können ganz einfach überprüfen, ob HTTPS in Ihrer Umgebung aktiviert ist, indem Sie über einen Webbrowser auf die E-Business Suite zugreifen. Ist dies der Fall, sollten Sie nach dem Versuch, die Website über HTTP aufzurufen, zu HTTPS weitergeleitet werden oder eine Meldung wie die folgende sehen:

Außerdem lässt sich anhand der folgenden Datenbankabfrage überprüfen, ob HTTPS ordnungsgemäß aktiviert ist:

select decode(UPPER(SUBSTR(APPS.FND_WEB_CONFIG.PROTOCOL,1,5)), ‘HTTPS’,’HTTPS_ENABLED’, ‘HTTPS_DISABLED’) „SSL-Modus“ from dual;

HTTPS in EBS konfigurieren

Um ehrlich zu sein, ist die Aktivierung von HTTPS in der Oracle E-Business Suite keine leichte Aufgabe; Sie müssen alle Ebenen Ihres Systems (Client, Datenbank und Anwendungen) überprüfen. Je nach Version müssen Sie WebLogic (für 12.2.X) oder Apache (für 12.1.X) konfigurieren sowie unter anderem notwendige Änderungen an vielen Dateien in der Umgebung vornehmen, die Autokonfiguration ausführen und Dienste neu starten. Aber… es ist unbedingt notwendig, und wir empfehlen dringend, diese Schritte für eine sichere Konfiguration durchzuführen (wenn Sie nur HTTP verwenden, würde die gesamte Datenübertragung zwischen den Ebenen und den Clients unverschlüsselt erfolgen, und jeder Angreifer könnte diese einsehen).

Hier ist eine Liste einiger Variablen, die geändert werden müssen, um HTTPS ordnungsgemäß zu aktivieren, sowie die Werte, die Sie konfigurieren sollten, damit es funktioniert:

Schließlich ist der Wert von `s_webport` bereits vor der Aktivierung konfiguriert, sodass er unverändert bleiben kann, es sei denn, Sie möchten einen vom Standard abweichenden Port festlegen. Andernfalls ist es nicht erforderlich, diesen Wert zu konfigurieren.

Fazit

Im vorherigen Beitrag haben wir die Bedeutung der Passwortrichtlinie beleuchtet, und nun widmen wir uns einem weiteren wichtigen und grundlegenden Aspekt der Sicherheit. HTTPS ist die Zukunft der Sicherheit von Webanwendungen, da diese ohne das „s“ (HTTPS) nicht mehr sicher sind.

Wenn Sie fortfahren möchten (und wir gehen davon aus, dass Sie dies tun werden), sollten Sie die vollständige Vorgehensweise in den folgenden Dokumenten (je nach Ihrer Version) lesen:

1. 376700.1, Aktivieren von TLS in der Oracle E-Business Suite, Release 12.1.
2. 1367293.1, Aktivieren von TLS in der Oracle E-Business Suite, Release 12.2.

Die Platform Oracle EBS bietet eine effektive und effiziente Lösung zur Abstimmung zwischen IT-, Sicherheits- und Compliance-Teams, indem sie manuelle Aufgaben automatisiert und Prozesse optimiert, die für die Maximierung der Verfügbarkeit sowie für Ihren Schutz und die Einhaltung gesetzlicher Vorschriften erforderlich sind. Erfahren Sie mehr oder fordern Sie eine Demo an.