Zum Inhalt springen

DOAG SIG Security

11. September 2013 in Berlin

SIG (DB) Security

ORACLE 12c: Natürlich beschäftigen sich gleich mehrere Referenten mit dem neuen Release des Datenbankherstellers. Den Anfang macht Alexander Kornbrust, der in altbewährter Manier die Dinge beim Namen nennen wird. Auch Stefan Oehrli hat 12c gründlich unter die Lupe genommen und ausführlich getestet. Davon wird er in seinem Vortrag berichten. Beide Vorträge lassen einen umfassenden Überblick erwarten.

Carsten Mützlitz stellt die Frage in den Raum, wann die Teilnehmer zuletzt die Sicherheit ihrer Datenbanken überprüft haben. Damit macht er deutlich, dass Sicherheit keine einmalige Aktivität ist, sondern ein ständiger oder immer wiederkehrender Prozess.

Aus der Projektpraxis kommt ein hoch interessanter Vortrag, in dem darüber berichtet wird, wie ein Benutzermanagement weg von der Datenbank hinein in ein Microsoft Active Directory erfolgreich verlagert wurde.

Ergänzt werden diese Vorträge mit einem Beitrag über den Schutz von Daten, ein Thema, dass derzeit kaum an Aktualität zu überbieten ist.


Wir sind überzeugt, dass mit diesem Programm für jeden Teilnehmer wertvolles Wissen angeboten wird und wir freuen uns auf eine rege Teilnahme.

Am Folgetag findet in der selben Location die SIG Database statt.


 

*Die Agenda ist vorläufig, Änderungen unter Vorbehalt

Agenda

Franz Hüll DOAG e.V.

Oracle Database 12c ist endlich verfügbar!  Darauf haben sich die Sicherheitsforscher gefreut. Für einige ist das wie Weihnachten: Nach 5 Jahren von Oracle wieder eine neue Datenbank zum Hacken. Aus rechtlichen Gründen nehmen die Security Researcher nicht  am Oracle Beta Programm teil.

Oracle hat bei der 12c Entwicklung Wert auf Sicherheit gelegt und so hat es immerhin 48h gedauert, bis der erste Security Bug von mir gefunden wurde. Weitere Fehler werden in naher Zukunft von den üblichen Verdächtigen gefunden werden.

Im Vortrag werden folgende Themen behandelt:

  • Welche Angreifer-Tricks klappen immer noch (z.B. oradebug) und welche nicht mehr ?
  • Welche Strategien werden verwendet, um das Konzept der "Pluggable Databases" auszutricksen ?
  • Welche gefährlichen PL/SQL-Packages sind neu dazugekommen?
  • Welche Benutzer sind interessant für Angreifer?
  • Undokumentierte Sicherheitsparameter (_SYS_LOGON_DELAY)
  • Spuren verwischen in Oracle 12c
Alexander Kornbrust Red Database Security GmbH

Datenschutzrechtliche Aspekte beim Umgang mit personenbezogenen Daten müssen bei nahezu jedem Verarbeitungsschritt berücksichtigt werden. So auch beim Aufbau von Datenbanken sowie deren Nutzung. Im Rahmen des Vortrags werden die folgenden Fragen aufgeworfen und praxisorientierte Lösungsansätze dargestellt.

  • Wie beeinflusst Datenschutzrecht den Umgang mit Datenbanken?
  • Welche Anforderungen stellt der Datenschutz an den Umgang mit Datenbanken?
  • Wie können datenschutzrechtliche Aspekte effizient umgesetzt werden?
Florian Gerhard Loomans & Matz AG

Oracle Database 12c ist endlich verfügbar! Neben neuen Features zur Konsolidierung von Oracle Datenbanken bringt die aktuell Version speziell im Bereich der Datenbank Sicherheit so viele Neuerungen wie seit langem nicht mehr. Nur, welche der neuen Funktionen und Optionen machen in welchem Kontext Sinn? Gibt es sogar Änderungen, welche einen Einfluss auf den bestehenden Datenbankbetrieb haben? Wie lässt sich die Sicherheit bei 12c Datenbanken generell verbessern? Und wo macht es gegebenenfalls Sinn in zusätzliche Datenbank Optionen zu investieren. Ziel dieses Vortrages ist, es diese und weitere Fragen rund um Oracle 12c Datenbank Sicherheit zu beantworten.

Anhand von ersten Erfahrungen und Erkenntnissen werden unteranderem folgende Themen besprochen:

  • ·         Starke Authentifizierung
  • ·         Netzwerk Verschlüsselung
  • ·         Data Redaction
  • ·         Neue Rollen und Privilegien
  • ·         Einheitliches Datenbank Auditing mit Unified Audit
  • ·         Hinweise zur Lizenzierung von Security Features
  • ·         Sowie ein Überblick über weiter Neuerungen im Bereich der Datenbank Sicherheit
Stefan Oehrli Trivadis AG

Hr. Mützlitz präsentiert typische Praxisbeispiele von riskanten Datenbank-Konfigurationen und Konzept-Implementierungen.

Diese verlinkt er mit Best Practice Implementierungen und Lösungen und verzweigt auch auf die sehr guten Security Konzepte der 12c Datenbank.

Der Vortrag soll das Bewußtsein schärfen, die Kontrolle der Datenbank zu behalten und andauernd für eine guten Zustand der Datenbank zu sorgen.

 

Carsten Mützlitz ORACLE Deutschland B.V. & Co. KG

Die Oraclebenutzer werden klassisch durch die DBAs der Barmenia in den Datenbanken manuell verwaltet. D.h., dass User in der jeweiligen Datenbank angelegt, geändert und gelöscht, aber auch Passwörter von dem zuständigen DBA neu gesetzt werden müssen. Über die Anzahl der betriebenen Datenbanken hinweg ergibt sich dadurch ein erhöhter Administrationsaufwand.

Von der Revision der Barmenia ist gefordert, dass Passwörter in regelmäßigen Abständen zu ändern sind.

Dies lässt sich mit einem vertretbaren Aufwand nur noch in einer zentralen Benutzersteuerung realisieren. Insbesondere lassen sich dort Synergien mit der Verwaltung des zentralen Active Directory nutzen, da hier die gleichen Prozesse für den Windowsbenutzer schon implementiert sind.

In diesem Projektbericht wird aufgezeigt, welche Schritte Barmenia unternommen hat, um zu einer zentralen Benutzersteuerung zu kommen. Weiterhin wird dargestellt, wie aktuelle Verzeichnisprodukte die Integration und den Betrieb der Lösung vereinfachen können.

 

Inhalte:

 

-     Welche alternativen Lösungsansätze kann man gehen.

-     Welchen Lösungsweg hat Barmenia gewählt.

-     Hindernisse und Fallstricke bei der Umsetzung.

-     Migration von User und Rollen im Umsetzungsprozess.

-     Lessons learned und Fazit

 

Herr André Lünsmann Barmenia Versicherungen (Hauptreferent)

Quicklinks

Details zum Termin

Uhrzeit: 09:00 - 17:15 Uhr

Die PremiumCard ist für diese Veranstaltung gültig.

→ die vorherige Veranstaltung der Reihe

→ die nächste Veranstaltung der Reihe

Unterlagen

Florian Gerhard, Loomans & Matz AG: Datenschutz beim Umgang mit Datenbanken

André Lünsmann, Barmenia Versicherungen, Thomas Kriener, TWINSEC GmbH, Stefan Seck, OPITZ CONSULTING Deutschland GmbH: Verlagerung der Benutzeradministration aus der Vielzahl von Oracle-Datenbanken in ein zentrales Directory - ein Projektbericht.

Carsten Mützlitz, ORACLE Deutschland B.V. & Co. KG : Wann haben Sie das letzte Mal die Sicherheit Ihrer Datenbank geprüft?

Stefan Oehrli, Trivadis AG : Oracle 12c Security auf dem Prüfstand (Teil 2), erste Ergebnisse und Erfahrungen

Alexander Kornbrust, Red Database Security GmbH : Oracle 12c Security aus Angreifersicht

Preise

Günstig reisen

Mit dem Kooperationsangebot der DOAG und der Deutschen Bahn reisen Sie kostengünstig das ganze Jahr über zu den Veranstaltungen der DOAG.

Mehr Informationen

Premium Card

Die Event-Flatrate für DOAG-Veranstaltungen: die DOAG Premium Card. Ihr Vorteil: einmal bezahlen – das ganze Jahr an vielen DOAG-Veranstaltungen teilnehmen.

Mehr Informationen

Mitglied werden

DOAG-Mitglieder erhalten ab 20 Prozent Nachlass auf die regulären Ticketpreise. Die persönliche Mitgliedschaft kostet nur 105 Euro pro Jahr. Informieren Sie sich!

Mehr Informationen

Teilnahmegebühr

bis 22. März 2017

  • 100,00 Mitglieder
  • 200,00 Nicht-Mitglieder

Buchungsbedingungen