この章の内容は、次のとおりです。
この章では、スタンドアロンOracle Database Firewallの構成方法について説明します。特に指示がないかぎり、手順は、管理対象Oracle Database Firewallにも適用されます。どちらのタイプのDatabase Firewallでどのタスクを実行するかの詳細は、次のトピックを参照してください。
スタンドアロンDatabase FirewallをManagement Serverで管理するように構成する場合は、第3章「Database Firewall Management Serverの構成」を参照してください。
開始する前に、『Oracle Database Firewallインストレーション・ガイド』の説明に従って、Database Firewallがインストールされていることを確認してください。
注意: 使用するWebブラウザは、エラー・メッセージを表示できるように、JavaScriptに対応している必要があります。Internet Explorerの場合は、「ツール」→「インターネット オプション」を選択し、「セキュリティ」タブで「レベルのカスタマイズ」をクリックし、「アクティブ スクリプト」に対して「有効にする」を選択します。Mozilla Firefoxの場合は、「ツール」→「オプション」を選択し、「コンテンツ」タブで「JavaScriptを有効にする」を選択します。 |
Database Firewallで正確な日時を使用することは、イベントを発生した日時とともにログに記録し、アーカイブを特定の間隔で実行するために重要です。
スタンドアロンDatabase Firewallの日時を設定する手順は、次のとおりです。
スタンドアロンDatabase Firewall管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
管理コンソールが表示されます。次の画面は、スタンドアロンDatabase Firewall管理コンソールがどのように表示されるかを示しています。
「System」メニューで、「Settings」を選択します。
「System Settings」ページが表示されます。
「Time Settings」領域で、「Change」をクリックします。
正しい日時を入力し、「Apply」をクリックします。
Database Firewallを再起動します。
「System」メニューで「Management」を選択し、「Reboot and power off」の下にある「Reboot」ボタンをクリックします。
ネットワーク・タイム・プロトコル(NTP)タイム・サーバーを使用すると、スタンドアロンOracle Database Firewallまたは管理対象Oracle Database Firewallの時刻を自動的に更新できます。
NTPタイム・サーバーの設定を指定する手順は、次のとおりです。
Database Firewall(スタンドアロンまたは管理対象)の管理コンソールで、「System」にある「Time Synchronization」をクリックし、次に「Change」ボタンをクリックします。
次のページが表示されます。
「Time Offset」メニューを使用して、協定世界時(UTC)から相対的に示したローカル時間を選択します。
たとえば、「UTC-5」は、UTCより5時間遅れていることを示します。同期で時刻が正確に設定されるように、適切な設定を選択することが重要です。
適切な設定を選択しないと、時刻の同期が発生したときに時刻が正確に設定されません。
「NTP time synchronization」を選択します。
「NTP Time Synchronization」を選択すると、「Server 1」/「Server 2」/「Server 3」フィールド(IPアドレスまたは名前を指定可能)で指定したタイム・サーバーから取得された時刻の平均と同期化された時刻が、Oracle Database Firewall Management ServerまたはOracle Database Firewallで保持されます。名前を指定した場合は、「System Settings」ページで指定したDNSサーバーが名前解決のために使用されます。
デフォルトのサーバーのアドレスを使用するか、優先するタイム・サーバーのアドレスを入力します。
「Test Server」では、サーバーの時刻が表示されますが、Oracle Database Firewall Management ServerまたはOracle Database Firewallの時刻が更新されることはありません。
「Apply Server Time After Save」を選択した場合は、「Save」をクリックすると時刻が同期化されます。
「Save」をクリックします。
時刻の同期を有効にするには、次の項で説明するように、デフォルトのゲートウェイおよびDNSサーバーのIPアドレスも指定する必要があります。
スタンドアロンDatabase Firewallのシステム設定を構成する手順は、次のとおりです。
Database Firewall管理コンソールで、「System」タブをクリックし、「System」メニューの「Settings」を選択します。
「System Settings」ページで、「Change」をクリックします。
必要に応じて、フィールドを指定します。
IP Address: 現在アクセスしているDatabase FirewallのIPアドレス。このIPアドレスは、管理コンソールに接続したり、Oracle Database Firewallアプリケーションのユニット(Analyzerなど)に接続します。IPアドレスはインストール時に設定されています。別のアドレスを使用する場合は、ここで変更できます。IPアドレスは静的で、ネットワーク管理者から取得する必要があります。
User Interface Port: 管理コンソールへの接続に使用するポート番号。デフォルトのポート番号は『Oracle Database Firewallインストレーション・ガイド』に記載されています。このポート番号を変更した場合は、Database Firewall管理コンソールにログインする際に、新しい番号をURLに指定する必要があります。次の構文を使用します。
https://ip_address:port/user/login
Network Mask: Oracle Database Firewallのサブネット・マスク。
Name: Database Firewall to monitor Oracle Database
など、このDatabase Firewallについて説明する名前を入力します。
Default Gateway: (オプション)デフォルトのゲートウェイのIPアドレス(たとえば、インターネット・アクセス用)。デフォルトのゲートウェイは、ホストと同じサブネット上にある必要があります。
DNSサーバー: (オプション) ネットワーク上にある最大3つのDNSサーバーのIPアドレス。これらは、ネットワーク名を解決するためにOracle Database Firewallで使用されます。DNSサーバーがない場合は、このフィールドを空白のままにして、システム・パフォーマンスの低下を防止します。
Web Access: 管理コンソールへのアクセスを選択したコンピュータのみに許可する場合は、そのコンピュータのIPアドレスをボックスに入力します。デフォルトの「all」を使用すると、サイト内のすべてのコンピュータからアクセス可能になります。
Terminal Access: リモート・コンソールからOracle Database Firewallへのアクセスを許可するIPアドレスのリストを指定できます。「all」を入力すると、サイト内のすべてのコンピュータからアクセス可能になります。デフォルトの「disabled」では、コンピュータからコンソール・アクセスはできません。
SNMP Access: (「Terminal Access」の設定のように)SNMPを介したOracle Database Firewallのネットワーク構成へのアクセスを許可するIPアドレスのリストを指定します。SNMPコミュニティ文字列はgT8@fq+E
です。
Secure Log Access (Reporting): (「Terminal Access」の設定のように)Oracle Database Firewall Management Serverに保持されているログ・データへのアクセスを許可するIPアドレスのリストを指定します(外部レポート作成システムを使用してレポートを作成する場合など)。この設定を完了した場合は、ステップ4: スタンドアロンDatabase Firewallでのセキュア・ログ・アクセスの有効化も必ず完了します。
Traffic Log Access (Analyzer): (「Terminal Access」の設定のように)Oracle Database Firewall Management Serverに保持されているトラフィック・データへのアクセスを許可する、Analyzerソフトウェアを実行しているコンピュータのIPアドレスのリストを指定します。
Link properties: 自動ネゴシエーションを使用しないようにネットワークが構成されている場合を除いて、デフォルトの設定のままにします。
「Apply」をクリックします。
ステップ3: スタンドアロンDatabase Firewallのシステム設定の指定の「Secure Log Access (Reporting)」フィールドの設定を完了した場合は、Database Firewallサーバーでアクセスを有効化する必要があります。
Database Firewallサーバーにroot
ユーザーとしてログインします。
oracleユーザーに変更します。
su - oracle
次の環境変数を設定してください。
export ORACLE_HOME=/var/lib/oracle/dbfw export ORACLE_SID=dbfwdb export PATH=$PATH:$ORACLE_HOME/bin/
次のメッセージが表示されます。
The Oracle base has been set to /var/lib/oracle
SQL*Plusを使用して、このサーバー上のデータベースにログインします。
sqlplus / as sysdba
dbfw_report
アカウントを有効化し、このユーザーにパスワードを付与します。
ALTER USER dbfw_report ACCOUNT UNLOCK IDENTIFIED BY password;
SQL*Plusを終了します。
次の手順を使用して、このDatabase Firewallから送信するsyslogメッセージのタイプ(ブロックされた文の通知など)を構成します。
スタンドアロンDatabase Firewall管理コンソールで、「System」タブをクリックします。
「Connectors」メニューで、「Syslog」をクリックします。
次のページが表示されます。
必要に応じて、フィールドを指定します。
Syslog Destinations (UDP): syslogメッセージの通信にユーザー・データグラム・プロトコル(UDP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各コンピュータのIPアドレスを入力します。
Syslog Destinations (TCP): syslogメッセージの通信にトランスミッション・コントロール・プロトコル(TCP)を使用している場合は、このボックスを使用します。TCPでは、パケットが正しく送受信されることが保証されます。syslogメッセージの受信を許可されている各マシンのIPアドレスとポート番号を入力します。
Syslog Categories: 生成するsyslogメッセージのタイプを選択できます。syslogメッセージは次のカテゴリに分類されます。
System: Oracle Database Firewallまたはその他のソフトウェアによって生成される、syslog優先度レベルが少なくとも「INFO」のシステム・メッセージ。
Alerts: Oracle Database FirewallおよびF5のアラート(Oracle Database FirewallのsyslogメッセージID: 9、10、11および12)。
Info: Oracle Database Firewallの一般的なメッセージおよびプロパティの変更(Oracle Database FirewallのsyslogメッセージID: 1、4および8)。
Debug: エンジニアリング・デバッグ・メッセージ(Oracle Database Firewallのみ)。
Heartbeat: Oracle Database Firewallのハートビート・メッセージおよび現在の統計(Oracle Database FirewallのsyslogメッセージID: 3)。Oracle Database Firewallは、このシステムに対して構成した各強制ポイントにハートビートを毎秒送信します。(このチェック・ボックスを選択する場合は、ハートビート機能を有効にしたときに多数の問題が発生する可能性があることに注意してください。)
「Apply」をクリックします。
スタンドアロンDatabase Firewallで使用する各強制ポイントを構成する必要があります。(管理対象Database Firewallの場合は、Management Serverを使用します。)
強制ポイントを構成する手順は、次のとおりです。
スタンドアロンDatabase Firewall管理コンソールで、「Monitoring」タブを選択します。
「Enforcement Points」メニューで、「Create」を選択します。
「Enforcement Point Wizard: Step 1」ページが表示されます。
次の情報を入力します。
Name: 強制ポイントの名前を入力します。
Use a builtin enforcement point (Monitor locally): 作成可能な強制ポイントの現在の有効数が表示されます。
「Next」をクリックします。
「Enforcement Point Wizard: Step 2」ページが表示されます。
次の情報を入力します。
Protected Database: 使用可能なデータベースのリストから選択します。
Name: 監視対象データベースの名前を入力します(このオプションと残りのオプションは、既存のデータベースを選択していない場合は使用されません)。
Database Type: データベースのタイプを選択します。
Address、Port: データベース管理システムのIPアドレスとポート番号(データベース・クライアントがデータベースへのトラフィックの送信に使用するIP設定)を指定し、「Add」をクリックします。保護対象データベースに複数のインタフェースまたはポート(あるいはその両方)がある場合は、追加の「Address」と「Port」を入力し、「Add」を再度クリックします。ドメイン・ネーム・サーバー(DNS)を使用している場合は、IPアドレスのかわりに、ホスト名を入力できます。
「Next」をクリックします。
「Enforcement Point Wizard: Step 3」ページが表示されます。
次の設定を入力します。
Monitoring Mode: 文をログに記録して潜在的な攻撃に関する警告を提供する目的にのみ強制ポイントを使用する場合は、「Database Activity Monitoring (DAM)」を選択します。強制ポイントによって潜在的な攻撃をブロックする必要もある場合は、「Database Policy Enforcement (DPE)」を選択します。データベース・ポリシー強制が使用可能になるのは、(次に説明するように)ポリシーをアップロードした場合のみです。
Policy: ベースライン・ポリシーを選択します。Analyzerソフトウェアを使用して開発されたカスタム・ポリシーを選択するには、「Browse」をクリックしてファイルを選択し、「Upload」をクリックします。テキスト・ボックスを使用して説明を追加すると、「Description」列に表示されます。ベースライン・ポリシーを初めて作成する場合は、unique.dnaポリシーを選択することをお薦めします。
「Next」をクリックします。
「Enforcement Point Wizard: Step 4」ページが表示されます。
設定を確認し、問題がない場合は「Finish」ボタンをクリックします。
Oracle Database Firewallで潜在的な攻撃をブロックする場合、またはOracle Database Firewallのローカル・モニタリング・ソフトウェアを使用している場合は、データベース・ネットワークに固有の追加のIPアドレスを割り当てる必要があります。これは、ユニット内のトラフィックをリダイレクトするためのブリッジIPアドレスとして使用されます。
スタンドアロンDatabase FirewallのブリッジIPアドレスを構成する手順は、次のとおりです。
スタンドアロンDatabase Firewall管理コンソールで、「Monitoring」タブをクリックします。
「Traffic Sources」メニューで、「List」をクリックします。次のような領域が表示されます。
リストで、構成するネットワークを検索します。
適切なネットワーク・インタフェースに対応する「Enabled」を選択し、インタフェースの名前をクリックします。
次のいずれかに該当する場合は、IPアドレスとサブネット・マスクを指定します(このアドレスは、ネットワークに固有である必要があり、ユニット内のトラフィックをリダイレクトするためのブリッジIPアドレスとして使用されます)。
2つのポートによって、Oracle Database Firewallをデータベースとクライアント間にインラインで接続する(データベース・ポリシー強制モードまたはデータベース・アクティビティ・モニタリング・モードを使用)。
Oracle Database Firewallのローカル・モニタリング・ソフトウェアでトラフィックを監視するためにポートを使用する。
ローカル・モニタリングまたはDPE(データベース・ポリシー強制)モードが選択されている強制ポイントのトラフィックを監視するためにポートが現在使用されている場合は、「Enabled」が自動的に選択されます。
「Save Settings」をクリックします。
保護対象データベースのSQLトラフィックの監視を開始する前に、スタンドアロンDatabase Firewall構成が完全に機能していることを検証する必要があります。
システム操作をテストする手順は、次のとおりです。
スタンドアロンDatabase Firewall管理コンソールで、「Monitoring」タブをクリックし、次に「Enforcement Points」メニューから「List」を選択して、構成済の強制ポイントのリストを表示します。次のようにステータスを確認します。
該当する強制ポイントの「Status」ボタンをクリックします。
「Appliances」領域で、監視を実行しているデバイスに対応する「Status」列に緑色のチェックマーク・インジケータが表示されていることを確認します。
「Dashboard」タブをクリックし、「Number of statements」が毎分増加していることを確認します。この設定は文が認識されていることを示します。
「Reporting」タブをクリックし、「Traffic Log」メニューで「View」をクリックします。
「Start」をクリックして、トラフィック・ログに保存されている文を確認します。5から10分間待機することが必要な場合があります。
トラフィック・ログからデータを取得できることを確認します。
トラフィック・ログのアクセスおよび表示については、『Oracle Database Firewallセキュリティ管理ガイド』を参照してください。
この章のタスクにより、Database Firewallの初期構成が完了します。次のステップは、第3章「Database Firewall Management Serverの構成」の説明に従ってManagement Serverを構成することです。サイト要件に応じて、ストアド・プロシージャ監査、ユーザー・ロール監査、ローカル・モニタリングなど、その他の機能を構成する必要があります。これらの機能は、このガイドの後続の章で説明されています。
スタンドアロンDatabase Firewallの構成が完了すると、ユーザーはデータの分析を開始できます。ポリシーを開発した後は、そのポリシーをアップロードする必要があります。これらのタスクの詳細は、『Oracle Database Firewallセキュリティ管理ガイド』を参照してください。
第13章「システム管理」では、新規ユーザーの設定方法、システムの監視方法、レポートの生成方法などのシステム管理タスクについて説明しています。