| Oracle® Database Firewall管理ガイド リリース5.1 B66170-01 |
|
 前 |
 次 |
この章の内容は、次のとおりです。
この章では、システム内の1つ以上のDatabase Firewallに対してManagement Serverを構成する方法について説明します。
開始する前に、『Oracle Database Firewallインストレーション・ガイド』の説明に従って、各デバイスがインストールされていることを確認してください。
構成プロセスには、5つの主なステップがあります。
Oracle Database Firewall Management Serverで、Database Firewall Management ServerのIPアドレスの確認や日時の設定などの初期構成タスクを実行します。
各管理対象Database Firewallを構成します(たとえば、Management Serverの証明書をインストールします)。
Oracle Database Firewall Management Serverで、各Oracle Database Firewallを追加します。
Oracle Database Firewall Management Serverで、「Enforcement Point Wizard」を実行します。
システムが正常に機能していることを確認します。
これらの各ステップを次に説明します。Oracle Database Firewall Management ServerまたはOracle Database Firewallのレジリエント・ペアが必要な場合は、各デバイスについて前述のステップの一部を完了する必要があります。
高可用性環境のためのレジリエント・ペアとして2台のManagement Serverを使用する予定がある場合は、各Management Serverに対して次のステップを実行します。
システム設定は、次の手順で示すように、ネットワークとサービスの構成から成ります。
Management Serverのネットワーク設定を構成する手順は、次のとおりです。
Management Server管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
Management Server管理コンソールが表示されます。
「System」タブを選択します。
「System」メニューで、「Network」をクリックします。
「Network Configuration」ページで、「Change」ボタンをクリックします。
フィールドに必要な情報を入力し、「Save」をクリックします。
IP Address: Oracle Database Firewall Management ServerのIPアドレスで、AnalyzerなどのOracle Database Firewallアプリケーションで使用されたり、管理コンソールへの接続で使用されます。IPアドレスはOracle Database Firewall Management Serverのインストール時に設定されていますが、別のアドレスを使用する場合は、ここで変更できます。IPアドレスは静的で、ネットワーク管理者から取得する必要があります。
Database Firewall Management ServerとOracle Database Firewallアプリケーションの間のトラフィックを有効にするには、指定したIPアドレスをルーティング表に追加することが必要な場合があります。
Network Mask: Oracle Database Firewall Management Serverのネットワーク・サブネット・マスク。
Gateway: (オプション)デフォルト・ゲートウェイのIPアドレス(たとえば、別のサブネットから管理インタフェースにアクセスするための)。デフォルトのゲートウェイは、ホストと同じサブネット上にある必要があります。
Name: Management Serverのホスト名を入力します。ホスト名は文字で開始する必要があり、最大24文字で、空白を含めることはできません。
Link properties: 自動ネゴシエーションを使用しないようにネットワークが構成されている場合を除いて、デフォルトの設定のままにします。
Management Serverのサービスを構成する手順は、次のとおりです。
「System」タブの「System」メニューで、「Services」をクリックします。
「変更」ボタンをクリックします。
フィールドに必要な情報を入力し、「Save」をクリックします。
|
注意: Database Firewallへのアクセスを許可する際には、セキュリティを保つために適切な予防措置を講じるようにしてください。このステップを完了する前の推奨事項については、『Oracle Database Firewallセキュリティ・ガイド』でセキュリティ・ガイドラインに関する章を参照してください。 |
DNSサーバー: (オプション) ネットワーク上にある最大3つのDNSサーバーのIPアドレス。これらは、ネットワーク名を解決するためにOracle Database Firewall Management Serverによって使用されます。DNSサーバーがない場合は、このフィールドを空白のままにして、システム・パフォーマンスの低下を防止します。
Web Access: 管理コンソールへのアクセスを選択したコンピュータのみに許可する場合は、そのコンピュータのIPアドレスをボックスに入力します。デフォルトの「all」を使用すると、サイト内のすべてのコンピュータからアクセス可能になります。
Terminal Access: リモート・コンソールからOracle Database Firewall Management Serverへのアクセスを許可するIPアドレスのリストを指定できます。「all」を入力すると、サイト内のすべてのコンピュータからアクセス可能になります。デフォルトの「disabled」では、コンピュータからコンソール・アクセスはできません。
SNMP Access: (「Terminal Access」の設定に従って)SNMPを介してOracle Database Firewall Management Serverのネットワーク構成にアクセスできるIPアドレスのリストを指定します。SNMPコミュニティ文字列はgT8@fq+Eです。
Secure Log Access (Reporting): (「Terminal Access」の設定のように)Oracle Database Firewall Management Serverに保持されているログ・データへのアクセスを許可するIPアドレスのリストを指定します(外部レポート作成システムを使用してレポートを作成する場合など)。この設定を完了した場合は、ステップ1B: セキュア・ログ・アクセスの有効化も必ず完了します。
Traffic Log Access (Analyzer): (「Terminal Access」の設定のように)Oracle Database Firewall Management Serverに保持されているトラフィック・データへのアクセスを許可する、Analyzerソフトウェアを実行しているコンピュータのIPアドレスのリストを指定します。
「ステップ1A: Management Serverのシステム設定の指定」で「Secure Log Access (Reporting)」フィールドのデフォルト設定を変更した場合は、Database Firewallサーバーでアクセスを有効化する必要があります。
Database Firewallサーバーにrootユーザーとしてログインします。
oracleユーザーに変更します。
su - oracle
次のコマンドの実行
. oraenv
プロンプトが表示されたら、Oracle SIDのdbfwdbを入力します。
SQL*Plusを使用して、このサーバー上のデータベースにログインします。
sqlplus / as sysdba
Enter password: password
dbfw_reportアカウントを有効化し、このユーザーにパスワードを付与します。
ALTER USER dbfw_report ACCOUNT UNLOCK IDENTIFIED BY password;
SQL*Plusを終了します。
Management Serverで実行されるイベントは、そのイベントが発生した日時とともにログに記録されるため、Management Serverの日時が正確に設定されていることが重要です。また、アーカイブは、時刻の設定に基づいて特定の間隔で発生します。正しい時間設定は、Database Firewall Analyzerがログ・データをトレーニングする場合に正しい時間範囲を使用するためにも必要です。
Database Firewall Management Serverの日時を設定する手順は、次のとおりです。
Management Server管理コンソールで、「System」タブを選択します。
左側の「System」メニューで「Date and Time」をクリックしてから下方向にスクロールし、「Change」ボタンをクリックします。
正しい日付と時刻を入力します。
管理対象のDatabase FirewallとManagement Serverのタイムゾーンが異なる場合、監査レポートとサマリー・レポートでは、ログ・ファイルを作成したDatabase Firewallのタイムゾーンが使用されます。
「Time Offset」メニューを使用して、協定世界時(UTC)から相対的に示したローカル時間を選択します。
たとえば、「UTC-5」は、UTCより5時間遅れていることを示します。同期で時刻が正確に設定されるように、適切な設定を選択することが重要です。
適切な設定を選択しないと、時刻の同期が発生したときに時刻が正確に設定されません。
(オプション)「Enable NTP Synchronization」を選択します。
「Enable NTP Synchronization」を選択すると、「Server 1」/「Server 2」/「Server 3」の各フィールド(IPアドレスまたは名前を指定可能)で指定したタイム・サーバーから取得される時刻の平均との同期が維持されます。名前を指定した場合は、「System Settings」ページで指定したDNSサーバーが名前解決のために使用されます。
デフォルトのサーバーのアドレスを使用するか、優先するタイム・サーバーのアドレスを入力します。
「Test Server」では、サーバーの時刻が表示されますが、Oracle Database Firewall Management ServerまたはOracle Database Firewallの時刻が更新されることはありません。
「Synchronize Time After Save」を選択すると、「Save」をクリックしたときに時刻が同期化されます。
「Save」をクリックします。
時刻の同期を有効にするには、「ネットワーク構成やサービスの設定または変更」で説明されているように、デフォルト・ゲートウェイとDNSサーバーのIPアドレスも指定する必要があります。
次の手順を使用して、Oracle Database Firewall Management Serverから送信するsyslogメッセージのタイプ(ブロックされた文の通知など)を構成します。
Management Server管理コンソールで、「System」タブをクリックします。
「Connectors」メニューで、「Syslog」を選択します。
次のページが表示されます。
必要に応じて、フィールドを指定します。
Syslog Destinations (UDP): Oracle Database Firewall Management Serverからのsyslogメッセージの通信にユーザー・データグラム・プロトコル(UDP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各マシンのIPアドレスを入力します。
Syslog Destinations (TCP): Oracle Database Firewall Management Serverからのsyslogメッセージの通信にトランスミッション・コントロール・プロトコル(TCP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各サーバーのIPアドレスとポート番号を入力します。
Syslog Categories: 生成するsyslogメッセージのタイプを選択できます。各カテゴリは、次の内容を示しています。
System: Oracle Database Firewallまたはその他のソフトウェアによって生成される、syslog優先度レベルが少なくとも「INFO」のシステム・メッセージ。
Alerts: Oracle Database FirewallおよびF5のアラート(Oracle Database FirewallのsyslogメッセージID: 9、10、11および12)。
このカテゴリは、Management Serverには存在しません。
Info: Oracle Database Firewallの一般的なメッセージおよびプロパティの変更(Oracle Database FirewallのsyslogメッセージID: 1、4および8)。
Debug: エンジニアリング・デバッグ・メッセージ(Oracle Database Firewallのみ)。
Heartbeat: Oracle Database Firewallのハートビート・メッセージおよび現在の統計(Oracle Database FirewallのsyslogメッセージID: 3)。
このカテゴリは、Management Serverには存在しません。
各syslogメッセージの内容の詳細は、付録B「syslogメッセージ形式」を参照してください。
「Apply」をクリックします。
2台のOracle Database Firewall Management Serverをレジリエント・ペアとして使用している場合は、2台目のDatabase Firewall Management Serverについてステップ1: 各Database Firewall Management Serverに対する初期タスクの実行を繰り返します。
この項の内容は、次のとおりです。
Oracle Database Firewall Management Serverで管理する各Oracle Database Firewallについて、ここで説明するタスクを実行します。
日時の設定
時間設定を構成するには、「ステップ1: Database Firewallの日時の設定」を参照してください。
ネットワーク構成やサービスの設定または変更
ネットワーク構成やサービスを設定または変更するには、「ステップ2: Database Firewallのシステム設定の指定」を参照してください。
ネットワーク構成の詳細は、「ネットワーク構成の変更」の手順を参照してください。
Oracle Database Firewall Management Serverで管理するOracle Database Firewallを、スタンドアロン・モードから管理モードに変更します。そのためには、Oracle Database Firewall Management Serverに保持されている証明書詳細をコピーし、各Oracle Database Firewallに貼り付けます。これにより、Oracle Database FirewallはOracle Database Firewall Management Serverと通信できます。
Oracle Database Firewall Management Server管理コンソールで、次の手順を実行します。
「System」メニューで、「Certificate」をクリックします。
大きいボックスに表示されるテキストをすべてコピーします。
Oracle Database Firewall管理コンソールで、次の手順を実行します。
「System」メニューで、「Management Server」をクリックします。
「Oracle Database Firewall Management Server」の「IP Address」フィールドに、Management ServerのIPアドレスを入力します。
Oracle Database Firewall Management Serverの証明書テキストを「Certificate」ボックスに貼り付けます。
「Apply」をクリックします。
「Apply」をクリックすると、Oracle Database Firewallがスタンドアロン・モードから管理モードに変更され、コンソール・インタフェースの上部にあるタブが、「System」を除いてすべてなくなります。証明書またはIPアドレスを削除すると、Database Firewallがスタンドアロン・モードに戻ります。
高可用性環境のためにManagement Serverのレジリエント・ペアを使用する場合は、「Add Second Oracle Database Firewall Management Server」チェック・ボックスを選択し、手順1と2を繰り返して、2台目のOracle Database Firewall Management Serverの詳細を入力します。
この項の内容は、次のとおりです。
高可用性のためにManagement Serverを設定する場合は、次の手順を実行します。
Management Serverのパートナ設定の指定を指定する手順は、次のとおりです。
前の項で説明したように、構成しているManagement Serverのパートナとして使用されるManagement Serverから証明書の詳細をコピーします。
構成しているすべてのManagement Serverで、「System」タブを選択します。
「System」メニューで、「High Availability」を選択します。
次が表示されます。
「Status」で、「primary」または「secondary」を選択します。(プライマリはペアのいずれかのみです。)
IPアドレスを入力してパートナManagement Serverの証明書を貼り付け、変更を保存します。
2台目のManagement Serverについて、前述の手順を繰り返します。
パートナの詳細を入力すると、「Synchronize Now」が有効化されます。「Synchronize Now」ボタンを選択すると、2台のOracle Database Firewall Management Serverがただちに同期化されます。最後の変更から5分後に自動同期が発生するため、通常このボタンを使用する必要はありません。
各Oracle Database Firewallを次のように追加します。
Oracle Database Firewall Management Server管理コンソールを表示します。
Oracle Database Firewall Management Serverのレジリエント・ペアを使用している場合、これはプライマリOracle Database Firewall Management Serverである必要があります。
|
注意: どちらのOracle Database Firewall Management Serverがプライマリであるかは、「System Status 」ページの「High Availability Pairing」セクションにある「Status」フィールドで判別できます。また、2台目のManagement Serverにはユーザー・インタフェース上に赤いバーが表示され、セカンダリであることが明確に識別されます。 |
「Appliances」タブをクリックします。
「Appliances」メニューで、「Add」をクリックします。
最初のフィールドにOracle Database Firewallの名前を、2番目のフィールドにそのIPアドレスを入力します。
「Save」をクリックします。
証明書に問題があるという内容のメッセージが表示された場合には、Oracle Database FirewallとManagement Serverとの間で日付と時刻が正しいかどうかを確認してください。
アプライアンス名のリンクをクリックして管理対象Database Firewallの管理コンソールに移動し、このアプライアンスについて次のように設定を指定します。
「System」メニューで「Date and Time」をクリックし、「Change」ボタンをクリックします。
時刻を設定します(トラフィックのログを記録する時刻に)。通常は、ローカル時間に設定します。NTP時刻同期を使用している場合には、「Time Offset」を設定します。
Enable NTP Time Synchronization: このDatabase Firewallの時刻を、指定のNTPサーバーと同期化する場合は、このチェック・ボックスを選択します。
Synchronize Time After Save: このページを保存して終了した後でNTPサーバーの時間を適用する場合は、このチェック・ボックスを選択します。
日時の設定が完了したら、「Save」をクリックします。
「System」メニューで「Services」をクリックし、「Change」ボタンをクリックします。
「DNS Server 1」、「DNS Server 2」および「DNS Server 3」フィールドについて、ネットワーク上にある最大3つのDNSサーバーのIPアドレスを入力します。Oracle Database Firewallでは、これらのアドレスを使用して、Oracle Database Firewall Management Serverで使用するネットワーク名を解決します。DNSサーバーがない場合は、このフィールドを空白のままにして、システム・パフォーマンスの低下を防止します。
Web Access: 選択したコンピュータのみにOracle Database Firewall Management Server管理コンソールへのアクセスを許可する場合は、そのコンピュータのIPアドレスをボックスに入力します。デフォルトの「all」を使用すると、サイト上のすべてのコンピュータからアクセス可能になります。
Terminal Access: リモート・コンソールからOracle Database Firewall Management Serverへのアクセスを許可するIPアドレスのリストを指定できます。「all」を入力すると、サイト上のすべてのコンピュータからアクセス可能になります。デフォルトの「disabled」では、コンピュータからコンソール・アクセスはできません。
SNMP Access: (「Terminal Access」の設定のように)SNMPを介したOracle Database Firewall Management Serverのネットワーク構成へのアクセスを許可するIPアドレスのリストを指定します。SNMPコミュニティ文字列はgT8@fq+Eです。
Secure Log Access (Reporting): (「Terminal Access」の設定のように)Oracle Database Firewall Management Serverに保持されているログ・データへのアクセスを許可するIPアドレスのリストを指定します(外部レポート作成システムを使用してレポートを作成する場合など)。この設定を完了した場合は、ステップ3: スタンドアロンDatabase Firewallでのセキュア・ログ・アクセスの有効化も必ず完了します。
Traffic Log Access (Analyzer): (「Terminal Access」の設定のように)Oracle Database Firewall Management Serverに保持されているトラフィック・データへのアクセスを許可する、Analyzerソフトウェアを実行しているコンピュータのIPアドレスのリストを指定します。
「Save」をクリックします。
「Connectors」メニューで、「Syslog」をクリックします。
Syslog Destinations (UDP): Oracle Database Firewall Management Serverからのsyslogメッセージ(disk fullなど)の通信にユーザー・データグラム・プロトコル(UDP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各マシンのIPアドレスを入力します。
Syslog Destinations (TCP): Oracle Database Firewall Management Serverからのsyslogメッセージの通信にトランスミッション・コントロール・プロトコル(TCP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各サーバーのIPアドレスとポート番号を入力します。
Syslog Categories: 生成するsyslogメッセージのタイプを次の中から選択します。
System: Oracle Database Firewallまたはその他のソフトウェアによって生成される、syslog優先度レベルが少なくとも「INFO」のシステム・メッセージ。
Alerts: Oracle Database FirewallおよびF5のアラート(Oracle Database FirewallのsyslogメッセージID: 7、9、10、11および12)。
このカテゴリは、Management Serverには存在しません。
Info: Oracle Database Firewallの一般的なメッセージおよびプロパティの変更(Oracle Database FirewallのsyslogメッセージID: 1、4および8)。
Debug: エンジニアリング・デバッグ・メッセージ(Oracle Database Firewallのみ)。
Heartbeat: Oracle Database Firewallのハートビート・メッセージおよび現在の統計(Oracle Database FirewallのsyslogメッセージID: 3)。
このカテゴリは、Management Serverには存在しません。
Maximum Syslog Message Length (bytes): 各syslogメッセージの最大文字数(バイト数)を入力します。受入れ可能な値の範囲は、1024から1048576です。デフォルトは1024です。
syslogの設定が完了したら、「Apply」をクリックします。
「System」メニューで「Network」をクリックし、「ネットワーク構成の変更」の説明に従ってネットワーク設定を構成します。
レジリエント・ペアの2番目のOracle Database Firewallなど、Oracle Database Firewall Management Serverで管理する各Oracle Database Firewallについて、この手順を繰り返します。
Oracle Database Firewallのレジリエント・ペアを作成する場合は、次の手順を完了します。
Oracle Database Firewall Management Server管理コンソールを表示します(Oracle Database Firewall Management Serverのレジリエント・ペアを使用している場合、これはプライマリOracle Database Firewall Management Serverである必要があります)。
「Appliances」タブを選択します。
「Resilience」メニューで、「Create Pair」を選択します。
レジリエント・ペアを追加するには、「Add」ボタンをクリックして、使用するDatabase Firewallの名前とIPアドレスを入力します。次に、「Save」をクリックします。
Management Serverで各強制ポイントを構成する必要があります。Management Serverのレジリエント・ペアを構成している場合、プライマリ・サーバーで強制ポイントを構成する必要があります。
Management Serverの強制ポイントを構成する手順は、次のとおりです。
スタンドアロンDatabase Firewall管理コンソールで、「Monitoring」タブを選択します。
「Enforcement Points」メニューで、「Create」を選択します。
「Enforcement Point Wizard: Step 1」ページが表示されます。
次の情報を入力します。
Name: 強制ポイントの名前を入力します。
Select the appliance(s) to use for monitoring: この強制ポイントの監視に使用するDatabase Firewallを選択します。現在使用可能な強制ポイントの数が表示されます(最大80)。
「Next」をクリックします。
「Enforcement Point Wizard: Step 2」ページが表示されます。
この強制ポイントで監視する1つ以上のトラフィック・ソースを選択します。プロキシ・トラフィック・ソースを選択する場合、他のトラフィック・ソースは選択できません。リストに「Management」が表示される場合は、管理インタフェースがプロキシとして構成されており、プロキシとして使用できます。
次の情報を入力します。
Protected Database: 「Create New」を選択するか、使用可能なデータベースのリストから選択します。
Name: 新しい保護対象データベースを作成する場合は、監視するデータベースの名前を入力します。
Database Type: 新しい保護対象データベースを作成する場合は、データベース・タイプを選択します。
Address、Port: 新しい保護対象データベースを作成する場合は、データベース管理システムのIPアドレスとポート番号(データベース・クライアントがデータベースへのトラフィックの送信に使用するIP設定)を指定し、「Add」をクリックします。保護対象データベースに複数のインタフェースまたはポート(あるいはその両方)がある場合は、追加の「Address」と「Port」を入力し、「Add」を再度クリックします。ドメイン・ネーム・サーバー(DNS)を使用している場合は、IPアドレスのかわりに、ホスト名を入力できます。
「Next」をクリックします。
「Enforcement Point Wizard: Step 3」ページが表示されます。
次の設定を入力します。
Monitoring Mode: 文をログに記録して潜在的な攻撃に関する警告を提供する目的にのみ強制ポイントを使用する場合は、「Database Activity Monitoring (DAM)」を選択します。強制ポイントによって潜在的な攻撃をブロックする必要もある場合は、「Database Policy Enforcement (DPE)」を選択します。
この強制ポイントのトラフィック・ソースとしてトラフィック・プロキシを選択した場合は、DPEモードが必要なのでDAMモードは選択できません。
Policy: ベースライン・ポリシーを選択します。Analyzerソフトウェアを使用して開発したカスタム・ポリシーをアップロードするには、「Browse」をクリックしてファイルを選択し、「Upload」をクリックします。テキスト・ボックスを使用して説明を追加します。ベースライン・ポリシーを初めて作成する場合は、unique.dnaポリシーを選択することをお薦めします。
「Next」をクリックします。
「Enforcement Point Wizard: Step 4」ページが表示されます。
設定を確認し、問題がない場合は「Finish」ボタンをクリックします。
日常的な操作を開始する前に、システムが完全に機能していることを検証する必要があります。
システム操作をテストする手順は、次のとおりです。
Firewall Management Server管理コンソールで、「Monitoring」タブをクリックします。
「Enforcement Points」メニューで、「List」を選択します。
「 Enforcement Points 」ページが表示されます。
「Status」ボタンをクリックします。
「Appliances」領域で、監視を実行しているデバイスに対応する「Status」列に緑色のチェックマーク・インジケータがあることを確認します。
「Dashboard」タブをクリックし、「Total Statements」が毎分増加していることを確認します。これは、文が認識されていることを示します。
「Reporting」タブをクリックし、「Traffic Log」メニューで「View」をクリックします。「Start」をクリックして、トラフィック・ログに保存されている文を確認します(最新の情報を表示するには、最大5分かかる場合があります)。
Analyzerソフトウェアを使用して、トラフィック・ログからデータを取得できることを確認します。
この章のタスクにより、Database Firewall Management Serverの初期構成が完了します。次のステップは、保護対象データベースとDatabase Firewall間の接続を構成することです。サイト要件に応じて、ストアド・プロシージャ監査、ユーザー・ロール監査、ローカル・モニタリングなど、その他の機能を構成する必要があります。これらの機能は、このガイドの後続の章で説明されています。
インストールしたDatabase FirewallとManagement Serverの構成が完了すると、ユーザーはデータの分析を開始できます。ポリシーを開発した後は、そのポリシーをアップロードする必要があります。ポリシーのリストおよびアップロードの詳細は、『Oracle Database Firewallセキュリティ・ガイド』を参照してください。
第13章「システム管理」では、新規ユーザーの設定方法、システムの監視方法、レポートの生成方法などのシステム管理タスクについて説明しています。
