2 Oracle Database Firewallの構成

この章の内容は、次のとおりです。

• Oracle Database Firewallの構成の概要

• ステップ1: Database Firewallの日時の設定

• ステップ2: Database Firewallのシステム設定の指定

• ステップ3: スタンドアロンDatabase Firewallでのセキュア・ログ・アクセスの有効化

• ステップ4: スタンドアロンDatabase Firewallのsyslog宛先の構成

• ステップ5: スタンドアロンDatabase Firewallの強制ポイントの構成

• ステップ6: Database FirewallのブリッジIPアドレスの構成

• ステップ7: スタンドアロンDatabase Firewallのシステム操作のテスト

• 次の実行内容

Oracle Database Firewallの構成の概要

この章では、スタンドアロンOracle Database Firewallの構成方法について説明します。特に指示がないかぎり、手順は、管理対象Oracle Database Firewallにも適用されます。どちらのタイプのDatabase Firewallでどのタスクを実行するかの詳細は、次のトピックを参照してください。

スタンドアロンDatabase Firewall管理コンソールで実行されるタスク
管理対象Database Firewall管理コンソールで実行されるタスク

スタンドアロンDatabase FirewallをManagement Serverで管理するように構成する場合は、第3章「Database Firewall Management Serverの構成」を参照してください。

開始する前に、『Oracle Database Firewallインストレーション・ガイド』の説明に従って、Database Firewallがインストールされていることを確認してください。

注意: 構成中に発生する可能性があるエラー・メッセージの内容によっては、WebブラウザでJavaScriptを有効にする必要があります。

ステップ1: Database Firewallの日時の設定

イベント時刻がログに正確に記録され、アーカイブやレポートなどのスケジュール・タスクが正しく機能するには、Database Firewallが正しい日時を使用することが重要です。正しい時間設定は、Database Firewall Analyzerがログ・データをトレーニングする場合に正しい時間範囲を使用するためにも必要です。

Database Firewallの日時を設定する手順は、次のとおりです。

1. Database Firewall管理コンソールで、「System」タブを選択します。

2. 左側の「System」メニューで「Date and Time」をクリックしてから下方向にスクロールし、「Change」ボタンをクリックします。

   
   図版date_time.gifの説明
   
   

3. 正しい日付と時刻を入力します。

   管理対象のDatabase FirewallとManagement Serverのタイムゾーンが異なる場合、監査レポートとサマリー・レポートでは、ログ・ファイルを作成したDatabase Firewallのタイムゾーンが使用されます。

4. 「Time Offset」メニューを使用して、協定世界時(UTC)から相対的に示したローカル時間を選択します。

   たとえば、「UTC-5」は、UTCより5時間遅れていることを示します。同期で時刻が正確に設定されるように、適切な設定を選択することが重要です。

   適切な設定を選択しないと、時刻の同期が発生したときに時刻が正確に設定されません。

5. (オプション)「Enable NTP Synchronization」を選択します。

   「Enable NTP Synchronization」を選択すると、「Server 1」/「Server 2」/「Server 3」の各フィールド(IPアドレスまたは名前を指定可能)で指定したタイム・サーバーから取得される時刻の平均との同期が維持されます。名前を指定した場合は、「System Settings」ページで指定したDNSサーバーが名前解決のために使用されます。

6. デフォルトのサーバーのアドレスを使用するか、優先するタイム・サーバーのアドレスを入力します。

   
   

   注意: IPアドレスのかわりに名前を使用する場合は、あらかじめDNSの構成が必要です。DNSが構成されていないと名前解決が機能しません。

   
   

   「Test Server」では、サーバーの時刻が表示されますが、Oracle Database Firewall Management ServerまたはOracle Database Firewallの時刻が更新されることはありません。

   「Synchronize Time After Save」を選択すると、「Save」をクリックしたときに時刻が同期化されます。

7. 「Save」をクリックします。

時刻の同期を有効にするには、「ステップ2: Database Firewallのシステム設定の指定」で説明されているように、デフォルト・ゲートウェイとDNSサーバーのIPアドレスも指定する必要があります。

ステップ2: Database Firewallのシステム設定の指定

システム設定は、Database Firewallの管理コンソールから指定します。システム設定は、次の手順で示すように、ネットワークとサービスの構成から成ります。

Database Firewallのネットワーク設定を構成する手順は、次のとおりです。

1. 「System」タブで、「System」メニューから「Network」を選択します。

2. 「Network Configuration」ページで、「Change」ボタンをクリックします。

3. フィールドに必要な情報を入力し、「Save」をクリックします。

   • IP Address: 現在アクセスしているDatabase FirewallのIPアドレス。このIPアドレスは、管理コンソールに接続したり、Oracle Database Firewallアプリケーションのユニット(Analyzerなど)に接続します。IPアドレスはインストール時に設定されています。別のアドレスを使用する場合は、ここで変更できます。IPアドレスは静的で、ネットワーク管理者から取得する必要があります。

   • Network Mask: Oracle Database Firewallのサブネット・マスク。

   • Gateway: (オプション)デフォルトのゲートウェイのIPアドレス(たとえば、インターネット・アクセス用)。デフォルトのゲートウェイは、ホストと同じサブネット上にある必要があります。

   • Name: Database Firewall to monitor Oracle Databaseなど、このDatabase Firewallについて説明する名前を入力します。

   • Link properties: 自動ネゴシエーションを使用しないようにネットワークが構成されている場合を除いて、デフォルトの設定のままにします。

Database Firewallのサービスを構成する手順は、次のとおりです。

1. 「System」タブの「System」メニューで、「Services」をクリックします。

2. 「変更」ボタンをクリックします。

   
   図版services_edit.gifの説明
   
   

3. フィールドに必要な情報を入力し、「Save」をクリックします。

   
   

   注意: Database Firewallへのアクセスを許可する際には、セキュリティを保つために適切な予防措置を講じるようにしてください。このステップを完了する前の推奨事項については、『Oracle Database Firewallセキュリティ・ガイド』でセキュリティ・ガイドラインに関する章を参照してください。

   
   

   • DNSサーバー: (オプション) ネットワーク上にある最大3つのDNSサーバーのIPアドレス。これらは、ネットワーク名を解決するためにOracle Database Firewallで使用されます。DNSサーバーがない場合は、このフィールドを空白のままにして、システム・パフォーマンスの低下を防止します。

   • Web Access: 管理コンソールへのアクセスを選択したコンピュータのみに許可する場合は、そのコンピュータのIPアドレスをボックスに入力します。デフォルトの「all」を使用すると、サイト内のすべてのコンピュータからアクセス可能になります。

   • Terminal Access: リモート・コンソールからOracle Database Firewallへのアクセスを許可するIPアドレスのリストを指定できます。「all」を入力すると、サイト内のすべてのコンピュータからアクセス可能になります。デフォルトの「disabled」では、コンピュータからコンソール・アクセスはできません。

   • SNMP Access: (「Terminal Access」の設定のように)SNMPを介したOracle Database Firewallのネットワーク構成へのアクセスを許可するIPアドレスのリストを指定します。SNMPコミュニティ文字列はgT8@fq+Eです。

   • Secure Log Access (Reporting): (「Terminal Access」の設定のように)Oracle Database Firewall Management Serverに保持されているログ・データへのアクセスを許可するIPアドレスのリストを指定します(外部レポート作成システムを使用してレポートを作成する場合など)。この設定を完了した場合は、ステップ3: スタンドアロンDatabase Firewallでのセキュア・ログ・アクセスの有効化も必ず完了します。

   • Traffic Log Access (Analyzer): (「Terminal Access」の設定のように)Oracle Database Firewall Management Serverに保持されているトラフィック・データへのアクセスを許可する、Analyzerソフトウェアを実行しているコンピュータのIPアドレスのリストを指定します。

ステップ3: スタンドアロンDatabase Firewallでのセキュア・ログ・アクセスの有効化

「ステップ2: Database Firewallのシステム設定の指定」で「Secure Log Access (Reporting)」フィールドのデフォルト設定を変更した場合は、Database Firewallサーバーでアクセスを有効化する必要があります。

1. Database Firewallサーバーにrootユーザーとしてログインします。

2. oracleユーザーに変更します。

   su - oracle
   

3. 次のコマンドの実行

   . oraenv
   

4. プロンプトが表示されたら、Oracle SIDのdbfwdbを入力します。

5. 次のメッセージが表示されます。

   The Oracle base has been set to /var/lib/oracle
   

6. SQL*Plusを使用して、このサーバー上のデータベースにログインします。

   sqlplus / as sysdba
   

7. dbfw_reportアカウントを有効化し、このユーザーにパスワードを付与します。

   ALTER USER dbfw_report ACCOUNT UNLOCK IDENTIFIED BY password;
   

8. SQL*Plusを終了します。

ステップ4: スタンドアロンDatabase Firewallのsyslog宛先の構成

次の手順を使用して、このDatabase Firewallから送信するsyslogメッセージのタイプ(ブロックされた文の通知など)を構成します。

1. スタンドアロンDatabase Firewall管理コンソールで、「System」タブをクリックします。

2. 「Connectors」メニューで、「Syslog」をクリックします。

   次のページが表示されます。

   
   図の説明
   
   

3. 必要に応じて、フィールドを指定します。

   • Syslog Destinations (UDP): syslogメッセージの通信にユーザー・データグラム・プロトコル(UDP)を使用している場合は、このボックスを使用します。syslogメッセージの受信を許可されている各コンピュータのIPアドレスを入力します。

   • Syslog Destinations (TCP): syslogメッセージの通信にトランスミッション・コントロール・プロトコル(TCP)を使用している場合は、このボックスを使用します。TCPでは、パケットが正しく送受信されることが保証されます。syslogメッセージの受信を許可されている各マシンのIPアドレスとポート番号を入力します。

   • Syslog Categories: 生成するsyslogメッセージのタイプを選択できます。syslogメッセージは次のカテゴリに分類されます。

     • System: Oracle Database Firewallまたはその他のソフトウェアによって生成される、syslog優先度レベルが少なくとも「INFO」のシステム・メッセージ。

     • Alerts: Oracle Database FirewallおよびF5のアラート(Oracle Database FirewallのsyslogメッセージID: 9、10、11および12)。

     • Info: Oracle Database Firewallの一般的なメッセージおよびプロパティの変更(Oracle Database FirewallのsyslogメッセージID: 1、4および8)。

     • Debug: エンジニアリング・デバッグ・メッセージ(Oracleサポートでのみ使用されます)。

     • Heartbeat: Oracle Database Firewallのハートビート・メッセージおよび現在の統計(Oracle Database FirewallのsyslogメッセージID: 3)。Oracle Database Firewallは、このシステムに対して構成した各強制ポイントにハートビートを毎秒送信します。(このチェック・ボックスを選択する場合は、ハートビート機能を有効にしたときに多数の問題が発生する可能性があることに注意してください。)

4. 「Apply」をクリックします。

ステップ5: スタンドアロンDatabase Firewallの強制ポイントの構成

スタンドアロンDatabase Firewallで使用する各強制ポイントを構成する必要があります。(管理対象Database Firewallの場合は、Management Serverを使用します。)

強制ポイントを構成する手順は、次のとおりです。

1. スタンドアロンDatabase Firewall管理コンソールで、「Monitoring」タブを選択します。

2. 「Enforcement Points」メニューで、「Create」を選択します。

   「Enforcement Point Wizard: Step 1」ページが表示されます。

   
   図の説明
   
   

3. 次の情報を入力します。

   • Name: 強制ポイントの名前を入力します。

   • Use a builtin enforcement point (Monitor locally): 作成できる現在使用可能な強制ポイントの数(最大80)が表示されます。

4. 「Next」をクリックします。

   「Enforcement Point Wizard: Step 2」ページが表示されます。

   
   図版ep-wizard-step2.gifの説明
   
   

5. この強制ポイントで監視する1つ以上のトラフィック・ソースを選択します。プロキシ・トラフィック・ソースを選択する場合、他のトラフィック・ソースは選択できません。リストに「Management」が表示される場合は、管理インタフェースをプロキシとして構成および使用できます。

6. 次の情報を入力します。

   • Protected Database: 「Create New」を選択するか、使用可能なデータベースのリストから選択します。

   • Name: 新しい保護対象データベースを作成する場合は、監視するデータベースの名前を入力します。

   • Database Type: 新しい保護対象データベースを作成する場合は、データベース・タイプを選択します。

   • Address、Port: 新しい保護対象データベースを作成する場合は、データベース管理システムのIPアドレスとポート番号(データベース・クライアントがデータベースへのトラフィックの送信に使用するIP設定)を指定し、「Add」をクリックします。保護対象データベースに複数のインタフェースまたはポート(あるいはその両方)がある場合は、追加の「Address」と「Port」を入力し、「Add」を再度クリックします。ドメイン・ネーム・サーバー(DNS)を使用している場合は、IPアドレスのかわりに、ホスト名を入力できます。

7. 「Next」をクリックします。

   「Enforcement Point Wizard: Step 3」ページが表示されます。

8. 次の設定を入力します。

   • Monitoring Mode: 文をログに記録して潜在的な攻撃に関する警告を提供する目的にのみ強制ポイントを使用する場合は、「Database Activity Monitoring (DAM)」を選択します。強制ポイントによって潜在的な攻撃をブロックする必要もある場合は、「Database Policy Enforcement (DPE)」を選択します。データベース・ポリシー強制が使用可能になるのは、(次に説明するように)ポリシーをアップロードした場合のみです。

     この強制ポイントのトラフィック・ソースとしてトラフィック・プロキシを選択した場合は、DPEモードが必要なのでDAMモードは選択できません。

     
     

     注意: Database FirewallをDPEモードで使用する場合は、Database FirewallでデータベースのIPまたはMACアドレスを変更したときにそれが無視されるように、IPまたはMACスプーフィング検出ルールを構成する必要があります。

     注意2 Database FirewallをDPEモードに設定する場合(強制ポイント設定により、またはネットワーク・パススルーでDatabase Firewallを再起動)、データベースへのすべての接続が強制的に再接続されることを確認してください。さらに、DPEモードで強制ポイント設定を変更した場合、すべてのデータベース接続を強制的に再接続する必要があります。

     
     

   • Policy: ベースライン・ポリシーを選択します。Analyzerソフトウェアを使用して開発したカスタム・ポリシーをアップロードするには、「Browse」をクリックしてファイルを選択し、「Upload」をクリックします。テキスト・ボックスを使用して説明を追加します。ベースライン・ポリシーを初めて作成する場合は、unique.dnaポリシーを選択することをお薦めします。

9. 「Next」をクリックします。

   「Enforcement Point Wizard: Step 4」ページが表示されます。

10. 設定を確認し、問題がない場合は「Finish」ボタンをクリックします。

ステップ6: Database FirewallのブリッジIPアドレスの構成

Oracle Database Firewallで潜在的な攻撃をブロックする場合、Database Firewallがプロキシ・モードでなければ、データベース・ネットワークに固有の追加のIPアドレスを割り当てる必要があります。これが、Database Firewall内でトラフィックをリダイレクトするときのブリッジIPアドレスとして使用されます。Database Firewallをプロキシとして使用する場合(プロキシ・モード)、このような追加のIPアドレスを割り当てる必要はありません。詳細は、「トラフィック・プロキシとしてのDatabase Firewallの構成」を参照してください。

注意1: ブリッジのIPアドレスは、そのブリッジにDPEモードでデプロイされているすべての保護対象データベースと同じサブネット上にある必要があります。この制限は、DAMモードでデプロイされている保護対象データベースには適用されません。

注意2 Database Firewall Management Serverおよびブリッジが同一のサブネット上にある物理的に独立したネットワークに接続されている場合、Database Firewallは不正なインタフェースからレスポンスをルーティングする可能性があります。物理的に独立したネットワークが必要な場合は、別々のサブネットを使用してください。

スタンドアロンDatabase FirewallのブリッジIPアドレスを構成する手順は、次のとおりです。

1. Database Firewall管理コンソールで「System」タブをクリックし、左側の「System」メニューで「Network」をクリックします。

2. 「変更」ボタンをクリックします。

3. 「Traffic Sources」セクションで、構成するネットワークを検索します。

4. このネットワークの「Bridge Enabled」を選択します。

5. 次のいずれかが当てはまる場合は、IPアドレスとサブネット・マスクを指定します。

   • 2つのネットワーク・インタフェース・ポートによって、Oracle Database Firewallをデータベースとクライアントの間でインラインで接続する(データベース・ポリシー強制モードまたはデータベース・アクティビティ・モニタリング・モードを使用)。

   • Oracle Database Firewallのローカル・モニタリング・ソフトウェアでトラフィックを監視するためにネットワーク・インタフェース・ポートを使用する。

   IPアドレスはネットワークで一意である必要があり、Database Firewall内でトラフィックをリダイレクトするときのブリッジIPアドレスとして使用されます。

   ローカル・モニタリングまたはDPE(データベース・ポリシー強制)モードが選択されている強制ポイントへのトラフィックを監視するために現在ネットワーク・インタフェース・ポートが使用されている場合は、「Enabled」が自動的に選択されます。

6. 「Save」をクリックします。

ステップ7: スタンドアロンDatabase Firewallのシステム操作のテスト

保護対象データベースのSQLトラフィックの監視を開始する前に、スタンドアロンDatabase Firewall構成が完全に機能していることを検証する必要があります。

システム操作をテストする手順は、次のとおりです。

1. スタンドアロンDatabase Firewall管理コンソールで、「Monitoring」タブをクリックし、次に「Enforcement Points」メニューから「List」を選択して、構成済の強制ポイントのリストを表示します。次のようにステータスを確認します。

   1. 該当する強制ポイントの「Status」ボタンをクリックします。

   2. 「Appliances」領域で、監視を実行しているデバイスに対応する「Status」列に緑色のチェックマーク・インジケータが表示されていることを確認します。

2. 「Dashboard」タブをクリックし、「Number of statements」が毎分増加していることを確認します。この設定は文が認識されていることを示します。

3. 「System」タブをクリックし、「Logs」メニューで「Traffic Log Files」をクリックします。

   ログ・ファイルが存在することを確認します。文を表示する場合は、「Log Search Results」を作成します(「Traffic Log」メニューの「Reporting」タブで)。

4. トラフィック・ログからデータを取得できることを確認します。

   トラフィック・ログのアクセスと表示については、『Oracle Database Firewallセキュリティ・ガイド』を参照してください。

次の実行内容

この章のタスクにより、Database Firewallの初期構成が完了します。次のステップは、第3章「Database Firewall Management Serverの構成」の説明に従ってManagement Serverを構成することです。サイト要件に応じて、ストアド・プロシージャ監査、ユーザー・ロール監査、ローカル・モニタリングなど、その他の機能を構成する必要があります。これらの機能は、このガイドの後続の章で説明されています。

スタンドアロンDatabase Firewallの構成が完了すると、ユーザーはデータの分析を開始できます。ポリシーを開発した後は、そのポリシーをアップロードする必要があります。これらのタスクの詳細は、『Oracle Database Firewallセキュリティ・ガイド』を参照してください。

第13章「システム管理」では、新規ユーザーの設定方法、システムの監視方法、レポートの生成方法などのシステム管理タスクについて説明しています。