Vamos a ver una serie de entradas sencillas sobre securizaci\u00f3n b\u00e1sica de la base de datos <\/p>\n
La securizaci\u00f3n del listener es una de las tareas mas sencillas y de las primeas que tenemos que hacer con la instalaci\u00f3n de la base de datos.
\nEsta securizaci\u00f3n consta de varias partes:<\/p>\n
<\/p>\n
Como en todo componente de Oracle, la securizaci\u00f3n del Sistema Operativo es primordial.
\nOracle por defecto cuenta con una estructura de permisos en directorios que no deben de variarse.
\nEn cualquier caso siempre es conveniente seguir los aparatados de managing security<\/i> de los documentos de instalacion de los productos <\/p>\nRestringir las IPs desde las que se permite el acceso <\/h1>\n
Este apartado es muy relativo, ya que puede no aplicar a nuestro sistema, sin embargo, en la mayor\u00eda de los casos estaremos tratando arquitecturas de 3 capas donde los accesos a las bases de datos son desde nuestra capa de servidor de aplicaci\u00f3n.<\/p>\n
Para habilitar las whitelists <\/i> usaremos los par\u00e1metros tcp.invited_nodes<\/b> y tcp.validnode_checking <\/b> en el fichero $TNS_ADMIN\/sqlnet.ora<\/i> de la siguiente manera<\/p>\n La documentaci\u00f3n de estos par\u00e1metros la tenemos en Configuring Database Access Control<\/a><\/p>\n Esta opcion est\u00e1 desoportada en la version 12c Desupport of Oracle Net Listener Password<\/a><\/font> Para poner password al listener ejecutaremos:<\/p>\n Esto nos habr\u00e1 a\u00f1adido unas lineas al listener.ora<\/p>\n Toda securizacion de un elemento debe incluir la habilitaci\u00f3n de un registro del mismo. Esto ya se lleva a cabo por defecto a partir de la versi\u00f3n 11.5.10.<\/font><\/p>\n El ultimo y no menos importante de los apartados es el de parametrizar los par\u00e1metros del listener ,un ejemplo de uno de estos par\u00e1metros es CONNECT_TIMEOUT<\/b> Especificamos el tiempo en segundos que el listener esperar\u00e1 para que se complete una conexion de cliente.<\/p>\n El cifrado del tr\u00e1fico de la base de datos es posiblemente uno de los puntos mas importantes a la hora de securizar una conexion. Vamos a ver una serie de entradas sencillas sobre securizaci\u00f3n b\u00e1sica de la base de datos La securizaci\u00f3n del listener es una de las tareas mas sencillas y de las primeas que tenemos que hacer con la instalaci\u00f3n de la … Sigue leyendo \r\ntcp.validnode_checking = YES\r\ntcp.invited_nodes = ( X.X.X.X, hostname, ... )\r\n<\/pre>\n
A\u00f1adir autenticaci\u00f3n al listener.<\/h1>\n
\nUna de las primeras vulnerabilidades que van a encontrarte en una auditoria de seguridad es la falta de autenticacion del listener.
\nPoner password al listener previene a la base de datos de ejecuci\u00f3n de los comandos de control del mismo desde ubicaciones remotas. Es importante destacar que , desde la version 10g \u00abthe listener password is no longer required as the listener implements OSAuthentication,<\/i>\u00ab, esto quiere decir que el usuario del sistema operativo propietario del listener no necesita el password para pararlo o arrancarlo ( que es el principal miedo del DBA cuando pone password al listener) <\/p>\n\r\n$ lsnrctl\r\nLSNRCTL> change_password\r\nOld password:\r\nNew password:\r\nReenter new password: \r\nConnecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=BBDD1)(PORT=1521)))\r\nPassword changed for LISTENER\r\nThe command completed successfully\r\nLSNRCTL> set password\r\nPassword:\r\nThe command completed successfully\r\nLSNRCTL> save_config\r\nConnecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=BBDD1)(PORT=1521)))\r\nSaved DBLSNR configuration parameters.\r\nListener Parameter File \/oracle\/product\/BBDD\/network\/admin\/listener.ora\r\nOld Parameter File \/oracle\/product\/BBDD\/network\/admin\/listener.bak\r\nThe command completed successfully<\/pre>\n
\r\nThis added the following lines to listener.ora:\r\n#----ADDED BY TNSLSNR 21-JUN-2016 13:47:56---\r\nPASSWORDS_VSEC = D911537DUT5E6546\r\n<\/pre>\n
\nPara habilitar el regitro del log de listener a\u00f1adiremos al fichero $TNS_ADMIN\/listener.ora<\/i> las siguientes lineas :<\/p>\n\r\nLOG_STATUS = ON\r\nLOG_DIRECTORY_
Parametrizar conexiones<\/h1>\n
\nA\u00f1afiendo en el $TNS_ADMIN\/listener.ora<\/i> el par\u00e1metro <\/p>\n\r\nCONNECT_TIMEOUT_
Cifrar tr\u00e1fico<\/h1>\n
\n\u00bfPor que la hemos dejado para el final?<\/b>
\nLa respuesta es sencilla, por que este cifrado implica una opcion de pago que es la Advanced Security
\nOption (ASO).<\/i>
\nSi est\u00e1s interesado en ahondar en esta opcion tienes la informacion en el grupo Advanced Security Option<\/a> del MSOC<\/p>\n","protected":false},"excerpt":{"rendered":"