Académique Documents
Professionnel Documents
Culture Documents
Contenido
1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 1.11 1.12 Objetivo del Estndar Oracle Oracle AS 10g, 11g .........................................................................3 Consideraciones y recomendaciones generales sobre el estndar ...............................................4 Alcance ............................................................................................................................................4 Supuestos y limitaciones .................................................................................................................4 Actividades a realizar Antes de la Implementacin del estndar Oracle AS 10g, 11g ..................4 Recomendaciones para la Auditoria del Sistema ..........................................................................5 conceptos fundamentales sobre la seguridad ................................................................................5 Proceso de instalacin de oracle ....................................................................................................6 Estndar de Seguridad Oracle AS 10g, 11g .............................................................................. 12 Gua de Auditoria para el Estndar ......................................................................................... 31 Sitios de Referencia en Internet .............................................................................................. 35 Anexos ...................................................................................................................................... 36
Nombre del Archivo: Estndar configuracin Oracle 1 Oracle AS 10g, 11g .doc Historial de Revisin:
Este documento ha sido creado por: Versi n 1.0 Autor ALEXIS MENA Fecha 04/27/2008 Descripcin de Revisin Versin Inicial
Este documento ha sido revisado por: It. 1. 2. 3. Este documento ha sido aprobado por: Expertos en el Tema It. 1. 2. 3. 1.1 OBJETIVO DEL ESTNDAR ORACLE ORACLE AS 10G, 11G Este documento describe el estndar de configuracin de la Base de Datos Oracle en versiones, Oracle AS 10g -11g. El objeto de este estndar es mantener los servicios asociados en un estado de alta seguridad, disponibilidad y confiabilidad. Este estndar busca prevenir interrupciones al servicio producidos por amenazas de tipo accidental o intencional que pueda ingresar al permetro de la red, a los sistemas de informacin y en especial proteger los servicios ofrecidos por la Base de Datos Oracle en versiones Oracle AS 10g, 11g. Nombre Firma Fecha Autorizacin Revisor Fecha Revisin
1.2 CONSIDERACIONES Y RECOMENDACIONES GENERALES SOBRE EL ESTNDAR Las recomendaciones de seguridad definidas en este documento deben ser probadas en un ambiente fuera de produccin. Los cambios que se realicen deben ser hechos en un ambiente controlado, ya que al ser implementados pueden causar inestabilidad en el sistema y/o la red, implicando una re-configuracin o re-instalacin del software. La implantacin del estndar, requiere como fase inicial, las pruebas preliminares en un piloto de los parmetros presentados en este documento, antes de llevarlos al ambiente de produccin. Las configuraciones anteriores deben ser respaldadas antes de aplicar cualquier cambio en la Base de Datos. Se debe tener tambin un procedimiento que describa claramente cules son las actividades necesarias para que en caso de que el cambio no funcione correctamente, podamos regresar a la configuracin anterior al cambio. Esta implantacin debe estar debidamente aprobada y documentada por el Jefe de Departamento. El chequeo de la seguridad sobre el sistema debe ser realizado por personal con conocimiento tcnico de la plataforma y en caso de no tenerlo, deber ser apoyado por el Administrador de la Base de Datos o el personal tcnico capacitado de su compaa. Cualquier cambio o modificacin sobre el sistema que sea ocasionado como resultado de la revisin de la seguridad con base en el estndar deber ser documentado, para garantizar que es posible ser reversado en caso de que interfiera con la funcionalidad requerida del sistema.
1.3 ALCANCE El alcance de este estndar de configuracin para Oracle 10.2.0.1 -10.2.0.3 Oracle AS 10g, 11g y Oracle Client cubre los aspectos referidos a la Administracin de Usuarios y Seguridad que soportan a esta Base de Datos.
1.4 SUPUESTOS Y LIMITACIONES Las especificaciones planteadas en este estndar estn parametrizadas de manera que son independientes del sistema operativo.
1.5 ACTIVIDADES A REALIZAR ANTES DE LA IMPLEMENTACIN DEL ESTNDAR ORACLE AS 10G, 11G Es recomendable seguir algunas indicaciones antes de implementar cualquier indicacin del estndar de seguridad. Entre las recomendaciones tenga en cuenta las siguientes: Se recomienda realizar un backup completo de su sistema y una copia completa de su Base de Datos (Instancias y Archivos de configuracin) antes de implementar cualquiera de las recomendaciones o en el caso especifico de que se est realizando una actualizacin. Se debe tomar nota por escrito de los errores que pueda generar el sistema.
1.6 RECOMENDACIONES PARA LA AUDITORIA DEL SISTEMA Las Auditorias del Sistema que son recomendadas en este estndar, son configuradas para garantizar niveles de seguridad adecuados al sistema y se supone que si estn activadas es porque hay un responsable de su seguimiento y de la generacin de reportes con base en estas. La activacin de cualquier auditoria sobre el sistema puede consumir una gran cantidad de tiempo del procesador y de espacio en disco. Es altamente recomendado que se revise, se guarde, y se limpien los logs de auditora diariamente o semanalmente para reducir la posibilidad de degradacin del sistema. Tambin se recomienda que por lo menos una vez cada 6 meses se revise la configuracin de la Base de Datos Oracle AS 10g, 11g con el fin de poder detectar posibles cambios que se hayan realizado al sistema y que de manera directa o indirecta puedan comprometer la disponibilidad, la confidencialidad o la disponibilidad.
1.7 CONCEPTOS FUNDAMENTALES SOBRE LA SEGURIDAD La Seguridad Informtica (S.I.) Se ocupa de disear las normas, procedimientos, mtodos y tcnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informticos. La decisin de aplicarlos es responsabilidad de cada usuario. Las consecuencias de no hacerlo tambin Principios de Seguridad Informtica Para lograr sus objetivos, la seguridad informtica se fundamenta en tres principios, que debe cumplir todo sistema informtico como son: Confidencialidad, Integridad, Disponibilidad. Confidencialidad Se refiere a la privacidad de los elementos de informacin almacenados y procesados en un sistema informtico. Basndose en este principio, las herramientas de seguridad informtica deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, computadores y datos residen en localidades diferentes, pero estn fsica y lgicamente interconectados. Integridad Se refiere a la validez y consistencia de los elementos de informacin almacenados y procesados en un sistema informtico. Basndose en este principio, las herramientas de seguridad informtica deben asegurar que los procesos de actualizacin estn sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos.
Este principio es particularmente importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma informacin. Disponibilidad Se refiere a la continuidad de acceso a los elementos de informacin almacenados y procesados en un sistema informtico. Basndose en este principio, las herramientas de seguridad Informtica deben reforzar la permanencia del sistema informtico, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicacin que requieran. 1.8 PROCESO DE INSTALACIN DE ORACLE A continuacin se presentan la secuencia de pasos a seguir para la instalacin de su base de datos Oracle. Descripcin de la instalacin Para instalar el software de Oracle se utiliza el Oracle Universal Installer (OUI). El Oracle Universal Installer es una interfaz grfica de usuario (GUI), herramienta que le permite ver el software de Oracle que ya est instalado en su mquina, instalar nuevos programas informticos de Oracle y desinstalar el software que usted ya no tiene la intencin de utilizar. La ayuda en lnea est disponible para guiar al usuario a travs del proceso de instalacin. Comprobacin de Requisitos previos Antes de instalar el software, el instalador realiza una serie de controles automticos para asegurar que su mquina cumple con los bsicos requisitos de hardware y software para una instalacin de bases de datos Oracle. Si su mquina no cumple con un requisito, aparece un mensaje de error. Los requisitos pueden variar dependiendo del tipo de ordenador y sistema operativo que est ejecutando, pero algunos requisitos previos incluyen: Un mnimo de 512 MB de memoria disponible. Bsqueda de espacio disponible. Sistema operativo apropiado service packs o parches estn instalados. Utilizar un adecuado formato de sistema de archivos
El instalador se ajusta automticamente a cualquier sistema operativo de las variables de entorno que el servidor de bases de datos Oracle requiere para su funcionamiento. Remitirse a este Link http://translate.google.com/translate?hl=es&langpair=en%7Ces&u=http://www.oracle.com/pls/db10 2/lookup%3Fid%3DGINST&prev=/translate_s%3Fhl%3Des%26q%3Dhttp://www.oracle.com/pls/db 102/homepage%26sl%3Des%26tl%3Den para obtener ms informacin sobre los requisitos exactos de su plataforma de sistema operativo especfico.
Preinstalacin Crear puntos de montaje: uno para el Software y hasta seis para las bases de datos: /u01 (sw) /u02 (datos), /u03 (ndices), /u04 (redo), /u05 (system), /u06 (temp) y /u07 (rollback) Crear grupo dba: groupadd dba. Crear grupo oinstall: groupadd oinstall. Crear usuario oracle con grupo primario dba y secundario oinstall: useradd gdba G oinstall oracle. Crear directorio /u01/app/oracle (ORACLE_BASE) y /u02/oradata, /u03/oradata, etc. Variables de entorno del usuario oracle justo antes de instalar: DISPLAY=workstation_name:0.0 (servidor Xwin) ORACLE_BASE=/u01/app/oracle (el resto es opcional) PATH debe incluir $ORACLE_HOME/bin, /usr/bin, /bin,/usr/bin/X11/ y /usr/local/bin ORACLE_HOME=$ORACLE_BASE/product/ ORACLE_SID
Instalacin Antes de comenzar una instalacin de bases de datos Oracle en sistemas UNIX, asegrese de que el valor umask es 022 para el propietario de Oracle. Montar CD desde el root: # mount /mnt/cdrom Como usuario oracle, lanzar script de instalacin desde fuera del punto de montaje del CD (por ejemplo, desde el HOME del usuario oracle). Comprobar variables DISPLAY y ORACLE_BASE. $ /mnt/cdrom/runInstaller Cambiar CD: eject o umount /mnt/cdrom y luego mount /mnt/cdrom.
Notas: El punto de montaje del CDROM no tiene por qu ser /mnt/cdrom, puede ser otro (/media/cdrom, etc). Se podra ejecutar en modo no interactivo con: $ /mnt/cdrom/runInstaller responsefile mirespfile silent La mayora de medidas son comunes a todas las plataformas de funcionamiento y el Oracle Universal Installer Los siguientes pasos presentan un resumen del proceso de instalacin. Para mayor asistencia a lo largo del camino, consulte la ayuda en lnea en el siguiente link http://translate.google.com/translate?hl=es&langpair=en%7Ces&u=http://www.oracle.com/pls/db10 2/lookup%3Fid%3DGINST&prev=/translate_s%3Fhl%3Des%26q%3Dhttp://www.oracle.com/pls/db 102/homepage%26sl%3Des%26tl%3Den para su plataforma de sistema operativo.
1. 2.
3. 4. 5.
Inicie sesin en su computador como un miembro del grupo administrativo que est autorizado para instalar software de Oracle y para crear y ejecutar la base de datos. Consulte la documentacin de su sistema operativo especfico o pngase en contacto con el administrador del sistema para determinar si usted tiene los privilegios necesarios para instalar nuevo software. Inserte el medio de distribucin para la base de datos en su ordenador. El Autorun ventana se abre automticamente. Haga clic en Instalar / desinstalar Productos. Si la descarga de Oracle del sitio Web, a continuacin, siga las instrucciones en el sitio. El Oracle Universal Installer Seleccione Mtodo de instalacin aparece la ventana.
1.
Ahora debe decidir qu tipo de instalacin a realizar: Instalacin bsica: Seleccione esta opcin para la rpida instalacin de bases de datos Oracle. Este mtodo no requiere la entrada del usuario. Se instala el software y opcionalmente crea un propsito general de bases de datos basado en la informacin que usted proporcione. Debe especificar lo siguiente: Oracle Home Location - Introduzca el directorio en el que instalara el software de la Base de Datos Oracle. Debe especificar un nuevo directorio Home de Oracle para cada nueva instalacin de la base de datos Oracle. Tipo de instalacin: Seleccione cualquiera de Enterprise Edition, Standard Edition, o Personal Edition (Windows solamente).
DBA Grupo UNIX (Linux y Unix solamente) - Especifique el grupo DBA para su sistema operativo. Crear la base de datos para principiantes -Seleccione esta casilla para crear una base de datos durante la instalacin. Oracle recomienda que en la instalacin sea creada una base de datos para el arranque por primera vez.
Para iniciar la instalacin bsica, haga clic en Siguiente. Instalacin Avanzada: Seleccione esta opcin para personalizar su instalacin. Por ejemplo, puede utilizar este mtodo para instalar Oracle Real Application Clusters, para actualizar una base de datos, para configurar Automatic Storage Management, o para configurar copias de seguridad automatizadas. El instalador realiza una serie de verificaciones del sistema.
2. Si esta es la primera vez que se instale el software Oracle en la mquina, usted debe especificar un directorio para los archivos de instalacin y el nombre del grupo de sistema operativo que tiene permiso de escritura para el directorio. 3. posteriormente aparece un resumen en pantalla con informacin de la configuracin global, las necesidades de espacio y los nuevos productos que se van a instalar. Haga clic en Instalar para iniciar la instalacin. La ventana de Instalacin aparece mostrando el progreso de instalacin. 4. Al final de la fase de instalacin, aparece la ventana de configuracin de las listas de asistentes que se inician automticamente. Si est creando una base de datos, entonces el asistente de configuracin de la base de datos se inicia automticamente en una ventana aparte. Al final de la creacin de la bases de datos, se le pedir que desbloquee las cuentas de usuario para hacer accesible las cuentas. Haga clic en Aceptar para eludir la contrasea de gestin. La instalacin y creacin de bases de datos ya est completo. Despus de tomar nota de las informaciones en el final de la pantalla de instalacin, ya puede salir del instalador. Se establecen las contraseas a las cuentas. SYS SYSTEM SYSMAN Post instalacin
5.
6. 7.
Incluir variables en .bash_profile del usuario oracle: export ORACLE_BASE=/u01/app/oracle export ORACLE_HOME=$ORACLE_BASE/product/ export LD_LIBRARY_PATH=$ORACLE_HOME/lib export PATH=$ORACLE_HOME/bin:$PATH export ORACLE_SID=mibd Activar E/S asncrona: Para activarla a nivel de una BD, asignar el parmetro del init: filesystemio_options = setal Ejecutar, el siguiente comando: $ORACLE_HOME/rdbms/lib: $ make fins_rdbms.mk asynch_on
Comprobacin Final En el directorio $ORACLE_BASE/oraInventory/logs revisar los logs de lo ocurrido durante la instalacin. Comprobar que el SW y la BD (si ha instalado una) funcionan. Conectar a la BD usando Sql*Plus SQL> connect / as sysdba Connected. Comprobar el Listener Sql*Net Oracle Enterprise Manger: o Arrancar el servidor web de OEM o Acceder a http://host:1158/em
Recomendaciones de permisos sobre los directorios En las plataformas Unix se recomienda que los directorios tengan los permisos 755. En plataformas Windows, hay que conceder privilegio de fullcontrol sobre las carpetas del Software al grupo ORA_DBA y privilegio NONE al grupo Everyone. Se recomienda tambin no cambiar la funcin del servidor en produccin, por ejemplo de Primary Domain Controller a Backup Domain Controller o viceversa; puede generar comportamientos inesperados. Lista de Control Recomendada para la Revisin de la Seguridad Instalar slo aquellas opciones que sean necesarias.
Bloquear cuentas de usuarios creados por defecto que no vaya a utilizar. DBCA bloquea todas menos SYS, SYSTEM, SCOTT y DBSNMP, por ejemplo: outln, mdsys, wksys, ctxsys, ordsys, etc. Cambiar claves de usuarios creados por defecto: SYS, SYSTEM, etc. Recomendaciones para las contraseas- Passsword Policy de la SAN: http://www.sans.org/resources/policies/Password_Policy.pdf ( Ver Anexo )
Proteger el DD con O7_DICTIONARY_ACCESSIBILITY = FALSE, impidiendo acceso al DD a travs de privilegios ANY. As, por ejemplo, usuarios con DROP ANY no podrn borrar el DD Practicar el principio de los privilegios justos. Por ejemplo, para conectar a la BD dar CREATE SESSION y no CONNECT. Restringir los usuarios del sistema operativo (Unix o Windows) con acceso al servidor Oracle. Restringir el acceso al servidor Oracle a travs de y desde la red. Aplicar todos los parches de seguridad que vayan saliendo. Sitio de referencia: http://otn.oracle.com/deploy/security/alerts.html
CONFIGURACIONES BASICAS DE SEGURIDAD DURANTE O DESPUS DE LA INSTALACIN Configuracin Bsica de Seguridad en la inicializacin de la Base de Datos
Los Siguientes Parmetros Aplican A Todas Las Versiones de Oracle PASSWORD_LIFE_TIME=30 (Das) PASSWORD_GRACE_TIME=1 (Da) PASSWORD_LOCK_TIME=UNLIMITED PASSWORD_REUSE_MAX= UNLIMITED INIT.ora PASSWORD_REUSE_TIME= UNLIMITED PASSWORD_LOGIN_FAILURES=3 (Intentos) Iniciar base de datos de control Nombre de usuario: SYS Contrasea: Introduzca la contrasea. Conectar como: SYSDBA SQL> ALTER SYSTEM SET parameter_name = valor (Pulse Enter) Nota: Activar y Modificar durante o despus de la instalacin la poltica de contraseas establecida por defecto, para todas las cuentas de usuario Estos parmetros permiten determinar la poltica de contrasea para todas las cuentas de usuarios y no determinarlas adecuadamente permitir accesos no autorizados a la Base Datos ALTA Despus de instalar la base de datos Oracle, debe garantizar la instalacin y configuracin de la base de datos.
INIT.ora
O7_DICTIONARY_ACCESSIBILITY=FALSE
Los Siguientes Parmetros Aplican nicamente Para la Versin 11g SEC_RETURN_SERVER_RELEASE_BANNER= FALSE
MEDIA
Pgina: 12 de 44
dbms_java.grant_permission
SEGURIDAD PARA CUENTAS DE USUARIO Cuentas de usuario administrativas predefinidas por Oracle
ANONYMOUS CTXSYS DBSNMP EXFSYS LBACSYS MDSYS MGMT_VIEW OLAPSYS OWBSYS ORDPLUGINS ORDSYS OUTLN = EXPIRED & LOCKED = EXPIRED & LOCKED = OPEN = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = OPEN = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED 6. 5. 3. 4. Opcin 1: 1. 2. Inicio base de datos de control. Iniciar sesin con privilegios administrativos. Haga clic en Servidor para mostrar el Servidor de subpgina. En la seccin Seguridad, haga clic en Usuarios. Seleccione la columna, seleccione la cuenta que desea expirar y, a continuacin, haga clic en Modificar. Realice una de las siguientes: Para bloquear una contrasea, haga clic en Vence Contrasea ahora. Permitir el acceso a estas cuentas permitir tener control de acceso al Oracle ya que estas cuentas tienen privilegios especiales.
ALTA
Pgina: 13 de 44
SI_INFORMTN_SCHEM A SYS SYSMAN SYSTEM TSMSYS WK_TEST WKSYS WKPROXY WMSYS XDB
= EXPIRED & LOCKED = OPEN = OPEN = OPEN = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED 7.
Para cambiar la contrasea, introduzca una nueva contrasea en Ingresar Contrasea y Confirmar contrasea campos. Para bloquear la cuenta, seleccione Cerrado. Haga clic en Aplicar.
Opcin 1: 1. Inicio base de datos de control. 2. Iniciar sesin con privilegios administrativos. 3. Haga clic en Servidor para mostrar el Servidor de subpgina. 4. En la seccin Seguridad, haga clic en Usuarios. 5. Seleccione la columna, seleccione la cuenta que desea expirar y, a continuacin, haga clic en Modificar. 6. Realice una de las siguientes: 7. Para bloquear una contrasea, haga clic en Vence Contrasea ahora. Para cambiar la contrasea, introduzca una nueva contrasea en Ingresar Contrasea y Confirmar contrasea campos. Para bloquear la cuenta, seleccione Cerrado. 8. Haga clic en Aplicar. Opcin 2: SQL> ALTER USER nombre de cuenta CUENTA LOCK
Aunque algunas cuentas tienen mnimos privilegios permitir el acceso de forma no autorizada a estas cuentas puede ser un punto vulnerable de seguridad en Oracle
ALTA
Pgina: 14 de 44
Cambiar las contraseas de usuario por defecto Al instalar la base de datos Oracle, se crea un conjunto predefinido de cuentas. Usted debe cambiar sus contraseas.
SYS SYSTEM SYSMAN DBSNMP MDSYS SCOTT Cambiar Contrasea Cambiar Contrasea Cambiar Contrasea Cambiar Contrasea Cambiar Contrasea 1. Cambiar Contrasea SQL>ALTER USER Username IDENTIFIED BY New_password Para cambiar las contraseas de las cuentas creadas por defecto durante la instalacin, realice lo siguiente: Es un punto de vulnerabilidad el no cambio de estas contraseas ya que no estn sujetas a parmetros de administracin de contraseas. ALTA
INIT.ora
ALTA
Pgina: 15 de 44
Conectar como: SYSDBA SQL> ALTER SYSTEM SET parameter_name = valor (Pulse Enter
permite el Minsculas
manejo
de
Maysculas
De no especificar este parmetro permitir que un usuario no autorizado tenga un numero de intentos para autenticarse en bsqueda de acertar en la autorizacin de acceso a la base de datos y se establece con FAILED_LOGIN_ATTEMPTS
ALTA
Parmetros para Contraseas de Usuarios. Recomendado estrategia SANS Contrasea Dbil Contrasea Media Contrasea Fuerte =10 Caracteres =15 Caracteres =20 Caracteres
Encriptar las Claves de acceso Estos parmetros Aplican nicamente para 9.2.0.4 9.2.0.6 SQLNET.ora ORA_ENCRYPT_LOGIN=TRUE Configurar este parmetro como variable de ambiente. SQL> ALTER SYSTEM SET parameter_name = valor Permite la encriptacin de claves a travs de la red Permite la encriptacin de claves a travs de la red
ALTA
INIT.ora
DBLINK_ENCRYPT_LOGIN=TRUE
ALTA
SESSIONS_PER_USER CPU_PER_SESSION
Pgina: 16 de 44
CPU_PER_CALL
=3000 CREATE PROFILE ALTER PROFILE DROP PROFILE SQL>CREATE USER <usuario> IDENTIFIED BY <contrasea>/ EXTERNALLY DEFAULT TABLESPACE <espacio> TEMPORARY TABLESPACE <espacio>/<grupo_espacio s> QUOTA <xx>/UNLIMITED ON <espacio> PROFILE <perfil> PASSWORD EXPIRE ACCOUNT LOCK/UNLOCK; SQL> CREATE PROFILE Perfil <nombe del perfil> [parametros_recurso | parametros_contrasea]
Mximo tiempo de CPU para hacer una declaracin analizar, ejecutar, o la obtencin de operacin, en centsimas de segundo. Total mxima conectar, tiempo transcurrido medido en minutos Tiempo de inactividad en un periodo de sesiones medido en minutos, cuando una consulta u otra operacin no se encuentran en progreso. Nmero de bloques de datos (fsicos y lgicos Lecturas) leer en cada perodo de sesiones, ya sea de memoria o disco. Nmero mximo de bloques de datos para leer una declaracin analizar, ejecutar, o la obtencin de operacin. Cantidad mxima de memoria de un perodo de sesiones puede asignar a la piscina compartida de los SGA se mide en bytes, kilobytes, megabytes o (se aplica a compartidos del servidor solamente). Total de gasto de recursos, en las dependencias de servicios, como una suma ponderada de CPU_PER_SESSION, CONNECT_TIME, LOGICAL_READS_PER_SESSION, y PRIVATE_SGA. Una persona no autorizada tendra tiempo ilimitado para intentar descifrar una password de un usuario de la BD. Numero de das en que un usuario puede utilizar su contrasea y debe cambiarla Este parmetro especifica un lmite de tiempo antes de que una contrasea anterior se pueda volver a entrar. Para no permitir una nueva contrasea a utilizar para establecer password_reuse_time Este es el nmero de veces que usted puede volver a un usuario y las contraseas se destina a prevenir la repeticin de ciclos contrasea (norte, sur, este, oeste). No podra verificar la complejidad de los password y si alguno de estos es vulnerable podran haber robo de claves, permitiendo accesos de personas no
MEDIA
CONNECT_TIME IDLE_TIME
=600 =20
MEDIA MEDIA
=DEFAUL
BAJA
=1000
BAJA
=15K
MEDIA
COMPOSITE_LIMIT
=5000000
MEDIA
FAILED_LOGIN_ATTEMPTS
=3 (Intentos)
ALTA
PASSWORD_LIFE_TIME PASSWORD_REUSE_TIME
ALTA ALTA
PASSWORD_REUSE_MAX
=UNLIMITED
ALTA
PASSWORD_VERIFY_FUNC TION
= VERIFY_FUNCTION
ALTA
Pgina: 17 de 44
autorizadas a la base de datos PASSWORD_LOCK_TIME PASSWORD_GRACE_TIME =UNLIMITED =1 (Da) Si este parmetro no est especificado, la cuenta tendra que ser desbloqueada por el DBA Aunque es parte de la configuracin de seguridad para una contrasea de usuario, es un parmetro que no genera riesgos muy graves a la seguridad de la contrasea.
ALTA ALTA
ALTA
Nota: Directorios de acceso a la UTL _FILE paquete debe ser creado utilizando el comando CREATE DIRECTORY Por ejemplo los siguientes comandos para crear dos directorios y
Pgina: 18 de 44
DBMS_JAVA DBMS_RANDOM DBMS_SQL DBMS_SYS_SQL DBMS_BACKUP_RE STORE ALL_USERS Grant <permiso> on <objeto> to public;
=REVOKE ACCESS =REVOKE ACCESS =REVOKE ACCESS =REVOKE ACCESS =REVOKE ACCESS =REVOKE ACCESS Revocar los siguientes permisos: select, delete, update, y all referentes a privilegios del usuario public Revocar los siguientes permisos: create user, create type, etc al usuario public. Revocar roles asignados al pseudo usuario PUBLIC. No se deben otorgar permisos del sistema (CREATE, DROP, ALTER, EXECUTE
autorizar DBA grupo y el usuario para acceder a APPUSER SQL> CREATE DIRECTORY log_dir AS '/appl/gl/log'; SQL> GRANT READ ON DIRECTORY log_dir TO DBA; SQL> GRANT WRITE ON DIRECTORY log_dir TO DBA; SQL> CREATE DIRECTORY out_dir AS '/appl/gl/appuser''; SQL> GRANT READ ON DIRECTORY user_dir TO appuser; SQL> GRANT WRITE ON DIRECTORY user_dir TO appuser;
SQL> REVOKE SELECT ON all_users FROM PUBLIC Revisar la vista DBA_TAB_PRIVS para encontrar los objetos con permisos otorgados a PUBLIC y revocarlos con: REVOKE <permiso> ON <objeto> FROM PUBLIC; Revisar la vista DBA_SYS_PRIVS para encontrar los privilegios de Nivel del Sistema otorgados a PUBLIC, y revocarlos con REVOKE <permiso> FROM PUBLIC; Revisar la vista DBA_ROLE_PRIVS para identificar roles asignados a PUBLIC y revocarlos con; REVOKE <rol> from PUBLIC; Revocar los permisos asignados con esta opcin. REVOKE <permiso> ANY <objeto> FROM <usuario>;
Restringir el uso de privilegios que afectan la integridad de la base de datos. ALTA
ALTA
Restringir el uso de privilegios que afectan la integridad de la base de datos Restringir el uso de privilegios que afectan la integridad de la base de datos
ALTA
ANY
ALTA
Especifica un prefijo que la base de datos Oracle utiliza para autenticar a los usuarios que intentan conectarse
ALTA
Pgina: 19 de 44
a la base de datos.
SSL_CLIENT_AUTHENTICATION TRUE
= /u01/app/oracle/product/ para Oracle 10g; /network/ admin/ sqlnet.ora para Oracle 11g Nota: Cuando configure SSL_SERVER_DN_MATCH en el sqlnet.ora, configurar el tnsnames.ora el parmetro SSL_SERVER_CERT_DN Especifica que autenticado con Leyer (SSL) un cliente es Secure Sockets
ALTA
SQLNET.ora
Define el mtodo para recuperar y almacenar las credenciales para este cliente Utilice el parmetro SSL_CIPHER_SUITES para controlar lo que la combinacin de cifrado y la integridad de los datos sean utilizadas por el SSL. Use SSL_VERSION el parmetro a la fuerza la versin de la conexin SSL.
ALTA
ALTA
ALTA ALTA
TNSNAMES.ora
<addressname> = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(Host = <hostname>)(Port = <PORT>))), (CONNECT_DATA = (SERVICE_NAME = <sid>) ), ), SSL_CLIENT_AUTHENTICATION FALSE =
Establecer este archivo de configuracin bsica para permitir la conexin del cliente con la Base de Datos Oracle
ALTA
/u01/app/oracle/product/ para 10; /network/ admin/ listener.ora para 11 Nota: Conexin a la Base de Datos: CONNECT / @ dnet_service_name
ALTA
Define el mtodo para recuperar y almacenar las credenciales para este cliente
ALTA
Pgina: 20 de 44
SSL_CIPHER_SUITES= (SSL_RSA_WITH_RC4_128_SHA)
Utilice el parmetro SSL_CIPHER_SUITES para controlar lo que la combinacin de cifrado y la integridad de los datos sean utilizadas por el SSL. Use SSL_VERSION el parmetro a la fuerza la versin de la conexin SSL.
ALTA
SSL_VERSION= 0
ALTA
ALTA
SQLNET.ENCRYPTION_TYPES_SERVER = SHA- 1
ALTA
SQLNET.ENCRYPTION_CLIENT= REQUEST
ALTA
SQLNET.ENCRYPTION_SERVER= REQUEST
ALTA
SQLNET.CRYPTO_CHECKSUM_SERVER= REQUEST
ALTA
Pgina: 21 de 44
SQLNET.CRYPTO_CHECKSUM_CLIENT= EQUEST
mltiples clientes, sesiones de red a travs de una nica conexin de red a la base de datos.
Este parmetro especifica la integridad de los datos deseados cuando el comportamiento de este cliente (o este servidor que acta como cliente) se conecta a un servidor. Este parmetro especifica una lista de algoritmos de cifrado que el cliente (o un servidor que acta como cliente) utiliza cuando se conecta a un servidor. Si un algoritmo que no est instalado se especifica en este lado, la conexin termina con el mensaje de error ORA12650. Este parmetro especifica una lista de algoritmos de cifrado utilizado por el servidor, en el orden del destino. Introduzca el algoritmo ms deseado en primer lugar. Si un algoritmo que no est instalado se especifica en este lado, la conexin termina con el mensaje de error ORA-12650. Determina el intervalo de tiempo para enviar un sondeo y para comprobar que est activo. Permite garantizar Oracle Advanced Security cumpla con las normas definidas en FIPS 140-1
ALTA
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT = RC4_256
ALTA
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER= RC4_256
ALTA
SQLNET.EXPIRE_TIME = 10
MEDIA
SQLNET.FIPS_140 = TRUE
ALTA
Comprobar permanentemente las direcciones IP de red para esto utilice el Oracle Net vlido para las caractersticas de control de seguridad para permitir o denegar el acceso a Oracle servidor procesos de los clientes de la red con direccin IP concreta. TCP.VALIDNODE_CHECKING = YES TCP.EXCLUDED_NODES = (lista de direcciones IP)
Restringe el acceso a un perodo de sesiones de los clientes a los destinos privilegios que permiten una acogida. Utilice el parmetro para especificar que los clientes se les niegan el acceso
ALTA
ALTA
Pgina: 22 de 44
a la base de datos. TCP.INVITED_NODES = (lista de direcciones IP) Utilice el parmetro para especificar que los clientes se les permite el acceso a la base de datos Oracle especifica si los controles de un archivo de claves y el nmero de bases de datos pueden utilizar el archivo de contraseas. LSNRCTL> remove_password / u01/app/oracle/product/ 10 o 11 /network/ admin/ listener.ora Nota: Usar SSL cuando se administre el listener , Haciendo que los TCPs de la primera entrada en la lista de direcciones de la siguiente manera: = Listener (descripcin = (ADDRESS_LIST = (= DIRECCION (PROTOCOLO = TCPs) (HOST = edpdsun1.us.oracle.com) (PORT = 8281))) Para administrar remotamente el listener. Definir el listener en el listener.ora archivo en el cliente. Por ejemplo, para el acceso remoto USER281 listener , utiliza la siguiente configuracin: user281 = (DESCRIPCIN = (= DIRECCION (PROTOCOLO = TCPs) (HOST = edpdsun1.us.oracle.com) (PORT =
Evitar el acceso al Listener.ora ALTA
REMOTE_LOGIN_PASSWORDFILE = NONE
MEDIA
Restringir el oyente a las direcciones IP configure el oyente a la direccin IP especfica. Asegrese de que la contrasea no se ha fijado en el archivo listener.ora. Remove_Password ADMIN_RESTRICTIONS_LISTENER = ON SQLNET.FIPS_140 = TRUE
ALTA
listener.ora
Restringir la administracin del Listener. El parmetro es til si el Listener no est protegido por contrasea.
ALTA
SAVE_CONFIG_ON_STOP_listener = TRUE
Todos los cambios realizados por el comando SET LSNRCTL se harn permanentes si el parmetro es TRUE.
MEDIA
LOGGING_listener = ON
MEDIA
Pgina: 23 de 44
8281))))
Deshabilitar algunos servicios del sistema operativo que no son necesarios para Oracle y si vulneran su seguridad.
Permiso de escritura
COPIAS DE SEGURIDAD
Es necesario, adems de disponer de un plan de copia y recuperacin, anticiparse a posibles problemas. Un aspecto bsico es tener mltiples copias de los archivos de redo en lnea as como de los archivos de control y del redo archivado y que estas copias residan cada una en un disco fsico diferente. Si un fallo daa una de las copias de redo en lnea, la bd puede continuar sin interrupcin. Si no se dispone de copias y se daa el redo, la bd se detiene y pueden perderse datos. Si se daa cualquier archivo de control, est o no multiplexado, la bd se detiene cuando se intenta leer o escribir en dicho archivo.
Es necesario anotar la configuracin hw y sw del servidor. Nombre, fbrica y modelo de la mquina donde reside la bd. Versin del s.o. Nmero de discos y controladoras
Pgina: 24 de 44
Capacidad de disco y espacio libre. Nombre de todos los archivos de datos. Nombre y versin del sw de gestin de almacenamiento. Nombre de la instancia (SID). Identificador de la bd (DBID). Versin y parche del servidor Oracle. Versin y parche del sw de comunicaciones. Mtodo y frecuencia de las copias as como de la recuperacin
Conjunto de Redundancia. Est integrado por los archivos necesarios para recuperar la bd: Copia del archivo de control y de todos los archivos de datos (datafiles), redo log archivado, duplicado de los redo log en lnea y del archivo de control actual y archivos de configuracin (archivo de parmetros, tnsnames.ora y listener.ora). El conjunto de redundancia debe estar en discos distintos de aquellos que contienen archivos de datos, redo en lnea y archivos de control. Tambin se aconseja mantener distintas copias del conjunto. Es aconsejable hacer copias espejo del archivo de control. Es necesario que todas las copias del archivo de control estn accesibles o caera la instancia. Hacer copias espejo de los archivos de datos si es posible para evitar la realizacin de media recovery debido a un fallo de disco. Copia en modo ARCHIVELOG. Disponer de mltiples destinos de archivado (entre ellos puede figurar la flash recovery area). Copiar la bd al completo tras su creacin o paso a modo ARCHIVELOG. Realizar copias de los tbsp con la bd abierta o cerrada. En particular de aquellos de uso intensivo deben hacerse copias frecuentes (para reducir el tiempo de recuperacin). Copiar el archivo de control cada vez que se realice un cambio estructural en la bd ( ALTER DATABASE BACKUP CONTROLFILE). Copiar los redo log archivados frecuentemente. Es conveniente realizar copias a varios soportes (cinta, disco, ...). Realizar copias de manera frecuente y regular (ms frecuencia a mayor nmero de operaciones DML). Realizar copias antes y despus de cambios en la estructura de la bd (creado/borrado de tbsp, adicin/renombrado de datafiles, adicin, renombrado o borrado de redo log en lnea). Realizar copia despus de operaciones con la opcin NOLOGGING, creacin de tablas e ndices, puesto que la bd no genera redo para dichos objetos y no podran recuperarse desde las copias existentes. Realizar copia completa despus de abrir la bd con la opcin RESETLOGS. Guardar las copias antiguas de la bd. Realizar copias lgicas de la bd, como complemento a las copias fsicas, puesto que no son sustitutivos de las mismas. Evitar la copia de redo log en lnea pues accidentalmente pueden ser restaurados y corromper la bd. La mejor forma de protegerlos es tener mltiples miembros en cada grupo, y en diferentes discos. Si la bd est en modo ARCHIVELOG, el proceso ARC guarda los redo que se han llenado. Si la bd est en modo NOARCHIVELOG, el nico tipo de copias vlido es el realizado con la bd cerrada, consistente y completo; los archivos en este tipo de copia son todos consistentes y no necesitan recuperacin ni, por
Pgina: 25 de 44
Pueden restaurarse, por error, copias de los redo log en lnea y corromper la bd. COPIAS
INIT.ora
MEDIA
Activar este modo de trabajo para tener una recuperacin hasta la ltima transaccin de la base de datos
Subir la BD: shutdown; Arrancar la instancia y montar la BD con: startup mount BD; Teclear la siguiente orden: alter database [dbname] archivelog; Abrir la BD con: alter database [dbname] open;
Pgina: 26 de 44
Guardar todos los archivos redo log pendientes de Archivar: alter system archive log all; Recomendacin: Deben hacerse peridica y frecuentemente copias completas y coherentes de la bd (con la bd cerrada consistentemente)
Recuperacin de Backups
DB_RECOVERY_FILE_DEST_SIZE=21474836 48 ALTER SYSTEM SET DB_RECOVERY_FILE_DE ST_SIZE=2147483648 Especifica (en bytes) el lmite total de espacio para ser utilizado con objetivo la recuperacin de archivos de base de datos creada en la zona de recuperacin de flash. Especifica la ubicacin por defecto para el flash zona de recuperacin
MEDIA
INIT.ora
ALTER SYSTEM SET DB_RECOVERY_FILE_DE ST = C: \ ORACLE \ RECOVERY_AREA ALTER SYSTEM SET DB_FLASHBACK_RETEN TION_TARGET=4320
MEDIA
Hasta dnde se puede retroceder un flashback de una base de datos depende de cunto flashback de datos Oracle se ha mantenido en la zona de recuperacin de flash. Flashback Database permite retroceder la bd al completo y deshacer los efectos de cambios no deseados en la bd
MEDIA
FLASHBACK=ON Para activarla Asegrese de que la base de datos est en modo de archivo SQL> startup MONTE EXCLUSIVO; SQL>ALTER DATABASE FLASHBACK ON Para desactivar SQL>ALTER DATABASE FLASHBACK OFF
ALTA
CONFIGURACION DE LA UTILIDAD DE ORACLE RMAN PARA BACKUP Y RECOVERY Revisar Los Ajustes de Configuracin Por Defecto
Pgina: 27 de 44
Verificar ajustes actuales de configuracin por defecto: RMAN> SHOW RETENTION POLICY; RMAN> SHOW DEFAULT DEVICE TYPE; Restaurar los ajustes de configuracin por defecto: RMAN> CONFIGURE BACKUP OPTIMIZATION CLEAR; RMAN> CONFIGURE RETENTION POLICY CLEAR; RMAN> CONFIGURE CONTROLFILE AUTOBACKUP FORMAT FOR DEVICE TYPE DISK CLEAR;
Parmetros De Configuracin
Configuracin de copia de seguridad de optimizacin Configurar una directiva de retencin: Configuracin automtica de disco y cinta canales CONFIGURE BACKUP OPTIMIZATION ON CONFIGURE RETENTION POLICY TO RECOVERY WINDOW OF 3 DAYS CONFIGURE CHANNEL DEVICE TYPE DISK FORMAT '/?/%U'; CONFIGURE CHANNEL DEVICE TYPE sbt PARMS 'ENV=(NSR_SERVER=bksrv1)'; CONFIGURE DEFAULT DEVICE TYPE TO sbt; CONFIGURE DEVICE TYPE sbt PARALLELISM 2; Configuracin automtica de canales en todos los sistemas de archivos CONFIGURE DEVICE TYPE DISK PARALLELISM 3; CONFIGURE CHANNEL 1 DEVICE TYPE DISK FORMAT '/disk1/backup/%U'; CONFIGURE CHANNEL 2 DEVICE TYPE DISK FORMAT '/disk2/backup/%U'; CONFIGURE CHANNEL 3 DEVICE TYPE DISK FORMAT '/disk3/backup/%U'; BACKUP DEVICE TYPE DISK DATABASE PLUS ARCHIVELOG;
Configurar el Paralelismo CONFIGURE DEVICE TYPE DISK PARALLELISM 2 BACKUP TYPE TO BACKUPSET CONFIGURE DATAFILE BACKUP COPIES FOR DEVICE RMAN> CONFIGURE
RMAN> CONFIGURE
RMAN> CONFIGURE
Pgina: 28 de 44
de seguridad
TYPE DISK TO 3; BACKUP DEVICE TYPE DISK DATABASE FORMAT '/disk1/backup/%U', '/disk2/backup/%U', '/disk3/backup/%U'; CONFIGURE ENCRYPTION FOR DATABASE OFF CONFIGURE ENCRYPTION ALGORITHM AES128 CONFIGURE CONTROLFILE AUTOBACKUP ON; CONFIGURE CONTROLFILE AUTOBACKUP FORMAT FOR DEVICE TYPE DISK TO '?/oradata/%F'; CONFIGURE CONTROLFILE AUTOBACKUP FORMAT FOR DEVICE TYPE sbt TO 'cf_auto_%F'; RMAN> CONFIGURE RMAN> CONFIGURE RMAN> CONFIGURE
Cifrado por defecto para la base de datos Algoritmo DE Cifrado Especificando el formato predeterminado para el control del archivo Autobackup
ALTA
ALTA
INIT.ora
Pgina: 29 de 44
Los Siguientes Parmetros Aplican nicamente Para la Versin 11g AUDIT_SYSLOG_LEVEL = 'facility_clause. Priority_clause'
NEXT 1M MINEXTENTS 1 MAXEXTENTS 10 PCTINCREASE 1) AS SELECT * FROM sys.aud$; - Borrar la tabla original: DROP TABLE sys.aud$; - Renombrar la copia de la tabla: RENAME audit_tmp TO aud$;
AUDIT La auditora de objetos se debe habilitar a nivel de sesin para evitar Incrementar en forma exagerada el ritmo al que se generan las pistas.
AUDIT comando_a_auditar BY usuario /*Slo rdenes de un usuario*/ BY SESSION /*Una solo lnea por rdenes ejecutadas en una sesin*/ BY ACCESS /*Una lnea por cada orden auditada*/ WHENEVER SUCCESSFUL /*Slo las rdenes que han tenido xito*/ WHENEVER NOT SUCCESSFUL /*Slo rdenes fallidas*/ SQL> AUDIT SESSION; Auditora terminada con xito. SQL> AUDIT CREATE TABLE BY SESSION; Auditora terminada con xito. SQL> AUDIT TABLE WHENEVER NOT SUCCESSFUL; Auditora terminada con xito. Nota: para ampliar la informacin en relacin a al pista de auditoria remitirse al siguiente Link: http://74.125.93.104/translate_c?hl=es&langpair=e n%7Ces&u=http://download.oracle.com/docs/cd/B 28359_01/network.111/b28531/auditing.htm&prev =/translate_s%3Fhl%3Des%26q%3DLA%2BAUDI TORIA%2BEN%2BORACLE%26sl%3Des%26tl% 3Den&usg=ALkJrhiBHipB8PvcOwsv4gXumVmd6X D2_g
Auditar acciones relacionadas con las instrucciones de comando u rdenes dadas en el Oracle
ALTA
Las pistas de auditoria deben ser verificadas y revisadas diariamente as como tambin cada cinco das guardar y limpiar los registros. El tamao de la pista de auditoria no debe exceder un 2% del almacenamiento en disco.
Pgina: 30 de 44
SQL> AUDIT CREATE ANY INDEX; Auditora terminada con xito. SQL> AUDIT CREATE ANY INDEX WHENEVER NOT SUCCESSFUL; Auditora terminada con xito.
ALTA
Auditar sys.aud$ Se debe auditar todos las actividades que intenta realizar un usuario sobre la tabla sys.aud$. No hay que permitir que algn usuario vea esta informacin. Rol que solo debe ser asignado al DBA, para evitar que se borre informacin de la tabla sys.aud$ por usuarios no autorizados.
ALTA
DELETE_CATAL OG_ROLE
Solo el DBA debe tener asignado este rol, para evitar que se borre informacin de la tabla sys.aud$ por usuarios no autorizados.
ALTA
1.10 GUA DE AUDITORIA PARA EL ESTNDAR Fecha Revisin (D/M/A) Nombre Auditor Firma Nombre Especialista Plataforma Firma
Parmetro / Componente
Valor requerido
Resultado
Evidencia
Pgina: 31 de 44
Verifique las cuentas que hay que tener abiertas o cerradas de cuentas administrativas predefinidas en la Pg. 14 de este estndar
EXPIRED & LOCKED
CUENTAS NO ADMINISTRATIVAS PREDEFINIDAS CUENTAS DE EJEMPLO DE ESQUEMA PREDEFINIDOS SEC_CASE_SENSITIVE_LOGON SEC_MAX_FAILED_LOGIN_ATTEMPTS FAILED_LOGIN_ATTEMPTS
TRUE 3 3
OS_ROLES
FALSE
Pgina: 32 de 44
FALSE 30 FALSE VERIFY_FUNCTION Para ello, comprobar el valor del atributo orclpwdpolicyenable en la poltica de contraseas de entrada. Un valor de 1 indica que la contrasea est habilitada 1= Habilitado 0 = No habilitado
REMOTE_LISTENER
REMOTE_OS_AUTHENT REMOTE_OS_ROLES
Pgina: 33 de 44
AUDIT_FILE_DEST AUDIT_SYS_OPERATIONS
Acceder al diccionario de datos para verificar los privilegios, role y recursos a signados a cada usuario de la Base de Datos FLASHBACK ARCHIVELOG ON Activo
Pgina: 34 de 44
1.11 SITIOS DE REFERENCIA EN INTERNET En la siguiente lista encontrar algunos de los sitios de referencia que han sido consultados y que le pueden servir para referencias futuras tanto en la instalacin, configuracin, vulnerabilidades y lineamientos a seguir.
http://www.sans.org/resources/policies/Password_Policy.pdf
www. Oracle.com Conceptos La pgina de Oracle.com contiene toda la informacin relacionada con todas las versiones de la herramienta y en especial el tema relacionado con los conceptos sobre Oracle www. Oracle.com Gua de Seguridad La pgina de Oracle.com contiene toda la informacin relacionada con todas las versiones de la herramienta y en especial el tema de seguridad www. Oracle.com Gua de Configuracin La pgina de Oracle.com contiene toda la informacin relacionada con todas las versiones de la herramienta y en especial el tema relacionado con la configuracin www. Oracle.com Guia de Administracin La pgina de Oracle.com contiene toda la informacin relacionada con todas las versiones de la herramienta y en especial el tema relacionado con la Administracin de Oracle Para visualizar parches de seguridad. Sitio de referencia: http://otn.oracle.com/deploy/security/alerts.html Revise peridicamente el sitio sobre seguridad Oracle Technology Network para obtener ms informacin acerca las publicaciones de seguridad por Oracle en http://www.oracle.com/technology/deploy/security/alerts.htm
Pgina: 35 de 44
Tambin revise el Mundo Oracle Servicio de Apoyo sitio, Oracle MetaLink , para ms detalles disponibles acerca de prximas y relacionadas con la seguridad en parches http://metalink.oracle.com http://metalink.oracle.com 1.12 ANEXOS A continuacin presentamos informacin asociada a la instalacin y configuracin de la Base de Datos Oracle e informacin sobre seguridad. Anexo A: LA PROTECCIN DE DATOS EN LA RED. USO DEL CIFRADO Adems de proteger mediante la encriptacin de informacin en la base de datos de nivel, hay que protegerla cuando se transmite a travs de la red. Acerca de la red de cifrado Red de encriptacin se refiere a la encriptacin de datos cuando se transmite a travs de la red entre el cliente y el servidor. La razn debe cifrar los datos a nivel de la red, y no slo la base de datos, se debe a que los datos pueden estar expuestos a la red de nivel aunque tenga cuidadosamente encriptada en la base de datos. Por ejemplo, un intruso puede utilizar un paquete de red sniffer para capturar informacin que viaja por la red y, a continuacin, spool a un archivo para uso malintencionado. Cifrar datos en la red impide que este tipo de actividad. Para cifrar los datos en la red, necesita los siguientes componentes: Una semilla de encriptacin. La encriptacin de semillas es una cadena aleatoria de hasta 256 caracteres. Genera las claves criptogrficas que ocultar los datos cuando se transmite a travs de la red. Puede especificar cualquiera de los tipos apoyado algoritmo: AES, RC4, DES o 3DES. Si la configuracin se aplica a un cliente o servidor. Har falta configurar el servidor y cada cliente al que se conecta. Cmo el cliente o servidor que procesa los datos cifrados. La configuracin que seleccione (usted tiene cuatro opciones) debe complementar tanto el servidor y el cliente. Un mecanismo para configurar el cifrado. Puede utilizar Oracle Net Manager para configurar el cifrado. Si lo prefiere, puede editar el archivo de configuracin sqlnet.ora. Tanto Oracle Net Manager y el archivo sqlnet.ora estn disponibles en una base de datos Oracle por defecto la instalacin. Configuracin de la red de cifrado Puede configurar la red mediante el uso de cifrado, ya sea Oracle Net Manager o editando el archivo sqlnet.ora. Esta gua explica cmo utilizar Oracle Net Manager para configurar la red de cifrado. Para configurar la red de cifrado:
Estado: Versin 1.0 Pgina: 36 de 44
1. En el equipo servidor, inicie Administrador de Oracle Net. o UNIX: Desde $ ORACLE_HOME / bin, introduzca la siguiente en la lnea de comandos: netmgr o Windows: En el men Inicio, haga clic en Todos los programas. A continuacin, haga clic Oracle - HOME_NAME, configuracin y herramientas de migracin y, a continuacin, Net Manager 2. Desde la configuracin de Oracle Net rbol de navegacin, ampliar Local y, a continuacin, seleccione Perfil.
4. En virtud de Oracle Advanced Security, seleccione la pestaa de cifrado. El panel de configuracin de cifrado aparece.
Pgina: 37 de 44
5. Introduzca los siguientes ajustes: o Cifrado: De la lista, seleccione el servidor para configurar la red de cifrado para el servidor. (Para el equipo cliente, seleccione CLIENTE.) o Tipo de cifrado: Seleccione de los siguientes valores para especificar las acciones del servidor (o cliente) al negociar la encriptacin e integridad: Aceptamos: El servicio se activa si la otra parte de la conexin especifica ya sea requerido o solicitado, y es compatible algoritmo disponible en el otro lado; En caso contrario, se inactiva. Rechazadas: Servicio no debe ser activa, y la conexin fallar si la otra parte requiere. Solicitada: El servicio se activa si la otra parte de la conexin especifica bien aceptado, es necesario, o se solicita, y que es compatible algoritmo disponible en el otro lado; En caso contrario, se inactiva. Necesario: Este servicio debe ser activa, y la conexin fallar si la otra parte especifica rechazada, o si no hay un algoritmo compatible en el otro lado.
o
Semillas de cifrado: Introduzca una cadena aleatoria de hasta 256 caracteres. Bases de datos Oracle utiliza el cifrado de semillas para generar claves criptogrficas. Esto es necesario cuando cualquiera de cifrado o la integridad est habilitado. Si decide utilizar caracteres especiales como una coma [,] o de un derecho parntesis [)] como parte del parmetro de cifrado de Semillas, adjuntar el valor dentro de comillas simples.
Pgina: 38 de 44
Los mtodos disponibles: Seleccione una o ms de los siguientes algoritmos, y utilizar el botn de avanzar (>) para pasar a la lista de mtodos seleccionados. El orden en que aparecen en la lista de seleccionados Mtodos determina el orden para la negociacin. Es decir, el primer algoritmo de la lista se selecciona en primer lugar, y as sucesivamente. En el caso: Advanced Encryption Standard (AES). AES fue aprobado por el Instituto Nacional de Estndares y Tecnologa (NIST) para sustituir los datos Encryption Standard (DES). En el caso le permite cifrar un tamao de bloque de 256 bits. RC4_256: Rivest Cipher 4 (RC4), que es el ms comnmente usado flujo de cifrado que protege protocolos como Secure Sockets Layer (SSL). RC4_256 le permite encriptar un mximo de 256 bits de datos. AES192: Permite utilizar AES para cifrar un tamao de bloque de 192 bits. 3DES168: Triple Data Encryption Standard (TDES), con un perodo de tres opciones fundamentales. 3DES168 le permite codificar hasta 168 bits de datos. AES128: Permite utilizar AES para cifrar un tamao de bloque de 128 bits. RC4_128: Permite utilizar RC4 para cifrar hasta 128 bits de datos. 3DES112: Permite utilizar Triple DES con dos claves (112 bits) opcin. DES: Data Encryption Standard (DES) de 56 bits. Tenga en cuenta que Instituto Nacional de Estndares y Tecnologa (NIST) ya no recomienda DES. RC4_40: Permite utilizar RC4 para cifrar hasta 40 bits de datos. DES40: Permite utilizar DES para cifrar hasta 40 bits de datos.
6. En el men Archivo, seleccione Guardar configuracin de red y, a continuacin, seleccione Salir para salir de Oracle Net Manager. 7. Repita estos pasos para cada equipo cliente que se conecta al servidor. Anexo B: Informacin asociada a la creacin de perfiles y roles a cuentas de usuario: OTROS ROLES DEL SISTEMA Rol CONNECT Privilegios alter session, create session, create cluster, create table, create view, create synonym, create sequence, create database link
Pgina: 39 de 44
RESOURCE DBA
create cluster, create table, create procedure, create sequence, create trigger todos los privilegios de sistema con la opcin with admin option PRIVILEGIOS MAS COMUNES DEL SISTEMA
Capacidades
CREATE ANY INDEX CREATE [PUBLIC] SYNONYM CREATE [ANY] TABLE CREATE [ANY] VIEW ALTER ANY INDEX ALTER ANY TABLE DROP ANY INDEX DROP ANY SYNONYM DROP PUBLIC SYNONYM DROP ANY VIEW DROP ANY TABLE SELECT ANY TABLE INSERT ANY TABLE DELETE ANY TABLE ALTER SESSION CREATE SESSION Gestin de la BD
Crear cualquier ndice. Crear sinnimos [pblicos]. Crear tablas. El usuario debe tener cuota en el espacio de tablas, o ha de tener asignado el privilegio UNLIMITED TABLESPACE. Crear vistas. Alterar cualquier ndice. Alterar cualquier tabla Borrar cualquier ndice. Borrar cualquier sinnimo. Borrar sinnimos pblicos. Borrar cualquier vista. Borrar cualquier tabla. Efectuar selecciones de cualquier tabla o vista. Insertar en cualquier tabla o vista. Borrar filas de cualquier tabla o vista, y tambin truncar. Alterar los parmetros de la sesin. Conectarse a la BD.
Pgina: 40 de 44
CREATE PROFILE CREATE ROLE CREATE ROLLBACK SEGMENT CREATE TABLESPACE CREATE USER ALTER PROFILE ALTER ANY ROLE ALTER ROLLBACK SEGMENT ALTER TABLESPACE ALTER USER DROP PROFILE DROP ANY ROLE DROP ROLLBACK SEGMENT DROP TABLESPACE DROP USER ALTER DATABASE GRANT ANY PRIVILEGE GRANT ANY ROLE UNLIMITED TABLESPACE DROP PROFILE
Crear perfiles de usuario. Crear roles. Creacin de segmentos de rollback. Crear espacios de tablas. Crear usuarios. Alterar perfiles existentes. Alterar cualquier rol. Alterar segmentos de rollback. Alterar espacios de tablas. Alterar usuarios. Borrar un perfil existente. Borrar cualquier rol. Borrar un segmento de rollback existente. Borrar un espacio de tablas. Borrar un usuario. Aadir CASCADE si el usuario posee objetos. Permite una sentencia ALTER DATABASE. Otorgar cualquiera de estos privilegios. Otorgar cualquier rol a un usuario. Puede usar una cantidad de almacenamiento ilimitada. Borrar un perfil existente.
Pgina: 41 de 44
PERFILES DE USUARIO Recurso SESSIONES_PER_USER CPU_PER_SESSION CONNECT_TIME IDLE_TIME LOGICAL_READS_PER_SESSION LOGICAL_READS_PER_CALL PRIVATE_SGA COMPOSITE_LIMIT Descripcin El nmero de sesiones concurrentes que un usuario puede tener en una instancia. El tiempo de CPU, en centenas de segundos, que una sesin puede utilizar. El nmero de minutos que una sesin puede permanecer activa. El nmero de minutos que una sesin puede permanecer sin que sea utilizada de manera activa. El nmero de bloques de datos que se pueden leer en una sesin. El nmero de bloques de datos que se pueden leer en una operacin. La cantidad de espacio privado que una sesin puede reservar en la zona de SQL compartido de la SGA. El nmero de total de recursos por sesin, en unidades de servicio. Esto resulta de un clculo ponderado de CPU_PER_SESSION, CONNECT_TIME, LOGICAL_READS_PER_SESSION y PRIVATE_SGA, cuyos pesos se pueden variar con el comando ALTER RESOURCE COST.
PRIVILEGIOS SOBRE OBJETOS Privilegio SELECT INSERT UPDATE DELETE Capacidades Otorgadas Puede consultar a un objeto. Puede insertar filas en una tabla o vista. Puede especificarse las columnas donde se permite insertar dentro de la tabla o vista. Puede actualizar filas en una tabla o vista. Puede especificarse las columnas donde se permite actualizar dentro de la tabla o vista. Puede borrar filas dentro de la tabla o vista.
Pgina: 42 de 44
Puede alterar la tabla. Puede crear ndices de una tabla. Puede crear claves ajenas que referencie a esta tabla. Puede ejecutar un procedimiento, paquete o funcin. LISTAR PRIVILEGIOS OTORGADOS
Vista DBA_ROLES
DBA_ROLES_PRIVS Usuarios a los que han sido otorgados roles. DBA_SYS_PRIVS DBA_TAB_PRIVS DBA_COL_PRIVS Usuarios a los que han sido otorgados privilegios del sistema. Usuarios a los que han sido otorgados privilegios sobre objetos. Usuarios a los que han sido otorgados privilegios sobre columnas de tablas.
ROLE_ROLE_PRIVS Roles que han sido otorgados a otros roles. ROLE_SYS_PRIVS ROLE_TAB_PRIVS Privilegios de sistema que han sido otorgados a roles. Privilegios de tabla que han sido otorgados a roles.
Anexo C: Oracle Advanced Security Sistema de cifrado SSL Suites en edicin de Oracle Advanced Security
Suite de cifrado
SSL_RSA_WITH_3DES_EDE_CBC_SHA SSL_RSA_WITH_RC4_128_SHA SSL_RSA_WITH_RC4_128_MD5 SSL_RSA_WITH_DES_CBC_SHA SSL_DH_anon_WITH_3DES_EDE_CBC _SHA
Autenticacin
RSA RSA RSA RSA DH anon DH Anon
Cifrado
3DES EDE CBC 3DES EDE CBC RC4 128 RC4 128 RC4 128 RC4 128 DES CBC DES CBC 3DES EDE CBC 3DES EDE CBC
Pgina: 43 de 44
SSL_DH_anon_WITH_RC4_128_MD5 DH anon DH Anon RC4 128 RC4 128 SSL_DH_anon_WITH_DES_CBC_SHA DH anon DH Anon DES CBC DES CBC SSL_RSA_EXPORT_WITH_RC4_40_MD RSA RC4 40 RC4 40 5 SSL_RSA_EXPORT_WITH_DES40_CBC RSA DES40 CBC DES40 CBC _SHA SSL_DH_anon_EXPORT_WITH_RC4_40 DH anon DH Anon RC4 40 RC4 40 _MD5 SSL_DH_anon_EXPORT_WITH_DES40 DH anon DH Anon DES40 CBC DES40 CBC _CBC_SHA SSL de cifrado en las suites de edicin Oracle Advanced Security
Suite de cifrado
SSL_RSA_EXPORT_WITH_RC4_4 0_MD5 SSL_RSA_EXPORT_WITH_DES40 _CBC_SHA SSL_DH_anon_EXPORT_WITH_R C4_40_MD5 SSL_DH_anon_EXPORT_WITH_D ES40_CBC_SHA
Autenticacin
RSA RSA RC4 40 RC4 40
Cifrado
DH anon DH Anon RC4 40 RC4 40 DH anon DH Anon DES40 CBC DES40 CBC
Pgina: 44 de 44