Базы данных Oracle - статьи


Oracleinfsec.shtml - часть 2


Рис. 1. Количество сообщений об ошибках, ежемесячно поступающих в secalert_us (данные нормализованы)

Как видите, количество сообщений об ошибках возрастает более или менее линейно, поэтому нет никакой публикации, такой, как эта, которая могла бы отразить самые последние поступившие сообщения. Поэтому читателям настоятельно рекомендуется следить за последними оповещениями о проблемах безопасности и заплатах, сделанных Oracle и доступных в:

  • http://otn.oracle.com/deploy/security – оповещения о проблемах безопасности;
  • http://metalink.oracle.com – заплаты.

Структура документа

Оставшаяся часть статьи имеет следующую структуру:

  • в разделе “Безопасность листенера” описано, как нарушитель может найти и воспользоваться плохо сконфигурированными листенерами и в результате полностью скомпрометировать базу данных и сервер;
  • в разделе “Атаки баз данных” рассмотрены некоторые атаки баз данных и серверов;
  • в разделе “PLSExtProc” рассмотрены дополнительные атаки агента внешних процедур Oracle (который позволяет выполнять в сервере внешние процедуры);
  • приложение A содержит тестовые скрипты для некоторых атак баз данных;
  • приложение B содержит пошаговый контрольный список вопросов безопасности, который поможет защитить листенер и базу данных от атак, описанных в данной статье;
  • приложение C содержит список дополнительной литературы и ссылок.

Безопасность листенера

Листенер Oracle – компонент сетевого доступа к системам Oracle. Он принимает клиентские запросы на соединение и направляет их для обработки в соответствующий серверный процесс. Листенер не просто процесс маршрутизации, он имеет свои собственные протокольные и трассировочные файлы, установочные параметры защиты и свой набор команд. Он также поддерживает соединения по протоколам SNMP и SSL.

Хакеры обычно атакуют свои цели, используя удаленный доступ, поэтому листенер может быть первой линией защиты от нарушителей, и это подтверждается рядом сообщений.

Обычно листенер рассматривается как “ступенька” на пути вторжения в базы данных и другие сервисы, которые он может поддерживать. Тем не менее, у него есть достаточно полезные функциональные возможности, которые сами по себе заслуживают внимания.

Плохо сконфигурированный незащищенный листенер предоставляет нарушителю различные способы атак, включая удаленное выполнение команд, атаки типа “отказ в обслуживании”. Целью хакера, атакующего базу данных, является поиск и использование просчетов в конфигурировании листенера.

На следующей схеме показано функционирование листенера Oracle.




Начало  Назад  Вперед