Aplicando um pouco de seguran�a ao LISTENER - PASSWORD LISTENER

Aplicando um pouco de seguran�a ao LISTENER - PASSWORD LISTENER

Neste artigo vamos abordar mais um aspecto de seguran�a em infra-estrutura em bancos Oracle, mais especificamente sobre o LISTENER.

Um outro tema abordado no documento do Sr. Arup Nanda � referente ao LISTENER.

Amea�as

Uma das mais populares estrat�gias de ataque � infra-estrutura Oracle � a inser��o de uma grande quantidade de texto no arquivo de par�metros do LISTENER.

Este tipo de ataque faz com que o LISTENER tenha problemas e aborte sua execu��o.

O banco poderia estar aberto normalmente, mas com o LISTENER 'fora', n�o seriam permitas novas conex�es ao banco.

Para fazer isso, o invasor poderia tentar alterar os atributos e par�metros do LISTENER.

Uma t�tica conhecida � listar os v�rios servi�os atendidos pelo LISTENER, com o uso do comando SERVICES.

Voc� pode verificar a quantidade de informa��es relevantes que podem ser obtidas com este comando, usando as instru��es abaixo:

LSNRCTL> set displaymode verbose

LSNRCTL> services

Outra t�tica que o invasor poderia adotar seria 'parar' o LISTENER, o que tamb�m faria com que novas conex�es fossem rejeitadas pelo banco.

E, finalmente, como o LISTENER pode ser administrado remotamente, o invasor poderia usar esta t�cnica para 'derrubar' o LISTENER e ent�o explorar outras vulnerabilidades.

Como proteger o LISTNER destas amea�as?

A melhor op��o para assegurar o LISTENER contra estas amea�as � retirar todas as permiss�es dos arquivos execut�veis tnslsnr e lsnrctl, exceto dos seus owners. Assim, somente o owner do software Oracle poderia iniciar e parar o LISTENER.

Mas, em alguns casos, � necess�rio conceder privil�gios para iniciar e parar o LISTENER para determinados usu�rios, tornando necess�rio conceder permiss�es de acesso a estes arquivos novamente.

No entanto, o acesso n�o-autorizado ao LISTENER poderia ser prevenido com o uso de uma senha para o LISTENER (que pode ser em conjunto com a retirada das permiss�es dos demais usu�rios).

Quando � definida uma senha para o LISTENER, a maioria dos comandos � desabilitada (comandos como o HELP, por exemplo, continuam funcionando).

Configurando uma senha para o LISTENER

A configura��o de uma senha para o LISTENER funciona da mesma forma para todas as vers�es de banco, mas o processo de aplica��o de senha varia, conforme abaixo:

- Oracle 9iR2 e anteriores - todos os usu�rios precisam da senha;

- Oracle 10g - os usu�rios do sistema operacional, que s�o owners do software do banco, n�o precisam de senha. Todos os outros precisam.

A senha para o LISTENER pode ser definida da seguinte forma:

LSNRCTL> change_password

Old password: <senha_antiga>

New password: <senha_nova>

Reenter new password: <senha_nova>

Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=host)(PORT=1521)(IP=ip)))

Password changed for LISTENER

Obs.:

1 - Os caracteres informados para atender �s solicita��es de senha_antiga e senha_nova n�o s�o mostradas na tela enquanto s�o digitados.

2 - Se a senha est� sendo configurada pela primeira vez, pode ser pressionada a tecla ENTER quando solicitado Old password.

Ap�s efetuar as altera��es, estas informa��es devem ser salvas no arquivo de par�metros do LISTENER, conforme abaixo:

LSNRCTL> save_config

Este comando criptografa a senha e adiciona uma linha no arquivo de par�metros com esta informa��o.

Ap�s estes passos, o arquivo de par�metros do LISTENER (LISTENER.ORA) conter� algumas linhas adicionais, parecidas com:

#----ADDED BY TNSLSNR 01-JUL-2007 15:25:14---

PASSWORDS_LISTENER = 75CD180DE6C75466

#--------------------------------------------

A partir deste momento, ser� solicitada a senha para a execu��o dos comandos do LISTENER (com exce��o dos owners do 10g).

Exemplo:

LSNRCTL> services

Connecting to (ADDRESS=(PROTOCOL=tcp)(HOST=)(PORT=1521))

TNS-01169: The listener has not recognized the password

Para informar a senha correta, e poder usar os comandos normalmente, deve ser usada a seguinte sintaxe:

LSNRCTL> set password <senha>

The command completed successfully

Se for informada uma senha errada, ser� retornada a seguinte mensagem:

TNS-01169: The listener has not recognized the password.

Para confirmar que a senha est� em efeito, pode ser usado o comando STATUS.

Na vers�o 9i, ficaria assim:

LSNRCTL> status

STATUS of the LISTENER

------------------------

Alias LISTENER

Version TNSLSNR for Solaris: Version 9.2.0.6.0 - Production

Start Date 16-JUL-2007 15:26:47

Uptime 1 days 03 hr. 8 min. 36 sec

Trace Level off

Security ON

A �ltima linha (Security ON) indica que a senha est� habilitada.

Na vers�o 10g, estas informa��es s�o exibidas de forma um pouco diferente, pelo fato de que os owners do software n�o necessitarem de senha (todos os outros precisam), conforme abaixo:

STATUS of the LISTENER

------------------------

Alias LISTENER_ODSPDB02

Version TNSLSNR for HPUX: Version 10.2.0.3.0 - Production

Start Date 16-JUL-2007 15:58:35

Uptime 2 days 03 hr. 44 min. 41 sec

Trace Level off

Security ON: Local OS Authentication

A �ltima linha (Security ON: Local OS Authentication) informa que a senha ainda n�o est� sendo utilizada.

Quando a senha � utilizada, seguindo os passos anteriormente mencionados, a �ltima linha passa a ter a seguinte informa��o:

Security ON: Password or Local OS Authentication

Com isso, na vers�o 9i, caso haja algum script que use comandos do LISTENER, estes precisar�o ser ajustados para fornecer a senha.

No 10g n�o ser� necess�ria nenhuma altera��o em scripts executados pelos owners do software do banco.

Essa medida simples, de for�ar o uso de senha para o LISTENER, pode prevenir o acesso indevido aos seus par�metros bem como o uso dos seus comandos por invasores ou usu�rios indesejados.

Anderson Rodrigo Farias

DBA Oracle

Betha Sistemas LTDA

http://www.betha.com.br