Autenticação Remota de Usuários- Remote OS Authenticationa

Natal DevMedia: Assine hoje e ganhe 3 meses gr�tis

Autentica��o Remota de Usu�rios- Remote OS Authentication

No �ltimo artigo, n�s falamos sobre a autentica��o de usu�rios via sistema operacional - OS Authentication.

Seguindo adiante, na s�rie de artigos sobre seguran�a de �infra-estrutura� em bancos de dados Oracle e complementando o �ltimo artigo, vamos comentar sobre a Autentica��o Remota - Remote OS Authentication - uma varia��o da autentica��o via sistema operacional.

Autentica��o de Usu�rios via Sistema Operacional - OS Authentication

No artigo anterior, sobre autentica��o via sistema operacional, vimos como isso pode ser feito, seus benef�cios e os cuidados que devemos tomar para n�o deixar que isso se transforme em uma 'brecha de seguran�a'.

Demonstramos que � poss�vel criar um um usu�rio que ser� autenticado no sistema operacional local e configur�-lo para conectar no banco com um simples comando, sem informar usu�rio e senha. Algo do tipo:

sqlplus /

Vimos tamb�m que isso � �til para a manipula��o e execu��o de scripts, mas pode ser uma vulnerabilidade se o ambiente possui um esquema de autentica��o de sistema operacional fraco.

Isso funciona para usu�rios locais, que est�o no mesmo servidor onde o banco roda.

Autentica��o remota - Remote OS Authentication

Existe um outro tipo de autentica��o de usu�rios, que usa o princ�pio da autentica��o via sistema operacional, configurada para ser feita remotamente, a partir de um outro ponto da rede, de um outro 'host' - a Autentica��o Remota � Remote OS Authentication.

Ent�o, o que aconteceria se um usu�rio de um servidor remoto tentasse conectar ao banco?

Podemos tomar como exemplo, um ambiente contendo dois servidores, host1 e host2, com o banco rodando no host1. Este banco tem o usu�rio ops$user_name identificado externamente. Digamos que haja um usu�rio user_name no host2, mas n�o no host1.

Quando o usu�rio user_name do host2 tentar conectar no banco que est� rodando no host1 com o comando:

sqlplus /@host1

ele iria conseguir conectar?

A princ�pio, a resposta correta � 'depende'.

REMOTE_OS_AUTHENT

Isso vai depender da configura��o do par�metro de inicializa��o remote_os_authent.

Se este par�metro estiver 'setado' para TRUE, a conex�o � feita com sucesso.

Se estiver com o valor FALSE, ent�o as conex�es com autentica��o via sistema operacional do servidor remoto - autentica��o remota - n�o ser�o permitidas.

O valor padr�o deste par�metro � FALSE.

Mas por que n�o?

Por uma raz�o muito boa: nos servidores onde ficam os bancos de dados, � comum ter diretivas fortes de seguran�a, diretivas mais apuradas, que tornam o ambiente mais seguro, fazendo com que a autentica��o de usu�rios pelo sistema operacional deixe de ser um problema. Mas n�o podemos dizer o mesmo das m�quinas-clientes.

Dependendo do sistema operacional, um 'invasor' pode facilmente criar um usu�rio chamado user_name em um servidor remoto (uma outra m�quina da rede - m�quina-cliente) e quando ele conectar no servidor onde est� o banco, poder� conectar no banco sem informar uma senha.

Como n�o � t�o simples assim controlar as m�quinas-clientes, esta funcionalidade abre uma 'brecha' nas diretivas de seguran�a do banco de dados.

Para resolver este problema, sugerimos que n�o seja permitida a autentica��o remota.

Desabilitando a autentica��o remota

Para desabilitar esta funcionalidade basta verificar o valor do par�metro de inicializa��o remote_os_authent.

Se estiver configurado como TRUE, ele deve ser alterado para FALSE.

Esta altera��o somente ter� efeito ap�s a reinicializa��o do banco.

Em muitos bancos este par�metro j� est� 'setado' para FALSE, mas se estiver como TRUE e for alterado, os usu�rios das m�quinas-clientes que estiverem configurados para a autentica��o remota n�o poder�o mais acessar o banco.

Para evitar maiores transtornos, � poss�vel identificar quais usu�rios se beneficiam deste recurso, antes de efetuar a altera��o do valor do par�metro, com o seguinte comando (caso o prefixo seja OPS$, visto no outro artigo):

select username, machine, osuser, terminal

from v$session

where username like 'OPS$%'

Na sa�da deste comando ser� poss�vel visualizar o usu�rio do banco, a m�quina-cliente, o usu�rio do sistema operacional e o terminal.

Se forem retornados usu�rios neste comando, antes de efetuar a altera��o do par�metro de inicializa��o remote_os_authent, estes usu�rios devem ser alterados, para que seja retirada a funcionalidade que os permite conectar no banco sem informar senha.

Finalizando

Bem, na minha humilde opini�o, o que precisamos saber sobre autentica��o remota � isso.

Nos pr�ximos artigos veremos outros aspectos b�sicos de seguran�a de �infra-estrutura� em bancos de dados Oracle.

Anderson Rodrigo Farias

DBA Oracle

Betha Sistemas LTDA

http://www.betha.com.br