Firewall no Oracle
Eu tenho a opinião de que a segurança deve ser aplicada em camadas em uma arquitetura, e não delegada a um único item da rede. E não acredito em uma Zona Segura: tudo tem que ser protegido, e o custo de dificultar um Troubleshooting é menor do que o custo potencial de um vazamaneto de informações.
Por essas razões que eu prefiro que o Servidor de Banco de Dados Oracle tenha um Firewall local. Como podem ver no teste abaixo, funciona perfeitamente. Normalmente eu só deixo a porta do Listener e a do SSH ativados.
ricardo@ricardo-laptop:~/Software/instantclient_11_2$ nmap -sV 192.168.56.105
Starting Nmap 5.21 ( http://nmap.org ) at 2010-09-21 11:20 BRT
Nmap scan report for 192.168.56.105
Host is up (0.0038s latency).
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.3 (protocol 2.0)
111/tcp open rpcbind
1521/tcp open oracle-tns Oracle TNS Listener
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.49 seconds
ricardo@ricardo-laptop:~/Software/instantclient_11_2$ ./sqlplus SCOTT/TIGER@ORCL
SQL*Plus: Release 11.2.0.2.0 Production on Tue Sep 21 11:20:26 2010
Copyright (c) 1982, 2010, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, Oracle Label Security, OLAP, Data Mining,
Oracle Database Vault and Real Application Testing options
SQL> EXIT
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, Oracle Label Security, OLAP, Data Mining,
Oracle Database Vault and Real Application Testing options
ricardo@ricardo-laptop:~/Software/instantclient_11_2$
Portilho,
eu tenho uma dúvida com relação às portas no Oracle.
Sou DBA OCA 10g, mas trabalhei algum tempo com 8i e 9i.
Quando você vai fazer a instalação do Oracle, ele “obriga” que o range de portas seja de 1024 a 65000. Já procurei bastante, até no Metalink, mas ainda não encontrei um documento definitivo que informasse com precisão a metodologia de uso das portas pelo Oracle.
Até onde eu estudei, o Oracle usa a porta do Listener (default 1521) exclusivamente para fazer a conexão entre o client e o banco de dados, e após a conexão ser estabelecida ele redireciona esta conexão cliente-servidor para outra porta, com a porta 1521 voltando a ser exclusiva para novas conexões. Se meu estudo estiver correto, habilitar o Firewall bloquearia todas as conexões com o banco, porque haveria o “handshake” entre as 2 partes, mas quando fosse designada outra porta para continuar a “conversa” o firewall bloquearia.
E agora? Pelo que entendi, se você costuma usar o firewall nos servidores Oracle, tudo isso que eu escrevi acima está errado.
Fico no aguardo dessa solução hehehe
Abraços!
Oi Alexandre, tudo bem.
Eu também me lembro deste lance quandoe studei apra OCA ou OCP, mas pelo teste que eu fiz, conectou normalmente.
Vou refazer o teste, mas com mais conexões, e monitorando o Log do Listener, para entender melhor, e coloco aqui.
Grande abraço !
Oi Alexandre, beleza?
Encontrei isto na Nota do Metalink 361284.1:
“Oracle Listener usually listens on port 1521. It is a common misconception that if you enable access through the firewall by allowing connections to port 1521, then all SQL*Net clients will be able to connect to Oracle databases. There are some situations, including default configured Oracle databases on Windows platforms and shared-mode Oracle databases and RAC clusters, when this is not trued, due to the redirection mechanism in the listener.”
Ou seja, funciona com firewall na 1521, se não for Shared Server, Windows ou RAC.
Vou estudar mais a respeito e posto aqui também.
Abraço !