Pular para o conteúdo

Firewall no Oracle

Firewall no Oracle

Eu tenho a opinião de que a segurança deve ser aplicada em camadas em uma arquitetura, e não delegada a um único item da rede. E não acredito em uma Zona Segura: tudo tem que ser protegido, e o custo de dificultar um Troubleshooting é menor do que o custo potencial de um vazamaneto de informações.

Por essas razões que eu prefiro que o Servidor de Banco de Dados Oracle tenha um Firewall local. Como podem ver no teste abaixo, funciona perfeitamente. Normalmente eu só deixo a porta do Listener e a do SSH ativados.

ricardo@ricardo-laptop:~/Software/instantclient_11_2$ nmap -sV 192.168.56.105
 
 Starting Nmap 5.21 ( http://nmap.org ) at 2010-09-21 11:20 BRT
 Nmap scan report for 192.168.56.105
 Host is up (0.0038s latency).
 Not shown: 997 closed ports
 PORT     STATE SERVICE    VERSION
 22/tcp   open  ssh        OpenSSH 4.3 (protocol 2.0)
 111/tcp  open  rpcbind
 1521/tcp open  oracle-tns Oracle TNS Listener
 
 Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
 Nmap done: 1 IP address (1 host up) scanned in 6.49 seconds
 ricardo@ricardo-laptop:~/Software/instantclient_11_2$ ./sqlplus SCOTT/TIGER@ORCL
 
 SQL*Plus: Release 11.2.0.2.0 Production on Tue Sep 21 11:20:26 2010
 
 Copyright (c) 1982, 2010, Oracle.  All rights reserved.
 
 Connected to:
 Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
 With the Partitioning, Oracle Label Security, OLAP, Data Mining,
 Oracle Database Vault and Real Application Testing options
 
 SQL> EXIT
 Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
 With the Partitioning, Oracle Label Security, OLAP, Data Mining,
 Oracle Database Vault and Real Application Testing options
 ricardo@ricardo-laptop:~/Software/instantclient_11_2$
Ricardo Portilho Proni

Ricardo Portilho Proni

Com 20 anos de experiência profissional, Oracle ACE Member – eleito pela Oracle Corporation um dos maiores especialistas do mundo em Oracle Database- Trabalhou em grande parte dos maiores bancos de dados Oracle do Brasil. Certificado em Oracle, SQL Server, DB2, MySQL, Sybase e Websphere. Conselheiro do GPO e do GUOB, palestrante do ENPO, GUOB Tech Day e Oracle Open World, escritor da Revista SQL Magazine e Instrutor na Nerv.

Comentário(s) da Comunidade

  1. Portilho,

    eu tenho uma dúvida com relação às portas no Oracle.

    Sou DBA OCA 10g, mas trabalhei algum tempo com 8i e 9i.

    Quando você vai fazer a instalação do Oracle, ele “obriga” que o range de portas seja de 1024 a 65000. Já procurei bastante, até no Metalink, mas ainda não encontrei um documento definitivo que informasse com precisão a metodologia de uso das portas pelo Oracle.

    Até onde eu estudei, o Oracle usa a porta do Listener (default 1521) exclusivamente para fazer a conexão entre o client e o banco de dados, e após a conexão ser estabelecida ele redireciona esta conexão cliente-servidor para outra porta, com a porta 1521 voltando a ser exclusiva para novas conexões. Se meu estudo estiver correto, habilitar o Firewall bloquearia todas as conexões com o banco, porque haveria o “handshake” entre as 2 partes, mas quando fosse designada outra porta para continuar a “conversa” o firewall bloquearia.

    E agora? Pelo que entendi, se você costuma usar o firewall nos servidores Oracle, tudo isso que eu escrevi acima está errado.

    Fico no aguardo dessa solução hehehe

    Abraços!

  2. Oi Alexandre, tudo bem.

    Eu também me lembro deste lance quandoe studei apra OCA ou OCP, mas pelo teste que eu fiz, conectou normalmente.
    Vou refazer o teste, mas com mais conexões, e monitorando o Log do Listener, para entender melhor, e coloco aqui.

    Grande abraço !

  3. Oi Alexandre, beleza?

    Encontrei isto na Nota do Metalink 361284.1:
    “Oracle Listener usually listens on port 1521. It is a common misconception that if you enable access through the firewall by allowing connections to port 1521, then all SQL*Net clients will be able to connect to Oracle databases. There are some situations, including default configured Oracle databases on Windows platforms and shared-mode Oracle databases and RAC clusters, when this is not trued, due to the redirection mechanism in the listener.”

    Ou seja, funciona com firewall na 1521, se não for Shared Server, Windows ou RAC.
    Vou estudar mais a respeito e posto aqui também.

    Abraço !

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

plugins premium WordPress