1. Start
  2. Unternehmen
  3. Blog
  4. Sicherheit durch Abschreckung

Sicherheit durch Abschreckung

Heute wollen wir Ihnen ein eher unbekanntes Sicherheitsfeature der Oracle Datenbank vorstellen, dass es sogar schon seit der Version 11.2 gibt. Bei der Anmeldung an Servern wird oftmals ein Banner mit Sicherheitshinweisen angezeigt. Wenig bekannt ist, dass auch eine Oracle Datenbank solche Banner bei der Anmeldung anzeigen kann. 

Es gibt zwei Arten von Bannern. Einer wird nach dem Aufbau der Verbindung zur Datenbank und vor der Authentifizierung angezeigt, der andere wird nach der Authentifizierung angezeigt. Für beide Banner gibt es einen entsprechenden Parameter in der Konfigurationsdatei SQLNET.ORA des Datenbankhomes, SEC_USER_AUDIT_ACTION_BANNER und SEC_USER_UNAUTHORIZED_ACCESS_BANNER. Beide Parameter verweisen jeweils auf eine Datei, deren Inhalt den Banner darstellt und der maximal 521 Byte groß sein darf. Hier ein Beispiel:

 

[oracle@vm160 admin]$ cat sqlnet.ora
SEC_USER_AUDIT_ACTION_BANNER=/u01/app/oracle/product/db/19/network/admin/audit_msg.txt
SEC_USER_UNAUTHORIZED_ACCESS_BANNER=/u01/app/oracle/product/db/19/network/admin/unauthorized_msg.txt

[oracle@vm160 admin]$ cat /u01/app/oracle/product/db/19/network/admin/audit_msg.txt
###############################################
#      This system is mission-critical!       #
# All actions on this system will be audited  #
# and may be analyzed by "Security Officers". #
###############################################

[oracle@vm160 admin]$ cat /u01/app/oracle/product/db/19/network/admin/unauthorized_msg.txt
####################################################
# Unathorized access to this system is prohibited. #
# You are required to use personal credentials     #
# provided by "Central IT Management".             #
####################################################

 

Jetzt sollten die Banner also zu sehen sein, wenn man versucht, sich an der Datenbank anzumelden.

 

[oracle@vm160 admin]$ c##marco/********@vm160/pdb1.support.robotron.de

SQL*Plus: Release 19.0.0.0.0 - Production on Wed Feb 22 10:03:45 2023
Version 19.18.0.0.0

Copyright (c) 1982, 2022, Oracle.  All rights reserved.


Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.18.0.0.0

SQL>

 

Dem ist aber leider nicht so. Um die Parameter zu aktivieren, ist ein Neustart der Datenbank erforderlich. Danach werden die Banner wie gewünscht zur Anzeige gebracht:

 

[oracle@vm160 admin]$ sqlplus c##marco/********@vm160/pdb1.support.robotron.de

SQL*Plus: Release 19.0.0.0.0 - Production on Wed Feb 22 10:04:37 2023
Version 19.18.0.0.0

Copyright (c) 1982, 2022, Oracle.  All rights reserved.

####################################################
# Unathorized access to this system is prohibited. #
# You are required to use personal credentials     #
# provided by "Central IT Management".             #
####################################################

###############################################
#      This system is mission-critical!       #
# All actions on this system will be audited  #
# and may be analyzed by "Security Officers". #
###############################################

Last Successful login time: Wed Feb 22 2023 09:54:52 +01:00

Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.18.0.0.0

SQL>

 

Wenn man sich versucht, mit ungültigen Daten anzumelden, wird folgerichtig nur der Banner für den unauthorisierten Zugriff angezeigt:

 

[oracle@vm160 admin]$ sqlplus c##marco/******@vm160/pdb1.support.robotron.de

SQL*Plus: Release 19.0.0.0.0 - Production on Wed Feb 22 10:05:10 2023
Version 19.18.0.0.0

Copyright (c) 1982, 2022, Oracle.  All rights reserved.

####################################################
# Unathorized access to this system is prohibited. #
# You are required to use personal credentials     #
# provided by "Central IT Management".             #
####################################################

ERROR:
ORA-01017: invalid username/password; logon denied


Enter user-name:

 

  Aber bekommt man die Banner auch zu Gesicht, wenn man nicht mit SQL*Plus arbeitet? Die einfache Antwort ist: Kommt darauf an. Denn am Ende entscheidet die Applikation, ob die vom Server zurüclgegebenen Banner auch tatsächlich angezeigt werden oder eben nicht. Hier gibt es selbst bei Oracle offenbar verschiedene Ansätze. Dass das SQL*Plus die Banner darstellt, haben wir bereits gesehen. Wie verhält es sich mit SQLcl? Zumindest die Versionen 21.4 und 22.4 unterschlagen beide Banner:

 

C:\>sql c##marco/********@vm160.support.robotron.de:1521/pdb1.support.robotron.de


SQLcl: Release 21.4 Production auf Mi. Feb. 22 12:30:22 2023

Copyright (c) 1982, 2023, Oracle. All rights reserved. Alle Rechte vorbehalten.

Last Successful login time: Mi Feb 22 2023 12:30:25 +01:00

Verbunden mit:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.18.0.0.0

SQL>

 

Der "SQL Developer" dagegen zeigt beide Banner in einem Popup-Fenster an:

Aber im Grunde ist die Anzeige dieser Banner genau dann sinnvoll, wenn sich jemand mit einem Entwicklertool an einer Datenbank anmeldet. Bei der Anmeldung über eine Applikation geht man eigentlich davon aus, dass das in Ordnung ist. 

Zusammenfassend können wir sagen: Es ist ein wenig beachtetes aber durchaus praktikables Feature. Man muss sich aber der von uns aufgezeigten Grenzen bewusst sein.

Kommentare

Keine Kommentare

Kommentar schreiben

* Diese Felder sind erforderlich