Oracle connection manager_cman_doag_sig_security_mai_2015

Seite 1Gunther Pippèrr © 2015 http://www.pipperr.de
DER ORACLE CONNECTION MANAGER
(CMAN) ALS FIREWALL FÜR DAS
ROUTING VON DATENBANK
VERBINDUNGEN
CMAN Reloaded
SIG - Security Day
19.05.2015 - München

Gunther Pippèrr - IT-Architekt - Berater
• High-Tech
• Real Estate
• Utility
• Communications
• IT System Architekt
• Technische Projektleitung
• Design und Implementierung
von Datenbank
Anwendungen
• Entwurf und Umsetzung von
IT Infrastrukturen zum
Datenmanagement
Gunther Pippèrr arbeitet seit mehr als 17 Jahre intensiv mit den
Produkten der Firma Oracle im Bereich
Datenbanken/Applikationsserver und Dokumenten-Management.
Herr Pippèrr hat sich tiefes Wissen über den Aufbau komplexer IT
Architektur aneignen können und hat dieses in der Praxis
erfolgreich umgesetzt.
Herr Pippèrr hat eine Abschluss als Dipl. Ing. Technische
Informatik (FH) an der FH Weingarten.
Industry Expertise
Background
Functional Expertise
 Datenbank Architekt für ein Projekt zur
Massendatenverarbeitung in der Telekommunikation
 Architekt und technische Projektverantwortung für ein Smart
Metering Portal für das Erfassen von Energiezählerdaten und
Asset Management
 Architekt und technische Projektverantwortung für IT
Infrastrukturprojekte, z.B.:
 Unterstützung beim Betrieb der Datenbank Umgebung
für das größte deutsche Kunden Bindungsprogramm
 Zentrale Datenhaltung für Münchner Hotelgruppe mit
über 25 Hotels weltweit,
 Messdaten Erfassung für russischen Kabelnetzbetreiber
 Redundante Cluster Datenbank Infrastrukturen für
diverse größere Web Anwendungen wie Fondplattform
und Versicherungsportale
 CRM- und Ausschreibungsportal für großen Münchner
Bauträger
 Architekt und Projektleitung , Datenbank Design und
Umsetzung für die Auftragsverwaltung mit Steuerung von
externen Mitarbeitern für den Sprachdienstleister von
deutschen Technologiekonzern
Selected Experience

Agenda
1 Aufgabenstellung
2 Installation
3 Konfiguration
4 Verwendung
5 Härten – Access Rules – Verschlüsselung - SSL

Die Aufgabenstellung - Ist
Administration
Office Netzwerk
Diverse getrennte Datenbank Umgebungen
Netz 1
Netz 2
Netz n
Kein direkter Zugang möglich
Admin
VM 1
Admin
VM 2
Admin
VM n
Citrix
Server
1
Citrix
Server
N
Sicherheit : Hoch
Bedienbarkeit und Akzeptanz : Gering
Zentrales Deployment : Nicht umsetzbar

Ein Lösungsansatz - CMAN
Administration
Workstation mit
fester IP Adresse
Diverse getrennte Datenbank Umgebungen
Netz 1
Netz 2
Netz n
Sicherheit : Mittel
Bedienbarkeit und Akzeptanz : Hoch
Zentrales Deployment : Einfach umsetzbar
CMANSQL*Net
Symmetrische Verschlüsselung möglich
SSL leider nicht unterstützt!

Funktionsübersicht Connection Manager
 „Routen“ des SQL*Net Protokolls über einen Rechner
zwischen verschiedenen Netzwerken
Netzwerk
A
Netzwerk
B
Netzwerk
C
CMANInterface eth0
Interface eth1
Interface eth2

Übersicht CMAN Verbindungsaufbau
Listener
tnslsnr
Gateway
Prozess N
cmgw
Control
process
cmadmin
Gateway
Prozess N
cmgw
Gateway
Prozess N
cmgw
Gateway
Prozess
N
cmgw
1..N Gateway Prozesse
cman.
ora
Lese dazu
die KonfigurationStart des Listener
Start Gateway Prozesse
Client A
1
Target DB
2
3
Verbindung anfragen Regeln überprüfen – Verbindung zum Gateway Prozess aufbauen
Verwende Gateway
Der CMAN wird über
den cmctl gestartet,
dieses Control utilitiy startet
zuerst den Prozess cmadmin.
Dieser Prozess steuert den Listener und die
Gateway Prozesse für das SQL*Net Routing.

Lizenz 11g – EE Edition Feature
 Oracle® Database Licensing Information 11g Release
2 (11.2) E47877-0
– https://docs.oracle.com/cd/E11882_01/license.112/e47877.p
df

Lizenz 12c – EE Edition Feature
 Oracle Database Licensing Information 12c Release 1
(12.1)
– https://docs.oracle.com/database/121/DBLIC/editions.htm#D
BLIC116

Installation – CMAN Oracle 12c – (1)
 Im Client Installations-Packet enthalten!
– Muss zusammen mit dem Oracle Listener installiert werden!

Installation – CMAN Oracle 12c – (2)
 Nach der Installation DB PSU einspielen!
– opatch austauschen (Patch 6880880)
– PSU mit „ opatch apply“ einspielen

Konfiguration über die cman.ora
 Datei $ORACLE_HOME/network/admin/cman.ora.
– Jeder Fehler führt zu einem: „TNS-04012: Unable to start
Oracle Connection Manager instance” !
cman_gpi =
(configuration=
(address=(protocol=tcp)(host=oradb12c01.pipperr.local)(port=1999))
(parameter_list =
(aso_authentication_filter=off)
(connection_statistics=yes)
(log_level=user)
(max_connections=256)
(idle_timeout=0)
(inbound_connect_timeout=0)
(session_timeout=0)
(outbound_connect_timeout=0)
(max_gateway_processes=16)
(min_gateway_processes=2)
(remote_admin=on)
(trace_level=off)
(trace_timestamp=off)
(trace_filelen=1000)
(trace_fileno=1)
(max_cmctl_sessions=4)
(event_group=init_and_term,memory_ops)
)
(rule_list=
(rule=
(src=*)(dst=*)(srv=*)(act=accept)
(action_list=(aut=off)(moct=0)(mct=0)(mit=0)(conn_stats=on))
)
)
)
Demo
siehe Support Node - Doc ID 733421.1

SQL*Net Konfiguration – Variante A - Routen
 Im SQL*Net Connect String ist die Routing Information
enthalten
cman_gpi_db=
(DESCRIPTION =
(SOURCE_ROUTE = YES)
(ADDRESS =
(PROTOCOL = TCP)(HOST = 192.168.178.110 )(PORT = 1999)
)
(ADDRESS =
(PROTOCOL = TCP)(HOST = 10.10.10.57)(PORT = 1521)
)
(CONNECT_DATA = (SERVICE_NAME=GPI)
)
)
CMAN IP Adresse und
Port
DB Listener IP Adresse
und Port

SQL*Net Konf. – Variante B - DB registriert (1)
 DB hat sich am CMAN angemeldet und CMAN kennt
über den Servicenamen die richtige DB Verbindung
– Init.ora - REMOTE_LISTENER Parameter
Alter system set REMOTE_LISTENER=192.168.178.110:1999
scope=both sid='*';
CMAN IP Adresse und
Port
Target DB CMAN
Registriert sich selbständig – Parameter REMOTE_LISTENER
Für RAC => Scan Listener IP Adressen + CMAN IP Adresse registrieren
Siehe auch Doc ID 1375897.1

SQL*Net Konf. – Variante B - DB registriert (2)
 Im SQL*Net Connect String steht nur der Connection
Manager
gpi_db =
(DESCRIPTION =
(ADDRESS =
(PROTOCOL = TCP)(HOST = 192.168.178.110 )(PORT = 1999)
)
(CONNECT_DATA = (SERVICE_NAME=GPI)
)
)
CMAN IP Adresse und
Port
Nachteil : Eindeutige Servicenamen im Unternehmen notwendig
Lösung : Nur der Service für die Administration wird pro DB mit eindeutigen Namen registriert

Connection Manager härten
 Zugriffsregeln (Access Rules) einführen
– Datei $ORACLE_HOME/network/admin/cman.ora
(RULE_LIST=
(RULE=
(SRC=host)
(DST=host)
(SRV=service_name)
(ACT={accept|reject|drop})
(ACTION_LIST=AUT={on|off}
((CONN_STATS={yes|no})(MCT=time)(MIT=time)(MOCT=time)))
(RULE= ...))

Problem TNS-04011: … instance not yet started.
 Der Fehler:
 Die Lösung:
– Falls Access Rules => der lokale Client muss mit dem
Connection Manager Admin Prozess kommunizieren dürfen
(rule=(src=oradb12c01.pipperr.local)
(dst=*)(srv=cmon)(act=accept)
)

Regel Parameter
• See
https://docs.oracle.com/database/121/NETRF/cman.htm#NETRF337
Demo
Mit CMCTL: cman_gpi> reload
Neu laden!

SQL*Net Verschlüsselung
 Symmetrische Verschlüsselung
– Ehemals Teil von ASO – Advanced Security Option
– Die native Verschlüsselung scheint nun keine ASO Option mehr zu sein
– Siehe
http://docs.oracle.com/database/121/DBLIC/editions.htm#DBLIC119
– Wird auf dem Client/Server konfiguriert – CMAN leitet das
transparent jeweils weiter!
Im Detail siehe
http://www.pipperr.de/dokuwiki/doku.php?id=dba:sql_net_security

SSL unter SQL*Net verwenden (1)
 SQL*Net über SSL
– Wird nicht vom
CMAN unterstützt!
– Etwas mehr
Rechenleistung (und
damit etwas weniger
Performance)
notwendig
– In allen Editionen
ohne weitere Lizenz
enthalten
Vorteil: Zertifikat identifiziert die
Clients bei Bedarf Abbildung aus http://docs.oracle.com/cd/B10501_01/network.920/a96573/asossl.htm

SSL unter SQL*Net verwenden (2)
 Ablauf
– Wallet muss auf Client und dem Server Listener eingerichtet
werden
– Zertifikate werden dann in die jeweiligen Wallets
ausgetauscht
– Sqlnet.ora und listener.ora anpassen
– In SQL*Plus überprüfen mit :
Im Detail siehe
http://www.pipperr.de/dokuwiki/doku.php?id=dba:sql_net_ssl
SELECT SYS_CONTEXT('USERENV','NETWORK_PROTOCOL') AS connect_protocol FROM dual;
CONNECT_PROTOCOL
-------------------
tcps

Weitere Härtung – DB Listener einschränken
 Nur noch über den Connection Manager sind
Anmeldungen zulässig
– sqlnet.ora des Listener anpassen
TCP.VALIDNODE_CHECKING=YES
TCP.INVITED_NODES=(10.10.10.110)
CMAN IP Adresse
Vorteil: Zusätzliche Sicherung

Fazit
 CMAN – Ein Baustein für die organisatorische
Trennung von Zugriffen auf Datenbanken
 Für vollständige Implementierung des Konzepts
SQL*Net Verschlüsselung mit implementieren
 SSL leider zur Zeit nicht unterstützt
Installation im Detail siehe:
http://www.pipperr.de/dokuwiki/doku.php?id=dba:sqlnet_cman_connection_manager

Fragen
Der Oracle Connection Manager (CMAN)
als Firewall für das Routing von Datenbank Verbindungen

Oracle connection manager_cman_doag_sig_security_mai_2015

Weitere ähnliche Inhalte

Andere mochten auch (20)

Mehr von Gunther Pippèrr (12)

Oracle connection manager_cman_doag_sig_security_mai_2015