Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Parameterlängen <strong>für</strong> die Befehle müssen dann nochmals in der Länge beschränkt werden,<br />
was nur dann möglich ist, wenn man die Inhalte der Datenbank bzw. der Felder genau<br />
kennt. Da sich auch unter SQL mehrere Befehle kombinieren lassen, muß auch deren<br />
Kombinationsmöglichkeit stark eingeschränkt werden. Zum Schluß ist es wichtig, zu<br />
verhindern, daß Angreifer über andere Ports in die Maschine einbrechen <strong>und</strong> die<br />
komplette Datenbank mit Hilfe von anderen Protokollen über die <strong>Firewall</strong> kopieren. Es<br />
muß also zum Schutz der SQL Datenbanken die <strong>Firewall</strong> noch gegen sog. insider attacks<br />
gesichert werden. Dies bedeutet in der Praxis, daß auf der <strong>Firewall</strong> neben der SQL<br />
Datenbank keine anderen Funktionen aktiviert sein dürfen, <strong>und</strong> daß die <strong>Firewall</strong> sofort<br />
Alarm meldet, wenn jemand versucht, z.B. eine FTP Verbindung von innen heraus zu<br />
öffnen. Im Gr<strong>und</strong>e muß also eine <strong>Firewall</strong>, die eine SQL Datenbank sichern soll, gegen<br />
Angreifer von außen <strong>und</strong> innen schützen. Ein PROXY, der Inhalte filtern kann, ist bei<br />
ORACLE erhältlich. PERL Skripte tun's im Prinzip aber auch. Man findet auf<br />
http://www.perl.org/CPAN/ einige Hinweise auf Filter.<br />
Es gibt aber noch einige Probleme mit den neuen JDBC-Treibern von ORACLE 8i. Der<br />
JDBC Thin Driver ist ein Klasse 4 Treiber, <strong>und</strong> erfordert folgende Besonderheit, hier ein<br />
Zitat von ORACLE:<br />
In Netscape 4.0 this involves signing your applet, then opening your<br />
connection as follows. Please refer to your browser documentation for the<br />
many details you have to take care of.<br />
netscape.security.PrivilegeManager.enablePrivilege<br />
("UniversalConnect");<br />
connection = DriverManager.getConnection<br />
("jdbc:oracle:thin:scott/tiger@dlsun511:1721:orcl");<br />
<strong>Firewall</strong> Considerations<br />
The JDBC Thin driver cannot connect to a database from behind a firewall.<br />
The firewall prevents the browser from opening a TCP/IP socket to the<br />
database.<br />
This problem can be solved by using a Net8 compliant firewall and using<br />
connect strings in the applet that are compliant with the firewall<br />
configuration. This solution really only works for an intranet, because the<br />
connect string is dependent on the firewall behind which the client browser<br />
is running.<br />
ORACLE ist ja nun auch unter <strong>LINUX</strong> <strong>und</strong> FreeBSD (das ist das Betriebssystem des<br />
geheimnisvollen Oracle 8i Database-Servers) verfügbar ist, möchte ich hier an dieser<br />
Stelle noch ein Zitat aus dem <strong>Handbuch</strong> von ORACLE erwähnen:<br />
"When the IP port number of the SQL*Net connection can be determined in advance, such<br />
as 1521, then connection can be permitted with some degree of security. Systems running<br />
multi-threaded servers, pre-spawned servers, or ones with architectures that do not<br />
support IP port sharing, require dynamic port allocation which tends to prevent<br />
connections. <strong>Firewall</strong> support where IP port redirection is employed requires an intelligent<br />
filter to monitor the port redirection information during the connect phase so that the filter<br />
can selectively open up the required port. Alternatively, a wide range of ports would have<br />
to be opened in advance, which would severely compromise security. In an application<br />
proxy solution the proxy itself handles IP port redirection issues."<br />
1. Multi-Threaded Server (MTS) and pre-spawned servers always use dynamic<br />
port numbers.<br />
2. "Dedicated Server" may either use 1. single port number say 1521 ; or<br />
2.dynamic port numbers. Wherever possible, the first option is taken. It is the<br />
operating system and TCP/IP protocol implementation that determines which<br />
option is taken, not the version of Oracle or SQL*Net.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins