Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
3. Oracle is producing (i.e. not available yet (March 1996)) a SQL*Net proxy<br />
which Oracle encourage FW vendors to integrate into their products. The<br />
proxy is based on the Oracle Multi-Protocol Interchange (MPI) and will<br />
support SQL*Net V2 only.<br />
Therefore, my observation is that:<br />
1. There is no satisfactory solution for allowing SQL*Net traffic through FW if<br />
Oracle is configured as MTS or pre-spawned servers. No application proxy at<br />
present handle this. Gary Flynn quoted the White Paper "In an application<br />
proxy solution the proxy itself handles IP port redirection issues." is only a<br />
requirement that FW vendors need to work on. This product doesn't exist at<br />
this moment.<br />
2. There is no mention in the White Paper as to what OS and what TCP/IP<br />
implementation will cause a Dedicated Server to use dynamic port numbers.<br />
The limitation seems to be applicable to those that "do not support IP port<br />
sharing".<br />
3. My preliminary (very preliminary) testing using Oracle 7 on HP-UX 9.x using<br />
SQL*Net v1 and Solaris 2.4 using both SQL*Net v1 and v2 revealed that a<br />
fixed port number on the server is used. The client port number is random but<br />
is constant for that specific session. In such a case, it is possible to apply<br />
simple filtering rules on screening routers or use such things as plug-gw.<br />
There is no need for setting up a server to server interchange. I can add that<br />
Oracle 7.1 on AIX 3.2.5 and Oracle 7.3 on Solaris 2.5 reveal the same<br />
behaviour, i.e. simple filtering rules on screening routers or such things as<br />
plug-gw from TIS's <strong>Firewall</strong> Toolkit may be used. However, Oracle 7.3 on<br />
Windows NT does not work this way.<br />
Hiermit wäre im Prinzip alles gesagt, da sich an dem Prinzip von TCP/IP seit mehreren<br />
Jahren prinzipiell nichts mehr getan hat. Wer dennoch einen erhöhten Sicherheitsbedarf<br />
hat, der sollte mit PPTP oder mit dem guten, alten IPX mit RC4 - Verschlüsselung seine<br />
Daten transportieren. Schon seit vielen Jahren kann NOVELL jeden Datenverkehr<br />
verschlüsseln <strong>und</strong> auch über verschiedene Interfaces filtern.<br />
26.4 10 wichtige Punkte zur Absicherung<br />
Hier noch 10 wichtige Punkte zur Absicherung von SQL Datenbanken, die man<br />
mindestens beachten sollte.<br />
1. Niemals Paßworte leer lassen<br />
2. Bei CGI-BIN´s stets nach ";" <strong>und</strong> anderen Konstrukten filtern<br />
3. Die eingebauten Sicherheitsoptionen, wie minimale Paßwortlänge <strong>und</strong> (Nicht)<br />
Wiederverwendung alter Paßworte aktivieren<br />
4. Für Userabfragen sollten nur "stored procedures" erlaubt sein<br />
5. Bestimmte "stored procedures", wie xp_cmdshell deaktivieren<br />
6. Nach Möglichkeit "VIEWS" einsetzen<br />
7. Integrierte Sicherheit <strong>und</strong> "named pipes" möglichst häufig einsetzen<br />
8. TCP/IP Zugriffe auf Datenbanken möglichst vermeiden<br />
9. guest Zugriffe abschalten<br />
10. Audit Level aktivieren<br />
27. Aufbau von VPN´s unter <strong>LINUX</strong><br />
Erstellt von Doc Gonzo - http://kickme.to/plugins