DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

3 Formas de Prevenir Conexiones Directas a la Base de Datos Oracle Saltando DataSunrise

3 Formas de Prevenir Conexiones Directas a la Base de Datos Oracle Saltando DataSunrise

El principio principal de cualquier operación de firewall es analizar el tráfico de red para aceptar o rechazar las conexiones y los servicios según un conjunto de reglas. De esta manera, solo el tráfico autorizado definido por la política de seguridad local será permitido. Mientras tanto, un firewall no puede proteger contra ataques que lo evadan.

La plataforma DataSunrise se puede configurar para servir como un firewall de base de datos. De esta manera, DataSunrise podrá analizar el tráfico de la base de datos y actuar según las reglas predefinidas. Pero DataSunrise va más allá de las operaciones de “rechazar” o “aceptar” y permite ofuscar datos sensibles, monitorear consultas de la base de datos, rastrear actividades sospechosas, etc. Al igual que un firewall, DataSunrise es capaz de proteger una base de datos si el tráfico pasa únicamente a través de DataSunrise.

Este artículo discute varios enfoques para la protección de bases de datos utilizando la solución DataSunrise.

Rechazar Conexiones Directas a la Base de Datos

Es importante desautorizar cualquier conexión directa a una base de datos. Todo el tráfico debería pasar a través de DataSunrise para evitar cualquier acción no autorizada. Esto se puede lograr fácilmente filtrando todo el tráfico que va a través del puerto de la base de datos al tráfico que viene solo de la caja anfitriona de DataSunrise.

Conectando a una base de datos solo a través del firewall

En este entorno, estamos utilizando una configuración en la que DS y la base de datos están instalados en hosts separados. La máquina anfitriona de la base de datos tiene la dirección IP 192.168.0.99 y el puerto 1521 está abierto para aceptar cualquier conexión de base de datos. DataSunrise está instalado en la misma red y es accesible a través de la dirección IP 192.168.0.100. Está configurado como el firewall de la base de datos para Oracle Database que se ejecuta en el host 192.168.0.99.

Para permitir el tráfico únicamente desde la caja anfitriona de DataSunrise, se deben ejecutar los siguientes comandos en el host de la base de datos:

iptables -I INPUT -p tcp -s 192.168.0.100 --dport 1521 -j ACCEPT iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 1521 -j DROP

Esto permite el tráfico desde la máquina anfitriona de DataSunrise y prohíbe que cualquier cliente externo se conecte directamente a la base de datos.

Proteger las Cajas Anfitrionas de DataSunrise y la Base de Datos

Dado que permitimos el tráfico directo de la base de datos únicamente desde DataSunrise, la caja anfitriona de DataSunrise debe configurarse para restringir cualquier acceso no autorizado al anfitrión. Los usuarios aún pueden evadir DataSunrise conectándose a la base de datos desde el host de la base de datos, por lo que el acceso al host de la base de datos también debe ser restringido. Además, el acceso a cualquier cuenta del sistema operativo utilizada para configurar y mantener una base de datos debe estar estrictamente limitado.

Restringir Conexiones Usando Servicios de la Base de Datos

Algunas bases de datos tienen un mecanismo incorporado para restringir la conexión a la base de datos. Esta configuración se puede usar para prohibir la conexión a una base de datos utilizando los servicios incorporados en lugar de utilizar la configuración del firewall. Mientras tanto, esta configuración puede coexistir con la configuración del firewall para proporcionar la protección más fuerte para la base de datos.

En particular, la característica de seguridad “valid node checking” de Oracle Net se puede usar para permitir o denegar el acceso a los procesos del servidor Oracle desde los clientes de red con las direcciones IP especificadas. Para activar la característica “valid node checking” se deben añadir los siguientes parámetros en el archivo sqlnet.ora:

tcp.validnode_checking = yes tcp.invited_nodes = 192.168.0.100

Una vez aplicados los parámetros, el listener de Oracle permitirá conexiones a la base de datos que provengan únicamente del host de DataSunrise.

Conclusión

Utilice este artículo como una guía para asegurarse de que todo el tráfico a su base de datos pase únicamente a través de DataSunrise y disfrute de la total seguridad de sus datos! La mejor solución para mantener sus datos intactos es Firewall for Oracle.

Si no puede evitar que los usuarios se conecten directamente a su base de datos, puede usar la característica de DataSunrise Trailing the Database Audit Logs. Esta le permite obtener los resultados de auditoría recopilados por las herramientas de auditoría nativas de Oracle. En primer lugar, esta característica se puede utilizar en bases de datos Amazon RDS Oracle porque DataSunrise no soporta la detección en bases de datos RDS. La ocultación de datos y el bloqueo de consultas no son posibles en este modo.

Siguiente

Autenticación de Dos Factores: una Seguridad de Acceso Extra

Autenticación de Dos Factores: una Seguridad de Acceso Extra

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]