CIS Security Benchmark and GLOBAL_NAMES

08.03.2024 11:00 - 08.03.2024 12:00
Online

Erfahren Sie in unserer 60-minütigen WebSession mit Steffen Nothmann alles rund um das Thema

CIS Security Benchmark und GLOBAL_NAMES.
Buchen Sie jetzt und sichern Sie sich einen Platz! Die Veranstaltung ist für Mitglieder der DOAG kostenfrei.

Aktuell ist das Thema Datenbank Security sehr wichtig und dringend geworden. In den letzten 20 Jahren hat es dafür kaum Interesse gegeben. Viele Anbieter nutzen die CIS Benchmarks(tm) – beispielsweise für die Oracle Datenbank 19c – als Quelle für Ihre Checks und Empfehlungen.

Im CIS Benchmark steht unter anderem:
„This CIS Benchmark was created using a consensus review process comprised of a global community of subject matter experts. The process combines real world experience with data-based information to create technology specific guidance to assist users to secure their environments. Consensus participants provide perspective from a diverse set of backgrounds including consulting, software development, audit and compliance, security research, operations, government, and legal.„

Quelle: CIS – Center for Internet Security: Oracle Datenbank 19c Benchmark Version 1.1.0, Seite 7

Was nicht zu finden ist, ist der Hinweis, dass die Umsetzung der Empfehlungen ohne weiteres Hinterfragen dazu führen kann, dass die Applikation nicht mehr funktioniert. Schauen wir uns einmal die Empfehlung zum Instance Parameter global_names an. Die folgenden Zeilen sind vom CIS Benchmark übernommen:

Description:

The global_names setting requires that the name of a database link matches that of the remote database it will connect to. This setting should have a value of TRUE.

Rationale:

Not requiring database connections to match the domain that is being called remotely could allow unauthorized domain sources to potentially connect via brute-force tactics.

Quelle: CIS – Center for Internet Security: Oracle Datenbank 19c Benchmark Version 1.1.0, Kapitel 2.2.3 / Seite 27

Diese simple Änderung eines Instanz-Parameters kann Applikationen, die Datenbank-Links nutzen, funktionsunfähig machen. Abgesehen davon, ist die Begründung mehr als nur schwach. Warum soll sich ein Angreifer die Mühe machen, eine Datenbank und DB Links anzulegen, nur um brute-force Attacken auf Benutzer und Passwörter durchzuführen? Das geht doch viel einfacher und mit weniger Aufwand mit jedem beliebigen Oracle Client!

In dieser WebSession gehen wir am Beispiel der Empfehlungen für GLOBAL_NAMES darauf ein,
welche möglichen Auswirkungen die unreflektierte Umsetzung mit sich bringt.

Contributors

Data

Event Format
Web Session
Veranstaltungsdauer
60 Minuten

[custom_event_detail_map_caption]

We use GoToWebinar for the implementation of the event. Please make sure in advance of the event that your computer meets the technical requirements.


The dial-in data will be sent to you on the day of the event.

Additional Informations

Please wait