Estndares de Seguridad de la informacin

Oracle AS 10g, 11g Versin 1.0

Estado: Versin 1.0 Pgina: 1 de 44

Contenido
1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 1.11 1.12 Objetivo del Estndar Oracle Oracle AS 10g, 11g .........................................................................3 Consideraciones y recomendaciones generales sobre el estndar ...............................................4 Alcance ............................................................................................................................................4 Supuestos y limitaciones .................................................................................................................4 Actividades a realizar Antes de la Implementacin del estndar Oracle AS 10g, 11g ..................4 Recomendaciones para la Auditoria del Sistema ..........................................................................5 conceptos fundamentales sobre la seguridad ................................................................................5 Proceso de instalacin de oracle ....................................................................................................6 Estndar de Seguridad Oracle AS 10g, 11g .............................................................................. 12 Gua de Auditoria para el Estndar ......................................................................................... 31 Sitios de Referencia en Internet .............................................................................................. 35 Anexos ...................................................................................................................................... 36

Estado: Versin 1.0 Pgina: 2 de 44

SECCIN DE CONTROL DEL DOCUMENTO

Todos los derechos estn estrictamente reservados. Ninguna parte de este documento puede ser reproducida de ninguna forma o por ningn medio sin la previa autorizacin escrita de SYMANTEC.

Nombre del Archivo: Estndar configuracin Oracle 1 Oracle AS 10g, 11g .doc Historial de Revisin:
Este documento ha sido creado por: Versi n 1.0 Autor ALEXIS MENA Fecha 04/27/2008 Descripcin de Revisin Versin Inicial

Este documento ha sido revisado por: It. 1. 2. 3. Este documento ha sido aprobado por: Expertos en el Tema It. 1. 2. 3. 1.1 OBJETIVO DEL ESTNDAR ORACLE ORACLE AS 10G, 11G Este documento describe el estndar de configuracin de la Base de Datos Oracle en versiones, Oracle AS 10g -11g. El objeto de este estndar es mantener los servicios asociados en un estado de alta seguridad, disponibilidad y confiabilidad. Este estndar busca prevenir interrupciones al servicio producidos por amenazas de tipo accidental o intencional que pueda ingresar al permetro de la red, a los sistemas de informacin y en especial proteger los servicios ofrecidos por la Base de Datos Oracle en versiones Oracle AS 10g, 11g. Nombre Firma Fecha Autorizacin Revisor Fecha Revisin

Estado: Versin 1.0 Pgina: 3 de 44

1.2 CONSIDERACIONES Y RECOMENDACIONES GENERALES SOBRE EL ESTNDAR Las recomendaciones de seguridad definidas en este documento deben ser probadas en un ambiente fuera de produccin. Los cambios que se realicen deben ser hechos en un ambiente controlado, ya que al ser implementados pueden causar inestabilidad en el sistema y/o la red, implicando una re-configuracin o re-instalacin del software. La implantacin del estndar, requiere como fase inicial, las pruebas preliminares en un piloto de los parmetros presentados en este documento, antes de llevarlos al ambiente de produccin. Las configuraciones anteriores deben ser respaldadas antes de aplicar cualquier cambio en la Base de Datos. Se debe tener tambin un procedimiento que describa claramente cules son las actividades necesarias para que en caso de que el cambio no funcione correctamente, podamos regresar a la configuracin anterior al cambio. Esta implantacin debe estar debidamente aprobada y documentada por el Jefe de Departamento. El chequeo de la seguridad sobre el sistema debe ser realizado por personal con conocimiento tcnico de la plataforma y en caso de no tenerlo, deber ser apoyado por el Administrador de la Base de Datos o el personal tcnico capacitado de su compaa. Cualquier cambio o modificacin sobre el sistema que sea ocasionado como resultado de la revisin de la seguridad con base en el estndar deber ser documentado, para garantizar que es posible ser reversado en caso de que interfiera con la funcionalidad requerida del sistema.

1.3 ALCANCE El alcance de este estndar de configuracin para Oracle 10.2.0.1 -10.2.0.3 Oracle AS 10g, 11g y Oracle Client cubre los aspectos referidos a la Administracin de Usuarios y Seguridad que soportan a esta Base de Datos.

1.4 SUPUESTOS Y LIMITACIONES Las especificaciones planteadas en este estndar estn parametrizadas de manera que son independientes del sistema operativo.

1.5 ACTIVIDADES A REALIZAR ANTES DE LA IMPLEMENTACIN DEL ESTNDAR ORACLE AS 10G, 11G Es recomendable seguir algunas indicaciones antes de implementar cualquier indicacin del estndar de seguridad. Entre las recomendaciones tenga en cuenta las siguientes: Se recomienda realizar un backup completo de su sistema y una copia completa de su Base de Datos (Instancias y Archivos de configuracin) antes de implementar cualquiera de las recomendaciones o en el caso especifico de que se est realizando una actualizacin. Se debe tomar nota por escrito de los errores que pueda generar el sistema.

Estado: Versin 1.0 Pgina: 4 de 44

1.6 RECOMENDACIONES PARA LA AUDITORIA DEL SISTEMA Las Auditorias del Sistema que son recomendadas en este estndar, son configuradas para garantizar niveles de seguridad adecuados al sistema y se supone que si estn activadas es porque hay un responsable de su seguimiento y de la generacin de reportes con base en estas. La activacin de cualquier auditoria sobre el sistema puede consumir una gran cantidad de tiempo del procesador y de espacio en disco. Es altamente recomendado que se revise, se guarde, y se limpien los logs de auditora diariamente o semanalmente para reducir la posibilidad de degradacin del sistema. Tambin se recomienda que por lo menos una vez cada 6 meses se revise la configuracin de la Base de Datos Oracle AS 10g, 11g con el fin de poder detectar posibles cambios que se hayan realizado al sistema y que de manera directa o indirecta puedan comprometer la disponibilidad, la confidencialidad o la disponibilidad.

1.7 CONCEPTOS FUNDAMENTALES SOBRE LA SEGURIDAD La Seguridad Informtica (S.I.) Se ocupa de disear las normas, procedimientos, mtodos y tcnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informticos. La decisin de aplicarlos es responsabilidad de cada usuario. Las consecuencias de no hacerlo tambin Principios de Seguridad Informtica Para lograr sus objetivos, la seguridad informtica se fundamenta en tres principios, que debe cumplir todo sistema informtico como son: Confidencialidad, Integridad, Disponibilidad. Confidencialidad Se refiere a la privacidad de los elementos de informacin almacenados y procesados en un sistema informtico. Basndose en este principio, las herramientas de seguridad informtica deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, computadores y datos residen en localidades diferentes, pero estn fsica y lgicamente interconectados. Integridad Se refiere a la validez y consistencia de los elementos de informacin almacenados y procesados en un sistema informtico. Basndose en este principio, las herramientas de seguridad informtica deben asegurar que los procesos de actualizacin estn sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos.

Estado: Versin 1.0 Pgina: 5 de 44

Este principio es particularmente importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma informacin. Disponibilidad Se refiere a la continuidad de acceso a los elementos de informacin almacenados y procesados en un sistema informtico. Basndose en este principio, las herramientas de seguridad Informtica deben reforzar la permanencia del sistema informtico, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicacin que requieran. 1.8 PROCESO DE INSTALACIN DE ORACLE A continuacin se presentan la secuencia de pasos a seguir para la instalacin de su base de datos Oracle. Descripcin de la instalacin Para instalar el software de Oracle se utiliza el Oracle Universal Installer (OUI). El Oracle Universal Installer es una interfaz grfica de usuario (GUI), herramienta que le permite ver el software de Oracle que ya est instalado en su mquina, instalar nuevos programas informticos de Oracle y desinstalar el software que usted ya no tiene la intencin de utilizar. La ayuda en lnea est disponible para guiar al usuario a travs del proceso de instalacin. Comprobacin de Requisitos previos Antes de instalar el software, el instalador realiza una serie de controles automticos para asegurar que su mquina cumple con los bsicos requisitos de hardware y software para una instalacin de bases de datos Oracle. Si su mquina no cumple con un requisito, aparece un mensaje de error. Los requisitos pueden variar dependiendo del tipo de ordenador y sistema operativo que est ejecutando, pero algunos requisitos previos incluyen: Un mnimo de 512 MB de memoria disponible. Bsqueda de espacio disponible. Sistema operativo apropiado service packs o parches estn instalados. Utilizar un adecuado formato de sistema de archivos

El instalador se ajusta automticamente a cualquier sistema operativo de las variables de entorno que el servidor de bases de datos Oracle requiere para su funcionamiento. Remitirse a este Link http://translate.google.com/translate?hl=es&langpair=en%7Ces&u=http://www.oracle.com/pls/db10 2/lookup%3Fid%3DGINST&prev=/translate_s%3Fhl%3Des%26q%3Dhttp://www.oracle.com/pls/db 102/homepage%26sl%3Des%26tl%3Den para obtener ms informacin sobre los requisitos exactos de su plataforma de sistema operativo especfico.

Estado: Versin 1.0 Pgina: 6 de 44

Preinstalacin Crear puntos de montaje: uno para el Software y hasta seis para las bases de datos: /u01 (sw) /u02 (datos), /u03 (ndices), /u04 (redo), /u05 (system), /u06 (temp) y /u07 (rollback) Crear grupo dba: groupadd dba. Crear grupo oinstall: groupadd oinstall. Crear usuario oracle con grupo primario dba y secundario oinstall: useradd gdba G oinstall oracle. Crear directorio /u01/app/oracle (ORACLE_BASE) y /u02/oradata, /u03/oradata, etc. Variables de entorno del usuario oracle justo antes de instalar: DISPLAY=workstation_name:0.0 (servidor Xwin) ORACLE_BASE=/u01/app/oracle (el resto es opcional) PATH debe incluir $ORACLE_HOME/bin, /usr/bin, /bin,/usr/bin/X11/ y /usr/local/bin ORACLE_HOME=$ORACLE_BASE/product/ ORACLE_SID

Instalacin Antes de comenzar una instalacin de bases de datos Oracle en sistemas UNIX, asegrese de que el valor umask es 022 para el propietario de Oracle. Montar CD desde el root: # mount /mnt/cdrom Como usuario oracle, lanzar script de instalacin desde fuera del punto de montaje del CD (por ejemplo, desde el HOME del usuario oracle). Comprobar variables DISPLAY y ORACLE_BASE. $ /mnt/cdrom/runInstaller Cambiar CD: eject o umount /mnt/cdrom y luego mount /mnt/cdrom.

Notas: El punto de montaje del CDROM no tiene por qu ser /mnt/cdrom, puede ser otro (/media/cdrom, etc). Se podra ejecutar en modo no interactivo con: $ /mnt/cdrom/runInstaller responsefile mirespfile silent La mayora de medidas son comunes a todas las plataformas de funcionamiento y el Oracle Universal Installer Los siguientes pasos presentan un resumen del proceso de instalacin. Para mayor asistencia a lo largo del camino, consulte la ayuda en lnea en el siguiente link http://translate.google.com/translate?hl=es&langpair=en%7Ces&u=http://www.oracle.com/pls/db10 2/lookup%3Fid%3DGINST&prev=/translate_s%3Fhl%3Des%26q%3Dhttp://www.oracle.com/pls/db 102/homepage%26sl%3Des%26tl%3Den para su plataforma de sistema operativo.

Estado: Versin 1.0 Pgina: 7 de 44

1. 2.

3. 4. 5.

Inicie sesin en su computador como un miembro del grupo administrativo que est autorizado para instalar software de Oracle y para crear y ejecutar la base de datos. Consulte la documentacin de su sistema operativo especfico o pngase en contacto con el administrador del sistema para determinar si usted tiene los privilegios necesarios para instalar nuevo software. Inserte el medio de distribucin para la base de datos en su ordenador. El Autorun ventana se abre automticamente. Haga clic en Instalar / desinstalar Productos. Si la descarga de Oracle del sitio Web, a continuacin, siga las instrucciones en el sitio. El Oracle Universal Installer Seleccione Mtodo de instalacin aparece la ventana.

Figura1: Oracle Universal Installer mtodo de instalacin, seleccione la ventana

1.

Ahora debe decidir qu tipo de instalacin a realizar: Instalacin bsica: Seleccione esta opcin para la rpida instalacin de bases de datos Oracle. Este mtodo no requiere la entrada del usuario. Se instala el software y opcionalmente crea un propsito general de bases de datos basado en la informacin que usted proporcione. Debe especificar lo siguiente: Oracle Home Location - Introduzca el directorio en el que instalara el software de la Base de Datos Oracle. Debe especificar un nuevo directorio Home de Oracle para cada nueva instalacin de la base de datos Oracle. Tipo de instalacin: Seleccione cualquiera de Enterprise Edition, Standard Edition, o Personal Edition (Windows solamente).

Estado: Versin 1.0 Pgina: 8 de 44

DBA Grupo UNIX (Linux y Unix solamente) - Especifique el grupo DBA para su sistema operativo. Crear la base de datos para principiantes -Seleccione esta casilla para crear una base de datos durante la instalacin. Oracle recomienda que en la instalacin sea creada una base de datos para el arranque por primera vez.

Para iniciar la instalacin bsica, haga clic en Siguiente. Instalacin Avanzada: Seleccione esta opcin para personalizar su instalacin. Por ejemplo, puede utilizar este mtodo para instalar Oracle Real Application Clusters, para actualizar una base de datos, para configurar Automatic Storage Management, o para configurar copias de seguridad automatizadas. El instalador realiza una serie de verificaciones del sistema.

2. Si esta es la primera vez que se instale el software Oracle en la mquina, usted debe especificar un directorio para los archivos de instalacin y el nombre del grupo de sistema operativo que tiene permiso de escritura para el directorio. 3. posteriormente aparece un resumen en pantalla con informacin de la configuracin global, las necesidades de espacio y los nuevos productos que se van a instalar. Haga clic en Instalar para iniciar la instalacin. La ventana de Instalacin aparece mostrando el progreso de instalacin. 4. Al final de la fase de instalacin, aparece la ventana de configuracin de las listas de asistentes que se inician automticamente. Si est creando una base de datos, entonces el asistente de configuracin de la base de datos se inicia automticamente en una ventana aparte. Al final de la creacin de la bases de datos, se le pedir que desbloquee las cuentas de usuario para hacer accesible las cuentas. Haga clic en Aceptar para eludir la contrasea de gestin. La instalacin y creacin de bases de datos ya est completo. Despus de tomar nota de las informaciones en el final de la pantalla de instalacin, ya puede salir del instalador. Se establecen las contraseas a las cuentas. SYS SYSTEM SYSMAN Post instalacin

5.

6. 7.

Estado: Versin 1.0 Pgina: 9 de 44

Incluir variables en .bash_profile del usuario oracle: export ORACLE_BASE=/u01/app/oracle export ORACLE_HOME=$ORACLE_BASE/product/ export LD_LIBRARY_PATH=$ORACLE_HOME/lib export PATH=$ORACLE_HOME/bin:$PATH export ORACLE_SID=mibd Activar E/S asncrona: Para activarla a nivel de una BD, asignar el parmetro del init: filesystemio_options = setal Ejecutar, el siguiente comando: $ORACLE_HOME/rdbms/lib: $ make fins_rdbms.mk asynch_on

Comprobar seguridad de la BD: http://www.oracle.com/technology/deploy/security/databasesecurity/pdf/twp_security_checklist_database.pdf Comprobar parches de seguridad: http://www.oracle.com/technology/deploy/security/index.html

Comprobacin Final En el directorio $ORACLE_BASE/oraInventory/logs revisar los logs de lo ocurrido durante la instalacin. Comprobar que el SW y la BD (si ha instalado una) funcionan. Conectar a la BD usando Sql*Plus SQL> connect / as sysdba Connected. Comprobar el Listener Sql*Net Oracle Enterprise Manger: o Arrancar el servidor web de OEM o Acceder a http://host:1158/em

Recomendaciones de permisos sobre los directorios En las plataformas Unix se recomienda que los directorios tengan los permisos 755. En plataformas Windows, hay que conceder privilegio de fullcontrol sobre las carpetas del Software al grupo ORA_DBA y privilegio NONE al grupo Everyone. Se recomienda tambin no cambiar la funcin del servidor en produccin, por ejemplo de Primary Domain Controller a Backup Domain Controller o viceversa; puede generar comportamientos inesperados. Lista de Control Recomendada para la Revisin de la Seguridad Instalar slo aquellas opciones que sean necesarias.

Estado: Versin 1.0 Pgina: 10 de 44

Bloquear cuentas de usuarios creados por defecto que no vaya a utilizar. DBCA bloquea todas menos SYS, SYSTEM, SCOTT y DBSNMP, por ejemplo: outln, mdsys, wksys, ctxsys, ordsys, etc. Cambiar claves de usuarios creados por defecto: SYS, SYSTEM, etc. Recomendaciones para las contraseas- Passsword Policy de la SAN: http://www.sans.org/resources/policies/Password_Policy.pdf ( Ver Anexo )

Proteger el DD con O7_DICTIONARY_ACCESSIBILITY = FALSE, impidiendo acceso al DD a travs de privilegios ANY. As, por ejemplo, usuarios con DROP ANY no podrn borrar el DD Practicar el principio de los privilegios justos. Por ejemplo, para conectar a la BD dar CREATE SESSION y no CONNECT. Restringir los usuarios del sistema operativo (Unix o Windows) con acceso al servidor Oracle. Restringir el acceso al servidor Oracle a travs de y desde la red. Aplicar todos los parches de seguridad que vayan saliendo. Sitio de referencia: http://otn.oracle.com/deploy/security/alerts.html

Estado: Versin 1.0 Pgina: 11 de 44

1.9 ESTNDAR DE SEGURIDAD ORACLE AS 10G, 11G

Tema: Parmetro / Componente Valor o cambio a implantar Configuracin parmetros bsicos Procedimiento para su implantacin Impacto de no aplicarlo Prioridad

CONFIGURACIONES BASICAS DE SEGURIDAD DURANTE O DESPUS DE LA INSTALACIN Configuracin Bsica de Seguridad en la inicializacin de la Base de Datos
Los Siguientes Parmetros Aplican A Todas Las Versiones de Oracle PASSWORD_LIFE_TIME=30 (Das) PASSWORD_GRACE_TIME=1 (Da) PASSWORD_LOCK_TIME=UNLIMITED PASSWORD_REUSE_MAX= UNLIMITED INIT.ora PASSWORD_REUSE_TIME= UNLIMITED PASSWORD_LOGIN_FAILURES=3 (Intentos) Iniciar base de datos de control Nombre de usuario: SYS Contrasea: Introduzca la contrasea. Conectar como: SYSDBA SQL> ALTER SYSTEM SET parameter_name = valor (Pulse Enter) Nota: Activar y Modificar durante o despus de la instalacin la poltica de contraseas establecida por defecto, para todas las cuentas de usuario Estos parmetros permiten determinar la poltica de contrasea para todas las cuentas de usuarios y no determinarlas adecuadamente permitir accesos no autorizados a la Base Datos ALTA Despus de instalar la base de datos Oracle, debe garantizar la instalacin y configuracin de la base de datos.

Asegurar el Diccionario de Datos Oracle

Iniciar base de datos de control Nombre de usuario: SYS Contrasea: Introduzca la contrasea. Conectar como: SYSDBA SQL> ALTER SYSTEM SET parameter_name = valor (Pulse Enter) Este parmetro evita que los usuarios que tienen el privilegio Any sistema de uso de los mismos privilegios en el diccionario de datos, es decir, a objetos en el esquema SYS. Desactivar este parmetro ya que un intruso podra utilizar el nmero de versin de base de datos para encontrar informacin sobre vulnerabilidades de seguridad que puedan estar presentes en la base de datos de software. ALTA

INIT.ora

O7_DICTIONARY_ACCESSIBILITY=FALSE

Los Siguientes Parmetros Aplican nicamente Para la Versin 11g SEC_RETURN_SERVER_RELEASE_BANNER= FALSE

MEDIA

Estado: Versin 1.0

Pgina: 12 de 44

Acceso del sistema operativo

Siga estas directrices: Limite el nmero de usuarios del SO. Limite los privilegios del SO de cuentas (administrativos, raz de privilegiados, o DBA) Restringir la capacidad de modificar el archivo por defecto de directorios y permisos para el Home de la Base de Datos Oracle Restringir los enlaces simblicos. Para aplicar a estas recomendaciones es necesario remitirse al estndar del sistema operativo que tenga configurado para Oracle Esta recomendacin se aplica a todos los tipos de archivos: de datos, archivos de registro, localizar archivos, DBFILEs, y as sucesivamente. No se debe permitir el acceso al sistema operativo ya que esto permitir que algn usuario puede borrar los archivos del directorio de Oracle ALTA

Garantizar el acceso a la base de datos Oracle en el nivel de sistema operativo.

Restriccin de permisos en tiempo de ejecucin

permission_type = 'SYS: java.io.FilePermission' permission_name = ' / u01/app/oracle/ ' permission_action = 'read' Iniciar base de datos de control Nombre de usuario: SYS Contrasea: Introduzca la contrasea. Conectar como: SYSDBA SQL> exec dbms_java.grant_permission ('SCOTT','SYS: java.io.FilePermission', ' / u01/app/oracle/ - ','read'); Restriccin de permisos en tiempo de ejecucin esto impide el acceso de escritura a los directorios y archivos de Oracle ALTA

dbms_java.grant_permission

SEGURIDAD PARA CUENTAS DE USUARIO Cuentas de usuario administrativas predefinidas por Oracle
ANONYMOUS CTXSYS DBSNMP EXFSYS LBACSYS MDSYS MGMT_VIEW OLAPSYS OWBSYS ORDPLUGINS ORDSYS OUTLN = EXPIRED & LOCKED = EXPIRED & LOCKED = OPEN = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = OPEN = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED 6. 5. 3. 4. Opcin 1: 1. 2. Inicio base de datos de control. Iniciar sesin con privilegios administrativos. Haga clic en Servidor para mostrar el Servidor de subpgina. En la seccin Seguridad, haga clic en Usuarios. Seleccione la columna, seleccione la cuenta que desea expirar y, a continuacin, haga clic en Modificar. Realice una de las siguientes: Para bloquear una contrasea, haga clic en Vence Contrasea ahora. Permitir el acceso a estas cuentas permitir tener control de acceso al Oracle ya que estas cuentas tienen privilegios especiales.
ALTA

Estado: Versin 1.0

Pgina: 13 de 44

SI_INFORMTN_SCHEM A SYS SYSMAN SYSTEM TSMSYS WK_TEST WKSYS WKPROXY WMSYS XDB

= EXPIRED & LOCKED = OPEN = OPEN = OPEN = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED 7.

Para cambiar la contrasea, introduzca una nueva contrasea en Ingresar Contrasea y Confirmar contrasea campos. Para bloquear la cuenta, seleccione Cerrado. Haga clic en Aplicar.

8. Opcin 2: SQL> ALTER USER nombre de cuenta CUENTA LOCK

Cuentas de usuario no administrativas predefinidas por Oracle

APEX_PUBLIC_USER DIP FLOWS_30000 FLOWS_FILES MDDATA ORACLE_OCM PBLIC = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED

SPATIAL_CSW_ADMIN_US R SPATIAL_WFS_ADMIN_USR XS $ NULL

Opcin 1: 1. Inicio base de datos de control. 2. Iniciar sesin con privilegios administrativos. 3. Haga clic en Servidor para mostrar el Servidor de subpgina. 4. En la seccin Seguridad, haga clic en Usuarios. 5. Seleccione la columna, seleccione la cuenta que desea expirar y, a continuacin, haga clic en Modificar. 6. Realice una de las siguientes: 7. Para bloquear una contrasea, haga clic en Vence Contrasea ahora. Para cambiar la contrasea, introduzca una nueva contrasea en Ingresar Contrasea y Confirmar contrasea campos. Para bloquear la cuenta, seleccione Cerrado. 8. Haga clic en Aplicar. Opcin 2: SQL> ALTER USER nombre de cuenta CUENTA LOCK

Aunque algunas cuentas tienen mnimos privilegios permitir el acceso de forma no autorizada a estas cuentas puede ser un punto vulnerable de seguridad en Oracle

ALTA

Estado: Versin 1.0

Pgina: 14 de 44

Esquema predefinido de cuentas de usuario

BI HR OE PM IX SH = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED = EXPIRED & LOCKED Opcin 1: 1. Inicio base de datos de control. 2. Iniciar sesin con privilegios administrativos. 3. Haga clic en Servidor para mostrar el Servidor de subpgina. 4. En la seccin Seguridad, haga clic en Usuarios. 5. Seleccione la columna, seleccione la cuenta que desea expirar y, a continuacin, haga clic en Modificar. 6. Realice una de las siguientes: Para bloquear una contrasea, haga clic en Vence Contrasea ahora. Para cambiar la contrasea, introduzca una nueva contrasea en Ingresar Contrasea y Confirmar contrasea campos. Para bloquear la cuenta, seleccione Cerrado. 7. Haga clic en Aplicar. Opcin 2: SQL> ALTER USER nombre de cuenta CUENTA LOCK Se debe dejar abiertas estas cuentas para la operacin y administracin de Oracle ALTA

Cambiar las contraseas de usuario por defecto Al instalar la base de datos Oracle, se crea un conjunto predefinido de cuentas. Usted debe cambiar sus contraseas.
SYS SYSTEM SYSMAN DBSNMP MDSYS SCOTT Cambiar Contrasea Cambiar Contrasea Cambiar Contrasea Cambiar Contrasea Cambiar Contrasea 1. Cambiar Contrasea SQL>ALTER USER Username IDENTIFIED BY New_password Para cambiar las contraseas de las cuentas creadas por defecto durante la instalacin, realice lo siguiente: Es un punto de vulnerabilidad el no cambio de estas contraseas ya que no estn sujetas a parmetros de administracin de contraseas. ALTA

Garantizar Las Cuentas de Usuario

Los Siguientes Parmetros Aplican A Todas Las Versiones de Oracle FAILED_LOGIN_ATTEMPTS = 3 Iniciar base de datos de control Los Siguientes Parmetros Aplican nicamente Para La Versin 11g Nombre de usuario: SYS Contrasea: Introduzca la contrasea. De no especificar este parmetro permitir que un usuario no autorizado tenga un numero de intentos para autenticarse en bsqueda de acertar en la autorizacin de acceso a la base de datos Este parmetro incremente la seguridad en las contraseas de cuentas de usuario ya que
ALTA

INIT.ora

ALTA

Estado: Versin 1.0

Pgina: 15 de 44

 SEC_CASE_SENSITIVE_LOGON =TRUE SEC_MAX_FAILED_LOGIN_ATTEMPT S=3

Conectar como: SYSDBA SQL> ALTER SYSTEM SET parameter_name = valor (Pulse Enter

permite el Minsculas

manejo

de

Maysculas

De no especificar este parmetro permitir que un usuario no autorizado tenga un numero de intentos para autenticarse en bsqueda de acertar en la autorizacin de acceso a la base de datos y se establece con FAILED_LOGIN_ATTEMPTS

ALTA

ADMINISTRACION DE CUENTAS DE USUARIO Cuentas de Usuarios de Base de Datos http://www.sans.org/resources/policie s/Password_Policy.pdf

No aplicar administracin de contraseas establecera un margen de vulnerabilidad en las contraseas que pueden fatal para la seguridad ya que cualquier persona puede tener acceso a la base de datos
ALTA

Parmetros para Contraseas de Usuarios. Recomendado estrategia SANS Contrasea Dbil Contrasea Media Contrasea Fuerte =10 Caracteres =15 Caracteres =20 Caracteres

Encriptar las Claves de acceso Estos parmetros Aplican nicamente para 9.2.0.4 9.2.0.6 SQLNET.ora ORA_ENCRYPT_LOGIN=TRUE Configurar este parmetro como variable de ambiente. SQL> ALTER SYSTEM SET parameter_name = valor Permite la encriptacin de claves a travs de la red Permite la encriptacin de claves a travs de la red
ALTA

INIT.ora

DBLINK_ENCRYPT_LOGIN=TRUE

ALTA

Perfiles y Recursos de Cuentas de Usuarios

=1 =UNLIMITED Sentencias SQL SQL> ALTER PERFIL Perfil LMITE Parameter; El nmero mximo de sesiones concurrentes permitido para cada nombre de usuario Total de tiempo de CPU - se mide en centsimas de segundo
MEDIA MEDIA

SESSIONS_PER_USER CPU_PER_SESSION

Estado: Versin 1.0

Pgina: 16 de 44

CPU_PER_CALL

=3000 CREATE PROFILE ALTER PROFILE DROP PROFILE SQL>CREATE USER <usuario> IDENTIFIED BY <contrasea>/ EXTERNALLY DEFAULT TABLESPACE <espacio> TEMPORARY TABLESPACE <espacio>/<grupo_espacio s> QUOTA <xx>/UNLIMITED ON <espacio> PROFILE <perfil> PASSWORD EXPIRE ACCOUNT LOCK/UNLOCK; SQL> CREATE PROFILE Perfil <nombe del perfil> [parametros_recurso | parametros_contrasea]

Mximo tiempo de CPU para hacer una declaracin analizar, ejecutar, o la obtencin de operacin, en centsimas de segundo. Total mxima conectar, tiempo transcurrido medido en minutos Tiempo de inactividad en un periodo de sesiones medido en minutos, cuando una consulta u otra operacin no se encuentran en progreso. Nmero de bloques de datos (fsicos y lgicos Lecturas) leer en cada perodo de sesiones, ya sea de memoria o disco. Nmero mximo de bloques de datos para leer una declaracin analizar, ejecutar, o la obtencin de operacin. Cantidad mxima de memoria de un perodo de sesiones puede asignar a la piscina compartida de los SGA se mide en bytes, kilobytes, megabytes o (se aplica a compartidos del servidor solamente). Total de gasto de recursos, en las dependencias de servicios, como una suma ponderada de CPU_PER_SESSION, CONNECT_TIME, LOGICAL_READS_PER_SESSION, y PRIVATE_SGA. Una persona no autorizada tendra tiempo ilimitado para intentar descifrar una password de un usuario de la BD. Numero de das en que un usuario puede utilizar su contrasea y debe cambiarla Este parmetro especifica un lmite de tiempo antes de que una contrasea anterior se pueda volver a entrar. Para no permitir una nueva contrasea a utilizar para establecer password_reuse_time Este es el nmero de veces que usted puede volver a un usuario y las contraseas se destina a prevenir la repeticin de ciclos contrasea (norte, sur, este, oeste). No podra verificar la complejidad de los password y si alguno de estos es vulnerable podran haber robo de claves, permitiendo accesos de personas no

MEDIA

CONNECT_TIME IDLE_TIME

=600 =20

MEDIA MEDIA

LOGICAL READS_PER_SESSION LOGICAL READS_PER_CALL PRIVATE_SGA

=DEFAUL

BAJA

=1000

BAJA

=15K

MEDIA

COMPOSITE_LIMIT

=5000000

MEDIA

FAILED_LOGIN_ATTEMPTS

=3 (Intentos)

ALTA

PASSWORD_LIFE_TIME PASSWORD_REUSE_TIME

=30 (Das) =UNLIMITED

ALTA ALTA

PASSWORD_REUSE_MAX

=UNLIMITED

ALTA

PASSWORD_VERIFY_FUNC TION

= VERIFY_FUNCTION

ALTA

Estado: Versin 1.0

Pgina: 17 de 44

autorizadas a la base de datos PASSWORD_LOCK_TIME PASSWORD_GRACE_TIME =UNLIMITED =1 (Da) Si este parmetro no est especificado, la cuenta tendra que ser desbloqueada por el DBA Aunque es parte de la configuracin de seguridad para una contrasea de usuario, es un parmetro que no genera riesgos muy graves a la seguridad de la contrasea.
ALTA ALTA

PRIVILEGIOS DE USUARIOS Privilegios de Seguridad a Usuarios

RESOURCE_LIMIT=TRUE INIT.ora MAX_ENABLED_ROLES=30 Iniciar base de datos de control Nombre de usuario: SYS Contrasea: Introduzca la contrasea. Conectar como: SYSDBA SQL> ALTER SYSTEM SET parameter_name = valor (Pulse Enter) Habilitar o deshabilitar la limitacin de recursos mediante perfiles Especifica el nmero mximo de funciones de base de datos que puede permitir a los usuarios, incluidas las funciones contenidas dentro de otras funciones. Especifica si el usuario tiene el privilegio SELECT sobre un objeto. Para ejecutar UPDATE o DELETE Determina si Oracle o el sistema operativo identifica y gestiona las funciones de cada nombre de usuario Especifica si el S.O permite que los clientes remotos ejecuten funciones. Especifica un prefijo que la base de datos Oracle utiliza para autenticar a los usuarios que intentan conectarse a la base de datos. Las Bases de datos Oracle concatena el valor de este parmetro para el inicio del sistema operativo, el nombre de usuario, el nombre de cuenta y contrasea.
MEDIA ALTO

SQL92_SECURITY=FALSE OS_ROLES = FALSE REMOTE_OS_AUTHENT=FA LSE REMOTE_OS_ROLES=FALS E

ALTA ALTA ALTA

ALTA

Revocar privilegios Innecesarios a Usuarios

UTL_FILE UTL_TCP =REVOKE ACCESS =REVOKE ACCESS SQL> REVOKE EXECUTE ON <Privilege> FROM PUBLIC Estos privilegios incluyen EXECUTE sobre diversos paquetes PL / SQL, permitiendo a alguien con un mnimo de privilegios para el acceso pueda ejecutar las funciones. ALTA

UTL_HTTP UTL_SMTP UTL_INADDR

=REVOKE ACCESS =REVOKE ACCESS =REVOKE ACCESS

Nota: Directorios de acceso a la UTL _FILE paquete debe ser creado utilizando el comando CREATE DIRECTORY Por ejemplo los siguientes comandos para crear dos directorios y

Estado: Versin 1.0

Pgina: 18 de 44

DBMS_JAVA DBMS_RANDOM DBMS_SQL DBMS_SYS_SQL DBMS_BACKUP_RE STORE ALL_USERS Grant <permiso> on <objeto> to public;

=REVOKE ACCESS =REVOKE ACCESS =REVOKE ACCESS =REVOKE ACCESS =REVOKE ACCESS =REVOKE ACCESS Revocar los siguientes permisos: select, delete, update, y all referentes a privilegios del usuario public Revocar los siguientes permisos: create user, create type, etc al usuario public. Revocar roles asignados al pseudo usuario PUBLIC. No se deben otorgar permisos del sistema (CREATE, DROP, ALTER, EXECUTE

autorizar DBA grupo y el usuario para acceder a APPUSER SQL> CREATE DIRECTORY log_dir AS '/appl/gl/log'; SQL> GRANT READ ON DIRECTORY log_dir TO DBA; SQL> GRANT WRITE ON DIRECTORY log_dir TO DBA; SQL> CREATE DIRECTORY out_dir AS '/appl/gl/appuser''; SQL> GRANT READ ON DIRECTORY user_dir TO appuser; SQL> GRANT WRITE ON DIRECTORY user_dir TO appuser;

SQL> REVOKE SELECT ON all_users FROM PUBLIC Revisar la vista DBA_TAB_PRIVS para encontrar los objetos con permisos otorgados a PUBLIC y revocarlos con: REVOKE <permiso> ON <objeto> FROM PUBLIC; Revisar la vista DBA_SYS_PRIVS para encontrar los privilegios de Nivel del Sistema otorgados a PUBLIC, y revocarlos con REVOKE <permiso> FROM PUBLIC; Revisar la vista DBA_ROLE_PRIVS para identificar roles asignados a PUBLIC y revocarlos con; REVOKE <rol> from PUBLIC; Revocar los permisos asignados con esta opcin. REVOKE <permiso> ANY <objeto> FROM <usuario>;
Restringir el uso de privilegios que afectan la integridad de la base de datos. ALTA

Grant <privilegio_sistema> to public; Grant <rol> to public;

Restringir el uso de privilegios que afectan la integridad de la base de datos

ALTA

Restringir el uso de privilegios que afectan la integridad de la base de datos Restringir el uso de privilegios que afectan la integridad de la base de datos

ALTA

ANY

ALTA

ASEGURAR LA RED Asegurar el Cliente de Conexin a la Red

INIT.ora REMOTE_LISTENER = network_name OS_AUTHENT_PREFIX= "" Nombre de usuario: SYS Contrasea: Introduzca la contrasea. Conectar como: SYSDBA SQL> ALTER SYSTEM SET parameter_name = valor (Pulse Enter) Especificar el nombre de la red
ALTA

Especifica un prefijo que la base de datos Oracle utiliza para autenticar a los usuarios que intentan conectarse

ALTA

Estado: Versin 1.0

Pgina: 19 de 44

a la base de datos.

SSL_CLIENT_AUTHENTICATION TRUE

= /u01/app/oracle/product/ para Oracle 10g; /network/ admin/ sqlnet.ora para Oracle 11g Nota: Cuando configure SSL_SERVER_DN_MATCH en el sqlnet.ora, configurar el tnsnames.ora el parmetro SSL_SERVER_CERT_DN Especifica que autenticado con Leyer (SSL) un cliente es Secure Sockets
ALTA

SQLNET.ora

OSS.SOURCE.MY_WALLET = (SOURCE = (SHAPE = File) (METHOD_DATA = (= DIRECTORY = <wallet_location>))) SSL_CIPHER_SUITES= SSL_RSA_WITH_RC4_128_SHA)

Define el mtodo para recuperar y almacenar las credenciales para este cliente Utilice el parmetro SSL_CIPHER_SUITES para controlar lo que la combinacin de cifrado y la integridad de los datos sean utilizadas por el SSL. Use SSL_VERSION el parmetro a la fuerza la versin de la conexin SSL.

ALTA

ALTA

SSL_VERSION= 0 SSL_SERVER_DN_MATCH = YES

ALTA ALTA

TNSNAMES.ora

<addressname> = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(Host = <hostname>)(Port = <PORT>))), (CONNECT_DATA = (SERVICE_NAME = <sid>) ), ), SSL_CLIENT_AUTHENTICATION FALSE =

Establecer este archivo de configuracin bsica para permitir la conexin del cliente con la Base de Datos Oracle

ALTA

LISTENER.ora OSS.SOURCE.MY_WALLET = (SOURCE = (SHAPE = File) (METHOD_DATA = (DIRECTORY = <wallet_location>)))

/u01/app/oracle/product/ para 10; /network/ admin/ listener.ora para 11 Nota: Conexin a la Base de Datos: CONNECT / @ dnet_service_name

Especifica que un cliente es autenticado con Secure Sockets Leyer (SSL)

ALTA

Define el mtodo para recuperar y almacenar las credenciales para este cliente

ALTA

Estado: Versin 1.0

Pgina: 20 de 44

SSL_CIPHER_SUITES= (SSL_RSA_WITH_RC4_128_SHA)

Utilice el parmetro SSL_CIPHER_SUITES para controlar lo que la combinacin de cifrado y la integridad de los datos sean utilizadas por el SSL. Use SSL_VERSION el parmetro a la fuerza la versin de la conexin SSL.

ALTA

SSL_VERSION= 0

ALTA

Garantizar la Conexin de Red - Encriptacin

SQLNET.CRYPTO_SEED = "10-70 random characters" / u01/app/oracle/product/ 10 o 11 /network/ admin/ sqlnet.ora SQL>tcp.exluded_nones = (lista de direcciones IP tcp.invited_nodes) = (lista de direcciones IP) Use un firewall. Debidamente colocado y configurado el firewall puede impedir que fuera el acceso a su intranet: Mantener el servidor de base de datos detrs de un firewall Asegrese de que el firewall se coloca fuera de la red para ser protegida. firewall para aceptar slo los protocolos, aplicaciones o cliente / servidor de fuentes que usted sabe son seguros. Utilice un producto, tales como Oracle Connection Manager para mltiplex de Especifica los caracteres utilizados en la generacin de claves criptogrficas. Esto es necesario cada vez que el cifrado o checksumming est encendido. Los algoritmos se definen en el archivo sqlnet.ora, los algoritmos instalados se utilizan con el fin de negociar una solucin mutuamente aceptable con el otro extremo de la conexin. Los algoritmos se definen en el archivo sqlnet.ora, los algoritmos instalados se utilizan con el fin de negociar una solucin mutuamente aceptable con el otro extremo de la conexin. Este parmetro especifica el comportamiento deseado cuando este cliente (o este servidor que acta como cliente) se conecta a un servidor. Este parmetro especifica el comportamiento deseado cuando un cliente o un servidor que acta como un cliente se conectan a este servidor Este parmetro especifica la integridad de los datos deseados comportamiento cuando un cliente (o otro servidor que acta como cliente) se conecta a este servidor
ALTA

SQLNET.ENCRYPTION_TYPES_CLIENT = SHA- 1 SQLNET.ora

ALTA

SQLNET.ENCRYPTION_TYPES_SERVER = SHA- 1

ALTA

SQLNET.ENCRYPTION_CLIENT= REQUEST

ALTA

SQLNET.ENCRYPTION_SERVER= REQUEST

ALTA

SQLNET.CRYPTO_CHECKSUM_SERVER= REQUEST

ALTA

Estado: Versin 1.0

Pgina: 21 de 44

SQLNET.CRYPTO_CHECKSUM_CLIENT= EQUEST

mltiples clientes, sesiones de red a travs de una nica conexin de red a la base de datos.

Este parmetro especifica la integridad de los datos deseados cuando el comportamiento de este cliente (o este servidor que acta como cliente) se conecta a un servidor. Este parmetro especifica una lista de algoritmos de cifrado que el cliente (o un servidor que acta como cliente) utiliza cuando se conecta a un servidor. Si un algoritmo que no est instalado se especifica en este lado, la conexin termina con el mensaje de error ORA12650. Este parmetro especifica una lista de algoritmos de cifrado utilizado por el servidor, en el orden del destino. Introduzca el algoritmo ms deseado en primer lugar. Si un algoritmo que no est instalado se especifica en este lado, la conexin termina con el mensaje de error ORA-12650. Determina el intervalo de tiempo para enviar un sondeo y para comprobar que est activo. Permite garantizar Oracle Advanced Security cumpla con las normas definidas en FIPS 140-1

ALTA

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT = RC4_256

ALTA

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER= RC4_256

ALTA

SQLNET.EXPIRE_TIME = 10

MEDIA

SQLNET.FIPS_140 = TRUE

ALTA

Comprobar permanentemente las direcciones IP de red para esto utilice el Oracle Net vlido para las caractersticas de control de seguridad para permitir o denegar el acceso a Oracle servidor procesos de los clientes de la red con direccin IP concreta. TCP.VALIDNODE_CHECKING = YES TCP.EXCLUDED_NODES = (lista de direcciones IP)

Restringe el acceso a un perodo de sesiones de los clientes a los destinos privilegios que permiten una acogida. Utilice el parmetro para especificar que los clientes se les niegan el acceso

ALTA

ALTA

Estado: Versin 1.0

Pgina: 22 de 44

a la base de datos. TCP.INVITED_NODES = (lista de direcciones IP) Utilice el parmetro para especificar que los clientes se les permite el acceso a la base de datos Oracle especifica si los controles de un archivo de claves y el nmero de bases de datos pueden utilizar el archivo de contraseas. LSNRCTL> remove_password / u01/app/oracle/product/ 10 o 11 /network/ admin/ listener.ora Nota: Usar SSL cuando se administre el listener , Haciendo que los TCPs de la primera entrada en la lista de direcciones de la siguiente manera: = Listener (descripcin = (ADDRESS_LIST = (= DIRECCION (PROTOCOLO = TCPs) (HOST = edpdsun1.us.oracle.com) (PORT = 8281))) Para administrar remotamente el listener. Definir el listener en el listener.ora archivo en el cliente. Por ejemplo, para el acceso remoto USER281 listener , utiliza la siguiente configuracin: user281 = (DESCRIPCIN = (= DIRECCION (PROTOCOLO = TCPs) (HOST = edpdsun1.us.oracle.com) (PORT =
Evitar el acceso al Listener.ora ALTA

REMOTE_LOGIN_PASSWORDFILE = NONE

MEDIA

Restringir el oyente a las direcciones IP configure el oyente a la direccin IP especfica. Asegrese de que la contrasea no se ha fijado en el archivo listener.ora. Remove_Password ADMIN_RESTRICTIONS_LISTENER = ON SQLNET.FIPS_140 = TRUE

ALTA

listener.ora

Restringir la administracin del Listener. El parmetro es til si el Listener no est protegido por contrasea.

ALTA

Controlar el comportamiento del listener

SAVE_CONFIG_ON_STOP_listener = TRUE

Todos los cambios realizados por el comando SET LSNRCTL se harn permanentes si el parmetro es TRUE.

MEDIA

LOGGING_listener = ON

El registro est siempre a menos que usted proporcione este parmetro.

MEDIA

Estado: Versin 1.0

Pgina: 23 de 44

8281))))

Endurecer el Sistema Operativo Anfitrin

FTP=DISABLE TFTP=DISABLE TELNET=DISABLE TCP = CLOSED UDP=CLOSED Cerrar para los puertos cada servicio que se est desactivado Para aplicar a estas recomendaciones es necesario remitirse al estndar del sistema operativo que tenga configurado para Oracle. Desactivar todos los sistemas operativos innecesarios servicios. Tanto UNIX y Windows proporcionan una variedad de servicios de sistemas operativo, la mayora de los cuales no son necesarias
ALTA

Deshabilitar algunos servicios del sistema operativo que no son necesarios para Oracle y si vulneran su seguridad.

Permisos sobre los directorios donde reside el software

755
LS-ALR> recursivels.txt $ ORACLE_HOME / bin establecidos para 0755 y todos los dems ORACLE_HOME a $ 0750 cat /etc /passwd Nota: Tener el control de los archivos que deberan ser propiedad de la cuenta Oracle. Compruebe los permisos de archivos en $ ORACLE_HOME/bin y $ ORACLE_HOME y todos deben ser propiedad de ORACLE y la pertenencia a un grupo comprobado.

Permiso de escritura

COPIAS DE SEGURIDAD
Es necesario, adems de disponer de un plan de copia y recuperacin, anticiparse a posibles problemas. Un aspecto bsico es tener mltiples copias de los archivos de redo en lnea as como de los archivos de control y del redo archivado y que estas copias residan cada una en un disco fsico diferente. Si un fallo daa una de las copias de redo en lnea, la bd puede continuar sin interrupcin. Si no se dispone de copias y se daa el redo, la bd se detiene y pueden perderse datos. Si se daa cualquier archivo de control, est o no multiplexado, la bd se detiene cuando se intenta leer o escribir en dicho archivo.

Es necesario anotar la configuracin hw y sw del servidor. Nombre, fbrica y modelo de la mquina donde reside la bd. Versin del s.o. Nmero de discos y controladoras

Estado: Versin 1.0

Pgina: 24 de 44

Capacidad de disco y espacio libre. Nombre de todos los archivos de datos. Nombre y versin del sw de gestin de almacenamiento. Nombre de la instancia (SID). Identificador de la bd (DBID). Versin y parche del servidor Oracle. Versin y parche del sw de comunicaciones. Mtodo y frecuencia de las copias as como de la recuperacin

Conjunto de Redundancia. Est integrado por los archivos necesarios para recuperar la bd: Copia del archivo de control y de todos los archivos de datos (datafiles), redo log archivado, duplicado de los redo log en lnea y del archivo de control actual y archivos de configuracin (archivo de parmetros, tnsnames.ora y listener.ora). El conjunto de redundancia debe estar en discos distintos de aquellos que contienen archivos de datos, redo en lnea y archivos de control. Tambin se aconseja mantener distintas copias del conjunto. Es aconsejable hacer copias espejo del archivo de control. Es necesario que todas las copias del archivo de control estn accesibles o caera la instancia. Hacer copias espejo de los archivos de datos si es posible para evitar la realizacin de media recovery debido a un fallo de disco. Copia en modo ARCHIVELOG. Disponer de mltiples destinos de archivado (entre ellos puede figurar la flash recovery area). Copiar la bd al completo tras su creacin o paso a modo ARCHIVELOG. Realizar copias de los tbsp con la bd abierta o cerrada. En particular de aquellos de uso intensivo deben hacerse copias frecuentes (para reducir el tiempo de recuperacin). Copiar el archivo de control cada vez que se realice un cambio estructural en la bd ( ALTER DATABASE BACKUP CONTROLFILE). Copiar los redo log archivados frecuentemente. Es conveniente realizar copias a varios soportes (cinta, disco, ...). Realizar copias de manera frecuente y regular (ms frecuencia a mayor nmero de operaciones DML). Realizar copias antes y despus de cambios en la estructura de la bd (creado/borrado de tbsp, adicin/renombrado de datafiles, adicin, renombrado o borrado de redo log en lnea). Realizar copia despus de operaciones con la opcin NOLOGGING, creacin de tablas e ndices, puesto que la bd no genera redo para dichos objetos y no podran recuperarse desde las copias existentes. Realizar copia completa despus de abrir la bd con la opcin RESETLOGS. Guardar las copias antiguas de la bd. Realizar copias lgicas de la bd, como complemento a las copias fsicas, puesto que no son sustitutivos de las mismas. Evitar la copia de redo log en lnea pues accidentalmente pueden ser restaurados y corromper la bd. La mejor forma de protegerlos es tener mltiples miembros en cada grupo, y en diferentes discos. Si la bd est en modo ARCHIVELOG, el proceso ARC guarda los redo que se han llenado. Si la bd est en modo NOARCHIVELOG, el nico tipo de copias vlido es el realizado con la bd cerrada, consistente y completo; los archivos en este tipo de copia son todos consistentes y no necesitan recuperacin ni, por

Estado: Versin 1.0

Pgina: 25 de 44

tanto, los redo en lnea.

Pueden restaurarse, por error, copias de los redo log en lnea y corromper la bd. COPIAS

Parmetros de Copia de Seguridad

LOG_ARCHIVE_START= TRUE LOG_ARCHIVE_DUMP= lugar fsico donde se almacenan los archivos Nombre de usuario: SYS Contrasea: Introduzca la contrasea. Conectar como: SYSDBA SQL> ALTER SYSTEM SET parameter_name = valor (Pulse Enter) Se indica si los logs se guardan de manera automtica o manual cuando se inicia la instancia Lugar donde se almacena los archivos Permite indicar el formato de nombre que se aplicar a los archive. Permite especificar hasta diez destinos de archivado Determina el mnimo nmero de destinos de archive que debe poder escribirse satisfactoriamente antes de reutilizar el redo log en lnea. Su valor por defecto es 1 Destino del archive Especifica la cantidad de memoria (en bytes) que Oracle. Activar este modo de trabajo para tener una recuperacin que incluya hasta la ltima transaccin de la base de datos Otra ruta de ubicacin de la copia de seguridad
MEDIA

ALTA ALTA BAJA MEDIA

INIT.ora

LOG_ARCHIVE_FORMAT = "LOG%t_%s_%r.ARC" LOG_ARCHIVE_DEST_STATE_n= Alternate LOG_ARCHIVE_MIN_SUCCEED_DEST =2

LOG_ARCHIVE_DEST_1 = 'LOCATION=// arch_dir_name' LOG_BUFFER=8Mb ARCHIVELOG=ACTIVAR

ALTA MEDIA ALTA

LOG_ARCHIVE_DEST_STATE_1 = ENABLE LOG_ARCHIVE_DEST_2 = 'LOCATION=<USE_DB_RECOVERY_FI LE_DEST>

MEDIA

Activar el modo de trabajo ARCHIVELOG

Activar este modo de trabajo para tener una recuperacin hasta la ltima transaccin de la base de datos

Subir la BD: shutdown; Arrancar la instancia y montar la BD con: startup mount BD; Teclear la siguiente orden: alter database [dbname] archivelog; Abrir la BD con: alter database [dbname] open;

Estado: Versin 1.0

Pgina: 26 de 44

Guardar todos los archivos redo log pendientes de Archivar: alter system archive log all; Recomendacin: Deben hacerse peridica y frecuentemente copias completas y coherentes de la bd (con la bd cerrada consistentemente)

Recuperacin de Backups
DB_RECOVERY_FILE_DEST_SIZE=21474836 48 ALTER SYSTEM SET DB_RECOVERY_FILE_DE ST_SIZE=2147483648 Especifica (en bytes) el lmite total de espacio para ser utilizado con objetivo la recuperacin de archivos de base de datos creada en la zona de recuperacin de flash. Especifica la ubicacin por defecto para el flash zona de recuperacin
MEDIA

INIT.ora

DB_RECOVERY_FILE_DEST = C: \ ORACLE \ RECOVERY_AREA

ALTER SYSTEM SET DB_RECOVERY_FILE_DE ST = C: \ ORACLE \ RECOVERY_AREA ALTER SYSTEM SET DB_FLASHBACK_RETEN TION_TARGET=4320

MEDIA

DB_FLASHBACK_RETENTION_TARGET=4320 (2 Dias tempo en minutos)

Hasta dnde se puede retroceder un flashback de una base de datos depende de cunto flashback de datos Oracle se ha mantenido en la zona de recuperacin de flash. Flashback Database permite retroceder la bd al completo y deshacer los efectos de cambios no deseados en la bd

MEDIA

Activar FLASHBACK DATABASE.

FLASHBACK=ON Para activarla Asegrese de que la base de datos est en modo de archivo SQL> startup MONTE EXCLUSIVO; SQL>ALTER DATABASE FLASHBACK ON Para desactivar SQL>ALTER DATABASE FLASHBACK OFF

ALTA

CONFIGURACION DE LA UTILIDAD DE ORACLE RMAN PARA BACKUP Y RECOVERY Revisar Los Ajustes de Configuracin Por Defecto

Estado: Versin 1.0

Pgina: 27 de 44

Verificar ajustes actuales de configuracin por defecto: RMAN> SHOW RETENTION POLICY; RMAN> SHOW DEFAULT DEVICE TYPE; Restaurar los ajustes de configuracin por defecto: RMAN> CONFIGURE BACKUP OPTIMIZATION CLEAR; RMAN> CONFIGURE RETENTION POLICY CLEAR; RMAN> CONFIGURE CONTROLFILE AUTOBACKUP FORMAT FOR DEVICE TYPE DISK CLEAR;

Parmetros De Configuracin
Configuracin de copia de seguridad de optimizacin Configurar una directiva de retencin: Configuracin automtica de disco y cinta canales CONFIGURE BACKUP OPTIMIZATION ON CONFIGURE RETENTION POLICY TO RECOVERY WINDOW OF 3 DAYS CONFIGURE CHANNEL DEVICE TYPE DISK FORMAT '/?/%U'; CONFIGURE CHANNEL DEVICE TYPE sbt PARMS 'ENV=(NSR_SERVER=bksrv1)'; CONFIGURE DEFAULT DEVICE TYPE TO sbt; CONFIGURE DEVICE TYPE sbt PARALLELISM 2; Configuracin automtica de canales en todos los sistemas de archivos CONFIGURE DEVICE TYPE DISK PARALLELISM 3; CONFIGURE CHANNEL 1 DEVICE TYPE DISK FORMAT '/disk1/backup/%U'; CONFIGURE CHANNEL 2 DEVICE TYPE DISK FORMAT '/disk2/backup/%U'; CONFIGURE CHANNEL 3 DEVICE TYPE DISK FORMAT '/disk3/backup/%U'; BACKUP DEVICE TYPE DISK DATABASE PLUS ARCHIVELOG;
Configurar el Paralelismo CONFIGURE DEVICE TYPE DISK PARALLELISM 2 BACKUP TYPE TO BACKUPSET CONFIGURE DATAFILE BACKUP COPIES FOR DEVICE RMAN> CONFIGURE

RMAN> CONFIGURE RMAN> CONFIGURE RMAN> CONFIGURE

RMAN> CONFIGURE

Configuracin de las copias

RMAN> CONFIGURE

Estado: Versin 1.0

Pgina: 28 de 44

de seguridad

TYPE DISK TO 3; BACKUP DEVICE TYPE DISK DATABASE FORMAT '/disk1/backup/%U', '/disk2/backup/%U', '/disk3/backup/%U'; CONFIGURE ENCRYPTION FOR DATABASE OFF CONFIGURE ENCRYPTION ALGORITHM AES128 CONFIGURE CONTROLFILE AUTOBACKUP ON; CONFIGURE CONTROLFILE AUTOBACKUP FORMAT FOR DEVICE TYPE DISK TO '?/oradata/%F'; CONFIGURE CONTROLFILE AUTOBACKUP FORMAT FOR DEVICE TYPE sbt TO 'cf_auto_%F'; RMAN> CONFIGURE RMAN> CONFIGURE RMAN> CONFIGURE

Cifrado por defecto para la base de datos Algoritmo DE Cifrado Especificando el formato predeterminado para el control del archivo Autobackup

AUDITORIA A LA ACTIVIDAD DE LA BASE DE DATOS Inicializacin de parmetros para la Auditoria

Los Siguientes Parmetros Aplican A Todas Las Versiones De Oracle AUDIT_TRAIL=DB SQL> ALTER SYSTEM SET audit_sys_operations = true scope = spfile; Recomendacin: Crear un tablespace exclusivo para los datos de la auditora - Crear el tablespace CREATE TABLESPACE audit_db DATAFILE /db1/ORACLE/test/audit1.dbf SIZE 25M; - Crear una copia de la tabla AUD$. CREATE TABLE aud_tmp TABLESPACE audit_db STORAGE (INITIAL 10M SQL> ALTER SYSTEM SET parameter_name = valor (Pulse Enter) Activa o desactiva la Auditoria, no activarla permitir que no se realicen seguimiento a las acciones sobre Oracle Especifica el directorio del sistema operativo para auditora. Activa o desactiva la auditora de las operaciones emitidas por el usuario SYS, y los usuarios que se conectan con SYSDBA o SYSOPER
ALTA

AUDIT_FILE_DEST=ORACLE_HOME / DBMS / auditoria AUDIT_SYS_OPERATIONS=TRUE

ALTA

ALTA

INIT.ora

Estado: Versin 1.0

Pgina: 29 de 44

Los Siguientes Parmetros Aplican nicamente Para la Versin 11g AUDIT_SYSLOG_LEVEL = 'facility_clause. Priority_clause'

NEXT 1M MINEXTENTS 1 MAXEXTENTS 10 PCTINCREASE 1) AS SELECT * FROM sys.aud$; - Borrar la tabla original: DROP TABLE sys.aud$; - Renombrar la copia de la tabla: RENAME audit_tmp TO aud$;

Nota: Establecer la longitud mxima de mensajes syslog en el sistema a 512 bytes.

Auditora de tipo de rdenes o comandos

AUDIT La auditora de objetos se debe habilitar a nivel de sesin para evitar Incrementar en forma exagerada el ritmo al que se generan las pistas.

AUDIT comando_a_auditar BY usuario /*Slo rdenes de un usuario*/ BY SESSION /*Una solo lnea por rdenes ejecutadas en una sesin*/ BY ACCESS /*Una lnea por cada orden auditada*/ WHENEVER SUCCESSFUL /*Slo las rdenes que han tenido xito*/ WHENEVER NOT SUCCESSFUL /*Slo rdenes fallidas*/ SQL> AUDIT SESSION; Auditora terminada con xito. SQL> AUDIT CREATE TABLE BY SESSION; Auditora terminada con xito. SQL> AUDIT TABLE WHENEVER NOT SUCCESSFUL; Auditora terminada con xito. Nota: para ampliar la informacin en relacin a al pista de auditoria remitirse al siguiente Link: http://74.125.93.104/translate_c?hl=es&langpair=e n%7Ces&u=http://download.oracle.com/docs/cd/B 28359_01/network.111/b28531/auditing.htm&prev =/translate_s%3Fhl%3Des%26q%3DLA%2BAUDI TORIA%2BEN%2BORACLE%26sl%3Des%26tl% 3Den&usg=ALkJrhiBHipB8PvcOwsv4gXumVmd6X D2_g

Auditar acciones relacionadas con las instrucciones de comando u rdenes dadas en el Oracle

ALTA

Las pistas de auditoria deben ser verificadas y revisadas diariamente as como tambin cada cinco das guardar y limpiar los registros. El tamao de la pista de auditoria no debe exceder un 2% del almacenamiento en disco.

Estado: Versin 1.0

Pgina: 30 de 44

Auditora de privilegios de sistema

AUDIT CREATE ANY INDEX

SQL> AUDIT CREATE ANY INDEX; Auditora terminada con xito. SQL> AUDIT CREATE ANY INDEX WHENEVER NOT SUCCESSFUL; Auditora terminada con xito.

Auditar acciones relacionadas con los privilegios asignados a los usuarios

ALTA

Auditora sobre los objetos

Auditar sys.aud$ Se debe auditar todos las actividades que intenta realizar un usuario sobre la tabla sys.aud$. No hay que permitir que algn usuario vea esta informacin. Rol que solo debe ser asignado al DBA, para evitar que se borre informacin de la tabla sys.aud$ por usuarios no autorizados.

AUDIT delete, select, update, insert ON sys.aud$ BY ACCESS

Auditar acciones relacionadas con los objetos establecidos en Oracle

ALTA

DELETE_CATAL OG_ROLE

REVOKE DELETE_CATALOG_ROLE from <usuarios_no_dba>;

Solo el DBA debe tener asignado este rol, para evitar que se borre informacin de la tabla sys.aud$ por usuarios no autorizados.

ALTA

1.10 GUA DE AUDITORIA PARA EL ESTNDAR Fecha Revisin (D/M/A) Nombre Auditor Firma Nombre Especialista Plataforma Firma

Parmetro / Componente

Valor requerido

Resultado

Observaciones / Comentarios / Recomendacin

Evidencia

LA BASE DE DATOS DE INSTALACIN Y CONFIGURACIN Verificacin de la configuracin de seguridad

AUDIT_TRAIL O7_DICTIONARY_ACCESSIBILITY PASSWORD_GRACE_TIME BD FALSE 1

Estado: Versin 1.0

Pgina: 31 de 44

PASSWORD_LOCK_TIME PASSWORD_LOGIN_FAILURES PASSWORD_LIFE_TIME PASSWORD_REUSE_MAX PASSWORD_REUSE_TIME REMOTE_OS_ROLES SEC_RETURN_SERVER_RELEASE_BANNER

UNLIMITED 3 30 UNLIMITED UNLIMITED FALSE FALSE

VERIFICAR QUE ESTEN SEGURAS LAS CUENTAS DE USUARIOS PREDEFINIDAS

OPEN o EXPIRED &
LOCKED

CUENTAS ADMINISTRATIVAS PREDEFINIDAS

Verifique las cuentas que hay que tener abiertas o cerradas de cuentas administrativas predefinidas en la Pg. 14 de este estndar
EXPIRED & LOCKED

CUENTAS NO ADMINISTRATIVAS PREDEFINIDAS CUENTAS DE EJEMPLO DE ESQUEMA PREDEFINIDOS SEC_CASE_SENSITIVE_LOGON SEC_MAX_FAILED_LOGIN_ATTEMPTS FAILED_LOGIN_ATTEMPTS

EXPIRED & LOCKED

TRUE 3 3

VERIFIQUE LOS PARMETROS UTILIZADOS PARA LOS PRIVILEGIOS DE SEGURIDAD

OS_ROLES

FALSE

Estado: Versin 1.0

Pgina: 32 de 44

MAX_ENABLED_ROLES REMOTE_OS_ROLES SQL92_SECURITY PASSWORD_VERIFY_FUNCTION

FALSE 30 FALSE VERIFY_FUNCTION Para ello, comprobar el valor del atributo orclpwdpolicyenable en la poltica de contraseas de entrada. Un valor de 1 indica que la contrasea est habilitada 1= Habilitado 0 = No habilitado

Verifique la poltica de contraseas si esta habilitado

VERFIQUE LOSPARAMETROS BASICOS PARA LA SEGURIDAD DE LA RED

OS_AUTHENT_PREFIX Especifica un nombre de red que resuelve a una direccin o lista de direcciones de Red de Oracle remoto oyentes (es decir, los oyentes que no se estn publicando en el mismo equipo). La direccin o lista de direcciones se especifica en el tnsnames.ora archivo u otra direccin como repositorio configurado para su sistema. FALSE FALSE

REMOTE_LISTENER

REMOTE_OS_AUTHENT REMOTE_OS_ROLES

VERIFICAR QUE ESTN ACTIVOS LOS PARMETROS UTILIZADOS PARA LA AUDITORA

AUDIT_TRAIL BD

Estado: Versin 1.0

Pgina: 33 de 44

AUDIT_FILE_DEST AUDIT_SYS_OPERATIONS

ORACLE_HOME / RDBMS / auditoria

TRUE

OTROS ASPECTOS A VERIFICAR

Buscar cualquier sistema de privilegios que se conceden privilegios de administrador Verificar Todos los privilegios asignados a las cuentas de usuarios de la Base de Datos Verifique las configuraciones de Backup y Recovery tener siempre habilitado Verificar en DBA_SYS_PRIVS el

Acceder al diccionario de datos para verificar los privilegios, role y recursos a signados a cada usuario de la Base de Datos FLASHBACK ARCHIVELOG ON Activo

Obtener informacin de Auditora Vistas sobre la tabla SYS.DBA$:

AUDIT_ACTIONS ALL_DEF_AUDIT_OPTS DBA_AUDIT_EXISTS DBA_AUDIT_OBJECT DBA_AUDIT_SESSION DBA_AUDIT_TRAIL DBA_STMT_AUDIT_OPTS USER_AUDIT_EXISTS USER_AUDIT_OBJECTS USER_AUDIT_SESSION USER_AUDIT_TRAIL USER_OBJ_AUDIT_OPTS Tabla con tipos de accin de la auditora (accin, nombre) Opciones por defecto auditora (ALT, AUD, COM, DEL, GRA, IND, INS, LOC, REN, SEL, UPD, REF, EXE) Registros de auditora del sistema (AUDIT EXISTS) Todos los objetos del sistema CONNECT y DISCONNECT Todo el sistema Opciones actuales sobre el sistema y por el usuario Reg. A. del usuario (AUDIT EXISTS) Los objetos del usuario CONNECT y DISCONNECT usuario Reg. Auditora por usuario Tablas y vistas del usuario

Estado: Versin 1.0

Pgina: 34 de 44

1.11 SITIOS DE REFERENCIA EN INTERNET En la siguiente lista encontrar algunos de los sitios de referencia que han sido consultados y que le pueden servir para referencias futuras tanto en la instalacin, configuracin, vulnerabilidades y lineamientos a seguir.

Base de Datos Oracle Gua de instalacin

http://www.sans.org/resources/policies/Password_Policy.pdf
www. Oracle.com Conceptos La pgina de Oracle.com contiene toda la informacin relacionada con todas las versiones de la herramienta y en especial el tema relacionado con los conceptos sobre Oracle www. Oracle.com Gua de Seguridad La pgina de Oracle.com contiene toda la informacin relacionada con todas las versiones de la herramienta y en especial el tema de seguridad www. Oracle.com Gua de Configuracin La pgina de Oracle.com contiene toda la informacin relacionada con todas las versiones de la herramienta y en especial el tema relacionado con la configuracin www. Oracle.com Guia de Administracin La pgina de Oracle.com contiene toda la informacin relacionada con todas las versiones de la herramienta y en especial el tema relacionado con la Administracin de Oracle Para visualizar parches de seguridad. Sitio de referencia: http://otn.oracle.com/deploy/security/alerts.html Revise peridicamente el sitio sobre seguridad Oracle Technology Network para obtener ms informacin acerca las publicaciones de seguridad por Oracle en http://www.oracle.com/technology/deploy/security/alerts.htm

Estado: Versin 1.0

Pgina: 35 de 44

Tambin revise el Mundo Oracle Servicio de Apoyo sitio, Oracle MetaLink , para ms detalles disponibles acerca de prximas y relacionadas con la seguridad en parches http://metalink.oracle.com http://metalink.oracle.com 1.12 ANEXOS A continuacin presentamos informacin asociada a la instalacin y configuracin de la Base de Datos Oracle e informacin sobre seguridad. Anexo A: LA PROTECCIN DE DATOS EN LA RED. USO DEL CIFRADO Adems de proteger mediante la encriptacin de informacin en la base de datos de nivel, hay que protegerla cuando se transmite a travs de la red. Acerca de la red de cifrado Red de encriptacin se refiere a la encriptacin de datos cuando se transmite a travs de la red entre el cliente y el servidor. La razn debe cifrar los datos a nivel de la red, y no slo la base de datos, se debe a que los datos pueden estar expuestos a la red de nivel aunque tenga cuidadosamente encriptada en la base de datos. Por ejemplo, un intruso puede utilizar un paquete de red sniffer para capturar informacin que viaja por la red y, a continuacin, spool a un archivo para uso malintencionado. Cifrar datos en la red impide que este tipo de actividad. Para cifrar los datos en la red, necesita los siguientes componentes: Una semilla de encriptacin. La encriptacin de semillas es una cadena aleatoria de hasta 256 caracteres. Genera las claves criptogrficas que ocultar los datos cuando se transmite a travs de la red. Puede especificar cualquiera de los tipos apoyado algoritmo: AES, RC4, DES o 3DES. Si la configuracin se aplica a un cliente o servidor. Har falta configurar el servidor y cada cliente al que se conecta. Cmo el cliente o servidor que procesa los datos cifrados. La configuracin que seleccione (usted tiene cuatro opciones) debe complementar tanto el servidor y el cliente. Un mecanismo para configurar el cifrado. Puede utilizar Oracle Net Manager para configurar el cifrado. Si lo prefiere, puede editar el archivo de configuracin sqlnet.ora. Tanto Oracle Net Manager y el archivo sqlnet.ora estn disponibles en una base de datos Oracle por defecto la instalacin. Configuracin de la red de cifrado Puede configurar la red mediante el uso de cifrado, ya sea Oracle Net Manager o editando el archivo sqlnet.ora. Esta gua explica cmo utilizar Oracle Net Manager para configurar la red de cifrado. Para configurar la red de cifrado:
Estado: Versin 1.0 Pgina: 36 de 44

1. En el equipo servidor, inicie Administrador de Oracle Net. o UNIX: Desde $ ORACLE_HOME / bin, introduzca la siguiente en la lnea de comandos: netmgr o Windows: En el men Inicio, haga clic en Todos los programas. A continuacin, haga clic Oracle - HOME_NAME, configuracin y herramientas de migracin y, a continuacin, Net Manager 2. Desde la configuracin de Oracle Net rbol de navegacin, ampliar Local y, a continuacin, seleccione Perfil.

3. De la lista, seleccione Oracle Advanced Security.

4. En virtud de Oracle Advanced Security, seleccione la pestaa de cifrado. El panel de configuracin de cifrado aparece.

Estado: Versin 1.0

Pgina: 37 de 44

5. Introduzca los siguientes ajustes: o Cifrado: De la lista, seleccione el servidor para configurar la red de cifrado para el servidor. (Para el equipo cliente, seleccione CLIENTE.) o Tipo de cifrado: Seleccione de los siguientes valores para especificar las acciones del servidor (o cliente) al negociar la encriptacin e integridad: Aceptamos: El servicio se activa si la otra parte de la conexin especifica ya sea requerido o solicitado, y es compatible algoritmo disponible en el otro lado; En caso contrario, se inactiva. Rechazadas: Servicio no debe ser activa, y la conexin fallar si la otra parte requiere. Solicitada: El servicio se activa si la otra parte de la conexin especifica bien aceptado, es necesario, o se solicita, y que es compatible algoritmo disponible en el otro lado; En caso contrario, se inactiva. Necesario: Este servicio debe ser activa, y la conexin fallar si la otra parte especifica rechazada, o si no hay un algoritmo compatible en el otro lado.
o

Semillas de cifrado: Introduzca una cadena aleatoria de hasta 256 caracteres. Bases de datos Oracle utiliza el cifrado de semillas para generar claves criptogrficas. Esto es necesario cuando cualquiera de cifrado o la integridad est habilitado. Si decide utilizar caracteres especiales como una coma [,] o de un derecho parntesis [)] como parte del parmetro de cifrado de Semillas, adjuntar el valor dentro de comillas simples.

Estado: Versin 1.0

Pgina: 38 de 44

Los mtodos disponibles: Seleccione una o ms de los siguientes algoritmos, y utilizar el botn de avanzar (>) para pasar a la lista de mtodos seleccionados. El orden en que aparecen en la lista de seleccionados Mtodos determina el orden para la negociacin. Es decir, el primer algoritmo de la lista se selecciona en primer lugar, y as sucesivamente. En el caso: Advanced Encryption Standard (AES). AES fue aprobado por el Instituto Nacional de Estndares y Tecnologa (NIST) para sustituir los datos Encryption Standard (DES). En el caso le permite cifrar un tamao de bloque de 256 bits. RC4_256: Rivest Cipher 4 (RC4), que es el ms comnmente usado flujo de cifrado que protege protocolos como Secure Sockets Layer (SSL). RC4_256 le permite encriptar un mximo de 256 bits de datos. AES192: Permite utilizar AES para cifrar un tamao de bloque de 192 bits. 3DES168: Triple Data Encryption Standard (TDES), con un perodo de tres opciones fundamentales. 3DES168 le permite codificar hasta 168 bits de datos. AES128: Permite utilizar AES para cifrar un tamao de bloque de 128 bits. RC4_128: Permite utilizar RC4 para cifrar hasta 128 bits de datos. 3DES112: Permite utilizar Triple DES con dos claves (112 bits) opcin. DES: Data Encryption Standard (DES) de 56 bits. Tenga en cuenta que Instituto Nacional de Estndares y Tecnologa (NIST) ya no recomienda DES. RC4_40: Permite utilizar RC4 para cifrar hasta 40 bits de datos. DES40: Permite utilizar DES para cifrar hasta 40 bits de datos.

6. En el men Archivo, seleccione Guardar configuracin de red y, a continuacin, seleccione Salir para salir de Oracle Net Manager. 7. Repita estos pasos para cada equipo cliente que se conecta al servidor. Anexo B: Informacin asociada a la creacin de perfiles y roles a cuentas de usuario: OTROS ROLES DEL SISTEMA Rol CONNECT Privilegios alter session, create session, create cluster, create table, create view, create synonym, create sequence, create database link

Estado: Versin 1.0

Pgina: 39 de 44

RESOURCE DBA

create cluster, create table, create procedure, create sequence, create trigger todos los privilegios de sistema con la opcin with admin option PRIVILEGIOS MAS COMUNES DEL SISTEMA

Privilegio Manejo de Objetos.

Capacidades

CREATE ANY INDEX CREATE [PUBLIC] SYNONYM CREATE [ANY] TABLE CREATE [ANY] VIEW ALTER ANY INDEX ALTER ANY TABLE DROP ANY INDEX DROP ANY SYNONYM DROP PUBLIC SYNONYM DROP ANY VIEW DROP ANY TABLE SELECT ANY TABLE INSERT ANY TABLE DELETE ANY TABLE ALTER SESSION CREATE SESSION Gestin de la BD

Crear cualquier ndice. Crear sinnimos [pblicos]. Crear tablas. El usuario debe tener cuota en el espacio de tablas, o ha de tener asignado el privilegio UNLIMITED TABLESPACE. Crear vistas. Alterar cualquier ndice. Alterar cualquier tabla Borrar cualquier ndice. Borrar cualquier sinnimo. Borrar sinnimos pblicos. Borrar cualquier vista. Borrar cualquier tabla. Efectuar selecciones de cualquier tabla o vista. Insertar en cualquier tabla o vista. Borrar filas de cualquier tabla o vista, y tambin truncar. Alterar los parmetros de la sesin. Conectarse a la BD.

Estado: Versin 1.0

Pgina: 40 de 44

CREATE PROFILE CREATE ROLE CREATE ROLLBACK SEGMENT CREATE TABLESPACE CREATE USER ALTER PROFILE ALTER ANY ROLE ALTER ROLLBACK SEGMENT ALTER TABLESPACE ALTER USER DROP PROFILE DROP ANY ROLE DROP ROLLBACK SEGMENT DROP TABLESPACE DROP USER ALTER DATABASE GRANT ANY PRIVILEGE GRANT ANY ROLE UNLIMITED TABLESPACE DROP PROFILE

Crear perfiles de usuario. Crear roles. Creacin de segmentos de rollback. Crear espacios de tablas. Crear usuarios. Alterar perfiles existentes. Alterar cualquier rol. Alterar segmentos de rollback. Alterar espacios de tablas. Alterar usuarios. Borrar un perfil existente. Borrar cualquier rol. Borrar un segmento de rollback existente. Borrar un espacio de tablas. Borrar un usuario. Aadir CASCADE si el usuario posee objetos. Permite una sentencia ALTER DATABASE. Otorgar cualquiera de estos privilegios. Otorgar cualquier rol a un usuario. Puede usar una cantidad de almacenamiento ilimitada. Borrar un perfil existente.

Estado: Versin 1.0

Pgina: 41 de 44

PERFILES DE USUARIO Recurso SESSIONES_PER_USER CPU_PER_SESSION CONNECT_TIME IDLE_TIME LOGICAL_READS_PER_SESSION LOGICAL_READS_PER_CALL PRIVATE_SGA COMPOSITE_LIMIT Descripcin El nmero de sesiones concurrentes que un usuario puede tener en una instancia. El tiempo de CPU, en centenas de segundos, que una sesin puede utilizar. El nmero de minutos que una sesin puede permanecer activa. El nmero de minutos que una sesin puede permanecer sin que sea utilizada de manera activa. El nmero de bloques de datos que se pueden leer en una sesin. El nmero de bloques de datos que se pueden leer en una operacin. La cantidad de espacio privado que una sesin puede reservar en la zona de SQL compartido de la SGA. El nmero de total de recursos por sesin, en unidades de servicio. Esto resulta de un clculo ponderado de CPU_PER_SESSION, CONNECT_TIME, LOGICAL_READS_PER_SESSION y PRIVATE_SGA, cuyos pesos se pueden variar con el comando ALTER RESOURCE COST.

PRIVILEGIOS SOBRE OBJETOS Privilegio SELECT INSERT UPDATE DELETE Capacidades Otorgadas Puede consultar a un objeto. Puede insertar filas en una tabla o vista. Puede especificarse las columnas donde se permite insertar dentro de la tabla o vista. Puede actualizar filas en una tabla o vista. Puede especificarse las columnas donde se permite actualizar dentro de la tabla o vista. Puede borrar filas dentro de la tabla o vista.

Estado: Versin 1.0

Pgina: 42 de 44

ALTER INDEX REFERENCES EXECUTE

Puede alterar la tabla. Puede crear ndices de una tabla. Puede crear claves ajenas que referencie a esta tabla. Puede ejecutar un procedimiento, paquete o funcin. LISTAR PRIVILEGIOS OTORGADOS

Vista DBA_ROLES

Contenidos Nombres de los roles y su estado del password.

DBA_ROLES_PRIVS Usuarios a los que han sido otorgados roles. DBA_SYS_PRIVS DBA_TAB_PRIVS DBA_COL_PRIVS Usuarios a los que han sido otorgados privilegios del sistema. Usuarios a los que han sido otorgados privilegios sobre objetos. Usuarios a los que han sido otorgados privilegios sobre columnas de tablas.

ROLE_ROLE_PRIVS Roles que han sido otorgados a otros roles. ROLE_SYS_PRIVS ROLE_TAB_PRIVS Privilegios de sistema que han sido otorgados a roles. Privilegios de tabla que han sido otorgados a roles.

Anexo C: Oracle Advanced Security Sistema de cifrado SSL Suites en edicin de Oracle Advanced Security

Suite de cifrado
SSL_RSA_WITH_3DES_EDE_CBC_SHA SSL_RSA_WITH_RC4_128_SHA SSL_RSA_WITH_RC4_128_MD5 SSL_RSA_WITH_DES_CBC_SHA SSL_DH_anon_WITH_3DES_EDE_CBC _SHA

Autenticacin
RSA RSA RSA RSA DH anon DH Anon

Cifrado
3DES EDE CBC 3DES EDE CBC RC4 128 RC4 128 RC4 128 RC4 128 DES CBC DES CBC 3DES EDE CBC 3DES EDE CBC

La integridad de los datos

SHA SHA MD5 SHA SHA

Estado: Versin 1.0

Pgina: 43 de 44

SSL_DH_anon_WITH_RC4_128_MD5 DH anon DH Anon RC4 128 RC4 128 SSL_DH_anon_WITH_DES_CBC_SHA DH anon DH Anon DES CBC DES CBC SSL_RSA_EXPORT_WITH_RC4_40_MD RSA RC4 40 RC4 40 5 SSL_RSA_EXPORT_WITH_DES40_CBC RSA DES40 CBC DES40 CBC _SHA SSL_DH_anon_EXPORT_WITH_RC4_40 DH anon DH Anon RC4 40 RC4 40 _MD5 SSL_DH_anon_EXPORT_WITH_DES40 DH anon DH Anon DES40 CBC DES40 CBC _CBC_SHA SSL de cifrado en las suites de edicin Oracle Advanced Security

MD5 SHA MD5 SHA MD5 SHA

Suite de cifrado
SSL_RSA_EXPORT_WITH_RC4_4 0_MD5 SSL_RSA_EXPORT_WITH_DES40 _CBC_SHA SSL_DH_anon_EXPORT_WITH_R C4_40_MD5 SSL_DH_anon_EXPORT_WITH_D ES40_CBC_SHA

Autenticacin
RSA RSA RC4 40 RC4 40

Cifrado

La integridad de los datos

MD5 SHA MD5 SHA

DES40 CBC DES40 CBC

DH anon DH Anon RC4 40 RC4 40 DH anon DH Anon DES40 CBC DES40 CBC

Estado: Versin 1.0

Pgina: 44 de 44