SlideShare ist ein Scribd-Unternehmen logo
1 von 24
Downloaden Sie, um offline zu lesen
Seite 1Gunther Pippèrr © 2015 http://www.pipperr.de
DER ORACLE CONNECTION MANAGER
(CMAN) ALS FIREWALL FÜR DAS
ROUTING VON DATENBANK
VERBINDUNGEN
CMAN Reloaded
SIG - Security Day
19.05.2015 - München
Seite 2Gunther Pippèrr © 2015 http://www.pipperr.de
Gunther Pippèrr - IT-Architekt - Berater
• High-Tech
• Real Estate
• Utility
• Communications
• IT System Architekt
• Technische Projektleitung
• Design und Implementierung
von Datenbank
Anwendungen
• Entwurf und Umsetzung von
IT Infrastrukturen zum
Datenmanagement
Gunther Pippèrr arbeitet seit mehr als 17 Jahre intensiv mit den
Produkten der Firma Oracle im Bereich
Datenbanken/Applikationsserver und Dokumenten-Management.
Herr Pippèrr hat sich tiefes Wissen über den Aufbau komplexer IT
Architektur aneignen können und hat dieses in der Praxis
erfolgreich umgesetzt.
Herr Pippèrr hat eine Abschluss als Dipl. Ing. Technische
Informatik (FH) an der FH Weingarten.
Industry Expertise
Background
Functional Expertise
 Datenbank Architekt für ein Projekt zur
Massendatenverarbeitung in der Telekommunikation
 Architekt und technische Projektverantwortung für ein Smart
Metering Portal für das Erfassen von Energiezählerdaten und
Asset Management
 Architekt und technische Projektverantwortung für IT
Infrastrukturprojekte, z.B.:
 Unterstützung beim Betrieb der Datenbank Umgebung
für das größte deutsche Kunden Bindungsprogramm
 Zentrale Datenhaltung für Münchner Hotelgruppe mit
über 25 Hotels weltweit,
 Messdaten Erfassung für russischen Kabelnetzbetreiber
 Redundante Cluster Datenbank Infrastrukturen für
diverse größere Web Anwendungen wie Fondplattform
und Versicherungsportale
 CRM- und Ausschreibungsportal für großen Münchner
Bauträger
 Architekt und Projektleitung , Datenbank Design und
Umsetzung für die Auftragsverwaltung mit Steuerung von
externen Mitarbeitern für den Sprachdienstleister von
deutschen Technologiekonzern
Selected Experience
Seite 3Gunther Pippèrr © 2015 http://www.pipperr.de
Agenda
1 Aufgabenstellung
2 Installation
3 Konfiguration
4 Verwendung
5 Härten – Access Rules – Verschlüsselung - SSL
Seite 4Gunther Pippèrr © 2015 http://www.pipperr.de
Die Aufgabenstellung - Ist
Administration
Office Netzwerk
Diverse getrennte Datenbank Umgebungen
Netz 1
Netz 2
Netz n
Kein direkter Zugang möglich
Admin
VM 1
Admin
VM 2
Admin
VM n
Citrix
Server
1
Citrix
Server
N
Sicherheit : Hoch
Bedienbarkeit und Akzeptanz : Gering
Zentrales Deployment : Nicht umsetzbar
Seite 5Gunther Pippèrr © 2015 http://www.pipperr.de
Ein Lösungsansatz - CMAN
Administration
Workstation mit
fester IP Adresse
Diverse getrennte Datenbank Umgebungen
Netz 1
Netz 2
Netz n
Sicherheit : Mittel
Bedienbarkeit und Akzeptanz : Hoch
Zentrales Deployment : Einfach umsetzbar
CMANSQL*Net
Symmetrische Verschlüsselung möglich
SSL leider nicht unterstützt!
Seite 6Gunther Pippèrr © 2015 http://www.pipperr.de
Funktionsübersicht Connection Manager
 „Routen“ des SQL*Net Protokolls über einen Rechner
zwischen verschiedenen Netzwerken
Netzwerk
A
Netzwerk
B
Netzwerk
C
CMANInterface eth0
Interface eth1
Interface eth2
Seite 7Gunther Pippèrr © 2015 http://www.pipperr.de
Übersicht CMAN Verbindungsaufbau
Listener
tnslsnr
Gateway
Prozess N
cmgw
Control
process
cmadmin
Gateway
Prozess N
cmgw
Gateway
Prozess N
cmgw
Gateway
Prozess
N
cmgw
1..N Gateway Prozesse
cman.
ora
Lese dazu
die KonfigurationStart des Listener
Start Gateway Prozesse
Client A
1
Target DB
2
3
Verbindung anfragen Regeln überprüfen – Verbindung zum Gateway Prozess aufbauen
Verwende Gateway
Der CMAN wird über
den cmctl gestartet,
dieses Control utilitiy startet
zuerst den Prozess cmadmin.
Dieser Prozess steuert den Listener und die
Gateway Prozesse für das SQL*Net Routing.
Seite 8Gunther Pippèrr © 2015 http://www.pipperr.de
Lizenz 11g – EE Edition Feature
 Oracle® Database Licensing Information 11g Release
2 (11.2) E47877-0
– https://docs.oracle.com/cd/E11882_01/license.112/e47877.p
df
Seite 9Gunther Pippèrr © 2015 http://www.pipperr.de
Lizenz 12c – EE Edition Feature
 Oracle Database Licensing Information 12c Release 1
(12.1)
– https://docs.oracle.com/database/121/DBLIC/editions.htm#D
BLIC116
Seite 10Gunther Pippèrr © 2015 http://www.pipperr.de
Installation – CMAN Oracle 12c – (1)
 Im Client Installations-Packet enthalten!
– Muss zusammen mit dem Oracle Listener installiert werden!
Seite 11Gunther Pippèrr © 2015 http://www.pipperr.de
Installation – CMAN Oracle 12c – (2)
 Nach der Installation DB PSU einspielen!
– opatch austauschen (Patch 6880880)
– PSU mit „ opatch apply“ einspielen
Seite 12Gunther Pippèrr © 2015 http://www.pipperr.de
Konfiguration über die cman.ora
 Datei $ORACLE_HOME/network/admin/cman.ora.
– Jeder Fehler führt zu einem: „TNS-04012: Unable to start
Oracle Connection Manager instance” !
cman_gpi =
(configuration=
(address=(protocol=tcp)(host=oradb12c01.pipperr.local)(port=1999))
(parameter_list =
(aso_authentication_filter=off)
(connection_statistics=yes)
(log_level=user)
(max_connections=256)
(idle_timeout=0)
(inbound_connect_timeout=0)
(session_timeout=0)
(outbound_connect_timeout=0)
(max_gateway_processes=16)
(min_gateway_processes=2)
(remote_admin=on)
(trace_level=off)
(trace_timestamp=off)
(trace_filelen=1000)
(trace_fileno=1)
(max_cmctl_sessions=4)
(event_group=init_and_term,memory_ops)
)
(rule_list=
(rule=
(src=*)(dst=*)(srv=*)(act=accept)
(action_list=(aut=off)(moct=0)(mct=0)(mit=0)(conn_stats=on))
)
)
)
Demo
siehe Support Node - Doc ID 733421.1
Seite 13Gunther Pippèrr © 2015 http://www.pipperr.de
SQL*Net Konfiguration – Variante A - Routen
 Im SQL*Net Connect String ist die Routing Information
enthalten
cman_gpi_db=
(DESCRIPTION =
(SOURCE_ROUTE = YES)
(ADDRESS =
(PROTOCOL = TCP)(HOST = 192.168.178.110 )(PORT = 1999)
)
(ADDRESS =
(PROTOCOL = TCP)(HOST = 10.10.10.57)(PORT = 1521)
)
(CONNECT_DATA = (SERVICE_NAME=GPI)
)
)
CMAN IP Adresse und
Port
DB Listener IP Adresse
und Port
Seite 14Gunther Pippèrr © 2015 http://www.pipperr.de
SQL*Net Konf. – Variante B - DB registriert (1)
 DB hat sich am CMAN angemeldet und CMAN kennt
über den Servicenamen die richtige DB Verbindung
– Init.ora - REMOTE_LISTENER Parameter
Alter system set REMOTE_LISTENER=192.168.178.110:1999
scope=both sid='*';
CMAN IP Adresse und
Port
Target DB CMAN
Registriert sich selbständig – Parameter REMOTE_LISTENER
Für RAC => Scan Listener IP Adressen + CMAN IP Adresse registrieren
Siehe auch Doc ID 1375897.1
Seite 15Gunther Pippèrr © 2015 http://www.pipperr.de
SQL*Net Konf. – Variante B - DB registriert (2)
 Im SQL*Net Connect String steht nur der Connection
Manager
gpi_db =
(DESCRIPTION =
(ADDRESS =
(PROTOCOL = TCP)(HOST = 192.168.178.110 )(PORT = 1999)
)
(CONNECT_DATA = (SERVICE_NAME=GPI)
)
)
CMAN IP Adresse und
Port
Nachteil : Eindeutige Servicenamen im Unternehmen notwendig
Lösung : Nur der Service für die Administration wird pro DB mit eindeutigen Namen registriert
Seite 16Gunther Pippèrr © 2015 http://www.pipperr.de
Connection Manager härten
 Zugriffsregeln (Access Rules) einführen
– Datei $ORACLE_HOME/network/admin/cman.ora
(RULE_LIST=
(RULE=
(SRC=host)
(DST=host)
(SRV=service_name)
(ACT={accept|reject|drop})
(ACTION_LIST=AUT={on|off}
((CONN_STATS={yes|no})(MCT=time)(MIT=time)(MOCT=time)))
(RULE= ...))
Seite 17Gunther Pippèrr © 2015 http://www.pipperr.de
Problem TNS-04011: … instance not yet started.
 Der Fehler:
 Die Lösung:
– Falls Access Rules => der lokale Client muss mit dem
Connection Manager Admin Prozess kommunizieren dürfen
(rule=(src=oradb12c01.pipperr.local)
(dst=*)(srv=cmon)(act=accept)
)
Seite 18Gunther Pippèrr © 2015 http://www.pipperr.de
Regel Parameter
• See
https://docs.oracle.com/database/121/NETRF/cman.htm#NETRF337
Demo
Mit CMCTL: cman_gpi> reload
Neu laden!
Seite 19Gunther Pippèrr © 2015 http://www.pipperr.de
SQL*Net Verschlüsselung
 Symmetrische Verschlüsselung
– Ehemals Teil von ASO – Advanced Security Option
– Die native Verschlüsselung scheint nun keine ASO Option mehr zu sein
– Siehe
http://docs.oracle.com/database/121/DBLIC/editions.htm#DBLIC119
– Wird auf dem Client/Server konfiguriert – CMAN leitet das
transparent jeweils weiter!
Im Detail siehe
http://www.pipperr.de/dokuwiki/doku.php?id=dba:sql_net_security
Seite 20Gunther Pippèrr © 2015 http://www.pipperr.de
SSL unter SQL*Net verwenden (1)
 SQL*Net über SSL
– Wird nicht vom
CMAN unterstützt!
– Etwas mehr
Rechenleistung (und
damit etwas weniger
Performance)
notwendig
– In allen Editionen
ohne weitere Lizenz
enthalten
Vorteil: Zertifikat identifiziert die
Clients bei Bedarf Abbildung aus http://docs.oracle.com/cd/B10501_01/network.920/a96573/asossl.htm
Seite 21Gunther Pippèrr © 2015 http://www.pipperr.de
SSL unter SQL*Net verwenden (2)
 Ablauf
– Wallet muss auf Client und dem Server Listener eingerichtet
werden
– Zertifikate werden dann in die jeweiligen Wallets
ausgetauscht
– Sqlnet.ora und listener.ora anpassen
– In SQL*Plus überprüfen mit :
Im Detail siehe
http://www.pipperr.de/dokuwiki/doku.php?id=dba:sql_net_ssl
SELECT SYS_CONTEXT('USERENV','NETWORK_PROTOCOL') AS connect_protocol FROM dual;
CONNECT_PROTOCOL
-------------------
tcps
Seite 22Gunther Pippèrr © 2015 http://www.pipperr.de
Weitere Härtung – DB Listener einschränken
 Nur noch über den Connection Manager sind
Anmeldungen zulässig
– sqlnet.ora des Listener anpassen
TCP.VALIDNODE_CHECKING=YES
TCP.INVITED_NODES=(10.10.10.110)
CMAN IP Adresse
Vorteil: Zusätzliche Sicherung
Seite 23Gunther Pippèrr © 2015 http://www.pipperr.de
Fazit
 CMAN – Ein Baustein für die organisatorische
Trennung von Zugriffen auf Datenbanken
 Für vollständige Implementierung des Konzepts
SQL*Net Verschlüsselung mit implementieren
 SSL leider zur Zeit nicht unterstützt
Installation im Detail siehe:
http://www.pipperr.de/dokuwiki/doku.php?id=dba:sqlnet_cman_connection_manager
Seite 24Gunther Pippèrr © 2015 http://www.pipperr.de
Fragen
Der Oracle Connection Manager (CMAN)
als Firewall für das Routing von Datenbank Verbindungen

Weitere ähnliche Inhalte

Andere mochten auch

Zumba carlos lorca abril 2013
Zumba carlos lorca abril 2013Zumba carlos lorca abril 2013
Zumba carlos lorca abril 2013
web6321
 
Para las chicas de color
Para las chicas de colorPara las chicas de color
Para las chicas de color
mejiavillamil23
 
Tipos de empresa reposterkids 2
Tipos de empresa reposterkids 2Tipos de empresa reposterkids 2
Tipos de empresa reposterkids 2
paulacatalinagomez
 
B manual suseso istas 21 versión breve
B manual suseso istas 21 versión breveB manual suseso istas 21 versión breve
B manual suseso istas 21 versión breve
Jorge Bastias
 

Andere mochten auch (20)

Zumba carlos lorca abril 2013
Zumba carlos lorca abril 2013Zumba carlos lorca abril 2013
Zumba carlos lorca abril 2013
 
Azubi_Ehrung_2013
Azubi_Ehrung_2013Azubi_Ehrung_2013
Azubi_Ehrung_2013
 
Diapositiva
DiapositivaDiapositiva
Diapositiva
 
Evaluationsbericht "Digitaler Stift"
Evaluationsbericht "Digitaler Stift"Evaluationsbericht "Digitaler Stift"
Evaluationsbericht "Digitaler Stift"
 
Metodología
MetodologíaMetodología
Metodología
 
Catalogo museografico
Catalogo museograficoCatalogo museografico
Catalogo museografico
 
Para las chicas de color
Para las chicas de colorPara las chicas de color
Para las chicas de color
 
Tipos de empresa reposterkids 2
Tipos de empresa reposterkids 2Tipos de empresa reposterkids 2
Tipos de empresa reposterkids 2
 
Banking Compliance & Selbstregulierung
Banking Compliance & SelbstregulierungBanking Compliance & Selbstregulierung
Banking Compliance & Selbstregulierung
 
ROHINIE.COM:So bauen Sie sich erfolgreich ein LinkedIn-Netzwerk auf
ROHINIE.COM:So bauen Sie sich erfolgreich ein LinkedIn-Netzwerk aufROHINIE.COM:So bauen Sie sich erfolgreich ein LinkedIn-Netzwerk auf
ROHINIE.COM:So bauen Sie sich erfolgreich ein LinkedIn-Netzwerk auf
 
POTENCIARTE
POTENCIARTEPOTENCIARTE
POTENCIARTE
 
Eloy alfaro
Eloy alfaroEloy alfaro
Eloy alfaro
 
Eine neue wettkampfstruktur im kinder
Eine neue wettkampfstruktur im kinderEine neue wettkampfstruktur im kinder
Eine neue wettkampfstruktur im kinder
 
B manual suseso istas 21 versión breve
B manual suseso istas 21 versión breveB manual suseso istas 21 versión breve
B manual suseso istas 21 versión breve
 
Actividad II
Actividad IIActividad II
Actividad II
 
gold im Juni 2015 – das STAR-MAGAZIN von Netto Marken-Discount
gold im Juni 2015 – das STAR-MAGAZIN von Netto Marken-Discountgold im Juni 2015 – das STAR-MAGAZIN von Netto Marken-Discount
gold im Juni 2015 – das STAR-MAGAZIN von Netto Marken-Discount
 
Miet24.de
Miet24.deMiet24.de
Miet24.de
 
Wie ein intelligentes Konzept Mehrwerte für den Gebäudenutzer schafft
Wie ein intelligentes Konzept Mehrwerte für den Gebäudenutzer schafft Wie ein intelligentes Konzept Mehrwerte für den Gebäudenutzer schafft
Wie ein intelligentes Konzept Mehrwerte für den Gebäudenutzer schafft
 
Scratch - nociones
Scratch - nocionesScratch - nociones
Scratch - nociones
 
e f u 1st qr 2012
e f u 1st qr 2012e f u 1st qr 2012
e f u 1st qr 2012
 

Ähnlich wie Oracle connection manager_cman_doag_sig_security_mai_2015

Grundlagen puppet
Grundlagen puppetGrundlagen puppet
Grundlagen puppet
inovex GmbH
 
NetToPLCsim1.pdfKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK
NetToPLCsim1.pdfKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKNetToPLCsim1.pdfKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK
NetToPLCsim1.pdfKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK
MariemTlili4
 
NetToPLCsim-Manual-de.pdfffffjkihjuybbbb
NetToPLCsim-Manual-de.pdfffffjkihjuybbbbNetToPLCsim-Manual-de.pdfffffjkihjuybbbb
NetToPLCsim-Manual-de.pdfffffjkihjuybbbb
MariemTlili4
 

Ähnlich wie Oracle connection manager_cman_doag_sig_security_mai_2015 (20)

Monitoring von SAP mit check_sap_health
Monitoring von SAP mit check_sap_healthMonitoring von SAP mit check_sap_health
Monitoring von SAP mit check_sap_health
 
E Security
E SecurityE Security
E Security
 
System Center Configuration Manager with Azure, Intune and Application Manage...
System Center Configuration Manager with Azure, Intune and Application Manage...System Center Configuration Manager with Azure, Intune and Application Manage...
System Center Configuration Manager with Azure, Intune and Application Manage...
 
Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013
 
Introduction into Oracle Data Pump 11g/12c - Export and Import Data
Introduction into Oracle Data Pump 11g/12c - Export and Import DataIntroduction into Oracle Data Pump 11g/12c - Export and Import Data
Introduction into Oracle Data Pump 11g/12c - Export and Import Data
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMP
 
Neuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternNeuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD Mobilfunkroutern
 
Citrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingCitrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx Networking
 
Grundlagen puppet
Grundlagen puppetGrundlagen puppet
Grundlagen puppet
 
Nagios Conference 2007 | Eventverarbeitung mit Nagios by Michael Streb
Nagios Conference 2007 | Eventverarbeitung mit Nagios by Michael StrebNagios Conference 2007 | Eventverarbeitung mit Nagios by Michael Streb
Nagios Conference 2007 | Eventverarbeitung mit Nagios by Michael Streb
 
ScriptRunner - Eine Einführung
ScriptRunner - Eine EinführungScriptRunner - Eine Einführung
ScriptRunner - Eine Einführung
 
Migrate your Sametime Server to LDAP Authentication (Admincamp 2013)
Migrate your Sametime Server to LDAP Authentication (Admincamp 2013)Migrate your Sametime Server to LDAP Authentication (Admincamp 2013)
Migrate your Sametime Server to LDAP Authentication (Admincamp 2013)
 
OSDC 2010 | IT Service Management mit Open Source Software „OpenITSM“ by Juli...
OSDC 2010 | IT Service Management mit Open Source Software „OpenITSM“ by Juli...OSDC 2010 | IT Service Management mit Open Source Software „OpenITSM“ by Juli...
OSDC 2010 | IT Service Management mit Open Source Software „OpenITSM“ by Juli...
 
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
 
Webinar Präsentation Monitoring mit TKmon 2.1
Webinar Präsentation Monitoring mit TKmon 2.1Webinar Präsentation Monitoring mit TKmon 2.1
Webinar Präsentation Monitoring mit TKmon 2.1
 
NetToPLCsim1.pdfKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK
NetToPLCsim1.pdfKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKNetToPLCsim1.pdfKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK
NetToPLCsim1.pdfKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK
 
NetToPLCsim-Manual-de.pdfffffjkihjuybbbb
NetToPLCsim-Manual-de.pdfffffjkihjuybbbbNetToPLCsim-Manual-de.pdfffffjkihjuybbbb
NetToPLCsim-Manual-de.pdfffffjkihjuybbbb
 
The Best Things in Life Are Free – Wie Sie Ihre IBM ConnecEons Umgebung koste...
The Best Things in Life Are Free – Wie Sie Ihre IBM ConnecEons Umgebung koste...The Best Things in Life Are Free – Wie Sie Ihre IBM ConnecEons Umgebung koste...
The Best Things in Life Are Free – Wie Sie Ihre IBM ConnecEons Umgebung koste...
 
Domino HTTP Security - Neuerungen
Domino HTTP Security - NeuerungenDomino HTTP Security - Neuerungen
Domino HTTP Security - Neuerungen
 
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
 

Mehr von Gunther Pippèrr

Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014
Gunther Pippèrr
 

Mehr von Gunther Pippèrr (11)

DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren
DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysierenDBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren
DBSAT – Die Oracle DATENBANK bzgl. PII Daten analysieren
 
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankÜber Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
 
Archiving Oracle Primavera project plans with software development tools
Archiving Oracle Primavera project plans with software development toolsArchiving Oracle Primavera project plans with software development tools
Archiving Oracle Primavera project plans with software development tools
 
Ldap sqlnet
Ldap sqlnetLdap sqlnet
Ldap sqlnet
 
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperrOracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
Oracle oem 12c_plugin_development-doag-konferenz_11_2014_print_gunther_pipperr
 
01 sqlplus
01 sqlplus01 sqlplus
01 sqlplus
 
Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerter
 
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02
Doag 2104 manuskript_hadoop_oracle_integration_gunther_pipperr_v02
 
Oracle hadoop doag-big-data_09_2014_gpi
Oracle hadoop doag-big-data_09_2014_gpiOracle hadoop doag-big-data_09_2014_gpi
Oracle hadoop doag-big-data_09_2014_gpi
 
Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014Oracle no sql-doag-datenbank_konferenz_juni_2014
Oracle no sql-doag-datenbank_konferenz_juni_2014
 
Oracle nosql twjug-oktober-2014_taiwan_print_v01
Oracle nosql twjug-oktober-2014_taiwan_print_v01Oracle nosql twjug-oktober-2014_taiwan_print_v01
Oracle nosql twjug-oktober-2014_taiwan_print_v01
 

Oracle connection manager_cman_doag_sig_security_mai_2015

  • 1. Seite 1Gunther Pippèrr © 2015 http://www.pipperr.de DER ORACLE CONNECTION MANAGER (CMAN) ALS FIREWALL FÜR DAS ROUTING VON DATENBANK VERBINDUNGEN CMAN Reloaded SIG - Security Day 19.05.2015 - München
  • 2. Seite 2Gunther Pippèrr © 2015 http://www.pipperr.de Gunther Pippèrr - IT-Architekt - Berater • High-Tech • Real Estate • Utility • Communications • IT System Architekt • Technische Projektleitung • Design und Implementierung von Datenbank Anwendungen • Entwurf und Umsetzung von IT Infrastrukturen zum Datenmanagement Gunther Pippèrr arbeitet seit mehr als 17 Jahre intensiv mit den Produkten der Firma Oracle im Bereich Datenbanken/Applikationsserver und Dokumenten-Management. Herr Pippèrr hat sich tiefes Wissen über den Aufbau komplexer IT Architektur aneignen können und hat dieses in der Praxis erfolgreich umgesetzt. Herr Pippèrr hat eine Abschluss als Dipl. Ing. Technische Informatik (FH) an der FH Weingarten. Industry Expertise Background Functional Expertise  Datenbank Architekt für ein Projekt zur Massendatenverarbeitung in der Telekommunikation  Architekt und technische Projektverantwortung für ein Smart Metering Portal für das Erfassen von Energiezählerdaten und Asset Management  Architekt und technische Projektverantwortung für IT Infrastrukturprojekte, z.B.:  Unterstützung beim Betrieb der Datenbank Umgebung für das größte deutsche Kunden Bindungsprogramm  Zentrale Datenhaltung für Münchner Hotelgruppe mit über 25 Hotels weltweit,  Messdaten Erfassung für russischen Kabelnetzbetreiber  Redundante Cluster Datenbank Infrastrukturen für diverse größere Web Anwendungen wie Fondplattform und Versicherungsportale  CRM- und Ausschreibungsportal für großen Münchner Bauträger  Architekt und Projektleitung , Datenbank Design und Umsetzung für die Auftragsverwaltung mit Steuerung von externen Mitarbeitern für den Sprachdienstleister von deutschen Technologiekonzern Selected Experience
  • 3. Seite 3Gunther Pippèrr © 2015 http://www.pipperr.de Agenda 1 Aufgabenstellung 2 Installation 3 Konfiguration 4 Verwendung 5 Härten – Access Rules – Verschlüsselung - SSL
  • 4. Seite 4Gunther Pippèrr © 2015 http://www.pipperr.de Die Aufgabenstellung - Ist Administration Office Netzwerk Diverse getrennte Datenbank Umgebungen Netz 1 Netz 2 Netz n Kein direkter Zugang möglich Admin VM 1 Admin VM 2 Admin VM n Citrix Server 1 Citrix Server N Sicherheit : Hoch Bedienbarkeit und Akzeptanz : Gering Zentrales Deployment : Nicht umsetzbar
  • 5. Seite 5Gunther Pippèrr © 2015 http://www.pipperr.de Ein Lösungsansatz - CMAN Administration Workstation mit fester IP Adresse Diverse getrennte Datenbank Umgebungen Netz 1 Netz 2 Netz n Sicherheit : Mittel Bedienbarkeit und Akzeptanz : Hoch Zentrales Deployment : Einfach umsetzbar CMANSQL*Net Symmetrische Verschlüsselung möglich SSL leider nicht unterstützt!
  • 6. Seite 6Gunther Pippèrr © 2015 http://www.pipperr.de Funktionsübersicht Connection Manager  „Routen“ des SQL*Net Protokolls über einen Rechner zwischen verschiedenen Netzwerken Netzwerk A Netzwerk B Netzwerk C CMANInterface eth0 Interface eth1 Interface eth2
  • 7. Seite 7Gunther Pippèrr © 2015 http://www.pipperr.de Übersicht CMAN Verbindungsaufbau Listener tnslsnr Gateway Prozess N cmgw Control process cmadmin Gateway Prozess N cmgw Gateway Prozess N cmgw Gateway Prozess N cmgw 1..N Gateway Prozesse cman. ora Lese dazu die KonfigurationStart des Listener Start Gateway Prozesse Client A 1 Target DB 2 3 Verbindung anfragen Regeln überprüfen – Verbindung zum Gateway Prozess aufbauen Verwende Gateway Der CMAN wird über den cmctl gestartet, dieses Control utilitiy startet zuerst den Prozess cmadmin. Dieser Prozess steuert den Listener und die Gateway Prozesse für das SQL*Net Routing.
  • 8. Seite 8Gunther Pippèrr © 2015 http://www.pipperr.de Lizenz 11g – EE Edition Feature  Oracle® Database Licensing Information 11g Release 2 (11.2) E47877-0 – https://docs.oracle.com/cd/E11882_01/license.112/e47877.p df
  • 9. Seite 9Gunther Pippèrr © 2015 http://www.pipperr.de Lizenz 12c – EE Edition Feature  Oracle Database Licensing Information 12c Release 1 (12.1) – https://docs.oracle.com/database/121/DBLIC/editions.htm#D BLIC116
  • 10. Seite 10Gunther Pippèrr © 2015 http://www.pipperr.de Installation – CMAN Oracle 12c – (1)  Im Client Installations-Packet enthalten! – Muss zusammen mit dem Oracle Listener installiert werden!
  • 11. Seite 11Gunther Pippèrr © 2015 http://www.pipperr.de Installation – CMAN Oracle 12c – (2)  Nach der Installation DB PSU einspielen! – opatch austauschen (Patch 6880880) – PSU mit „ opatch apply“ einspielen
  • 12. Seite 12Gunther Pippèrr © 2015 http://www.pipperr.de Konfiguration über die cman.ora  Datei $ORACLE_HOME/network/admin/cman.ora. – Jeder Fehler führt zu einem: „TNS-04012: Unable to start Oracle Connection Manager instance” ! cman_gpi = (configuration= (address=(protocol=tcp)(host=oradb12c01.pipperr.local)(port=1999)) (parameter_list = (aso_authentication_filter=off) (connection_statistics=yes) (log_level=user) (max_connections=256) (idle_timeout=0) (inbound_connect_timeout=0) (session_timeout=0) (outbound_connect_timeout=0) (max_gateway_processes=16) (min_gateway_processes=2) (remote_admin=on) (trace_level=off) (trace_timestamp=off) (trace_filelen=1000) (trace_fileno=1) (max_cmctl_sessions=4) (event_group=init_and_term,memory_ops) ) (rule_list= (rule= (src=*)(dst=*)(srv=*)(act=accept) (action_list=(aut=off)(moct=0)(mct=0)(mit=0)(conn_stats=on)) ) ) ) Demo siehe Support Node - Doc ID 733421.1
  • 13. Seite 13Gunther Pippèrr © 2015 http://www.pipperr.de SQL*Net Konfiguration – Variante A - Routen  Im SQL*Net Connect String ist die Routing Information enthalten cman_gpi_db= (DESCRIPTION = (SOURCE_ROUTE = YES) (ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.178.110 )(PORT = 1999) ) (ADDRESS = (PROTOCOL = TCP)(HOST = 10.10.10.57)(PORT = 1521) ) (CONNECT_DATA = (SERVICE_NAME=GPI) ) ) CMAN IP Adresse und Port DB Listener IP Adresse und Port
  • 14. Seite 14Gunther Pippèrr © 2015 http://www.pipperr.de SQL*Net Konf. – Variante B - DB registriert (1)  DB hat sich am CMAN angemeldet und CMAN kennt über den Servicenamen die richtige DB Verbindung – Init.ora - REMOTE_LISTENER Parameter Alter system set REMOTE_LISTENER=192.168.178.110:1999 scope=both sid='*'; CMAN IP Adresse und Port Target DB CMAN Registriert sich selbständig – Parameter REMOTE_LISTENER Für RAC => Scan Listener IP Adressen + CMAN IP Adresse registrieren Siehe auch Doc ID 1375897.1
  • 15. Seite 15Gunther Pippèrr © 2015 http://www.pipperr.de SQL*Net Konf. – Variante B - DB registriert (2)  Im SQL*Net Connect String steht nur der Connection Manager gpi_db = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.178.110 )(PORT = 1999) ) (CONNECT_DATA = (SERVICE_NAME=GPI) ) ) CMAN IP Adresse und Port Nachteil : Eindeutige Servicenamen im Unternehmen notwendig Lösung : Nur der Service für die Administration wird pro DB mit eindeutigen Namen registriert
  • 16. Seite 16Gunther Pippèrr © 2015 http://www.pipperr.de Connection Manager härten  Zugriffsregeln (Access Rules) einführen – Datei $ORACLE_HOME/network/admin/cman.ora (RULE_LIST= (RULE= (SRC=host) (DST=host) (SRV=service_name) (ACT={accept|reject|drop}) (ACTION_LIST=AUT={on|off} ((CONN_STATS={yes|no})(MCT=time)(MIT=time)(MOCT=time))) (RULE= ...))
  • 17. Seite 17Gunther Pippèrr © 2015 http://www.pipperr.de Problem TNS-04011: … instance not yet started.  Der Fehler:  Die Lösung: – Falls Access Rules => der lokale Client muss mit dem Connection Manager Admin Prozess kommunizieren dürfen (rule=(src=oradb12c01.pipperr.local) (dst=*)(srv=cmon)(act=accept) )
  • 18. Seite 18Gunther Pippèrr © 2015 http://www.pipperr.de Regel Parameter • See https://docs.oracle.com/database/121/NETRF/cman.htm#NETRF337 Demo Mit CMCTL: cman_gpi> reload Neu laden!
  • 19. Seite 19Gunther Pippèrr © 2015 http://www.pipperr.de SQL*Net Verschlüsselung  Symmetrische Verschlüsselung – Ehemals Teil von ASO – Advanced Security Option – Die native Verschlüsselung scheint nun keine ASO Option mehr zu sein – Siehe http://docs.oracle.com/database/121/DBLIC/editions.htm#DBLIC119 – Wird auf dem Client/Server konfiguriert – CMAN leitet das transparent jeweils weiter! Im Detail siehe http://www.pipperr.de/dokuwiki/doku.php?id=dba:sql_net_security
  • 20. Seite 20Gunther Pippèrr © 2015 http://www.pipperr.de SSL unter SQL*Net verwenden (1)  SQL*Net über SSL – Wird nicht vom CMAN unterstützt! – Etwas mehr Rechenleistung (und damit etwas weniger Performance) notwendig – In allen Editionen ohne weitere Lizenz enthalten Vorteil: Zertifikat identifiziert die Clients bei Bedarf Abbildung aus http://docs.oracle.com/cd/B10501_01/network.920/a96573/asossl.htm
  • 21. Seite 21Gunther Pippèrr © 2015 http://www.pipperr.de SSL unter SQL*Net verwenden (2)  Ablauf – Wallet muss auf Client und dem Server Listener eingerichtet werden – Zertifikate werden dann in die jeweiligen Wallets ausgetauscht – Sqlnet.ora und listener.ora anpassen – In SQL*Plus überprüfen mit : Im Detail siehe http://www.pipperr.de/dokuwiki/doku.php?id=dba:sql_net_ssl SELECT SYS_CONTEXT('USERENV','NETWORK_PROTOCOL') AS connect_protocol FROM dual; CONNECT_PROTOCOL ------------------- tcps
  • 22. Seite 22Gunther Pippèrr © 2015 http://www.pipperr.de Weitere Härtung – DB Listener einschränken  Nur noch über den Connection Manager sind Anmeldungen zulässig – sqlnet.ora des Listener anpassen TCP.VALIDNODE_CHECKING=YES TCP.INVITED_NODES=(10.10.10.110) CMAN IP Adresse Vorteil: Zusätzliche Sicherung
  • 23. Seite 23Gunther Pippèrr © 2015 http://www.pipperr.de Fazit  CMAN – Ein Baustein für die organisatorische Trennung von Zugriffen auf Datenbanken  Für vollständige Implementierung des Konzepts SQL*Net Verschlüsselung mit implementieren  SSL leider zur Zeit nicht unterstützt Installation im Detail siehe: http://www.pipperr.de/dokuwiki/doku.php?id=dba:sqlnet_cman_connection_manager
  • 24. Seite 24Gunther Pippèrr © 2015 http://www.pipperr.de Fragen Der Oracle Connection Manager (CMAN) als Firewall für das Routing von Datenbank Verbindungen