deen
    Warenkorb0
    Dokumente
    HomeEventsCIS Security Benchmark und GLOBAL_NAMES
    Dokumente
    DeutschEnglish

      CIS Security Benchmark und GLOBAL_NAMES

      08.03.2024 11:00 - 08.03.2024 12:00
      Online
      Kalendertermin herunterladen

      Erfahren Sie in unserer 60-minütigen WebSession mit Christian Pfundtner alles rund um das Thema

      CIS Security Benchmark und GLOBAL_NAMES.
      Buchen Sie jetzt und sichern Sie sich einen Platz! Die Veranstaltung ist für Mitglieder der DOAG kostenfrei.

      Aktuell ist das Thema Datenbank Security sehr wichtig und dringend geworden. In den letzten 20 Jahren hat es dafür kaum Interesse gegeben. Viele Anbieter nutzen die CIS Benchmarks(tm) – beispielsweise für die Oracle Datenbank 19c – als Quelle für Ihre Checks und Empfehlungen.


      Im CIS Benchmark steht unter anderem:

      „This CIS Benchmark was created using a consensus review process comprised of a global community of subject matter experts. The process combines real world experience with data-based information to create technology specific guidance to assist users to secure their environments. Consensus participants provide perspective from a diverse set of backgrounds including consulting, software development, audit and compliance, security research, operations, government, and legal.„


      Quelle: CIS – Center for Internet Security: Oracle Datenbank 19c Benchmark Version 1.1.0, Seite 7


      Was nicht zu finden ist, ist der Hinweis, dass die Umsetzung der Empfehlungen ohne weiteres Hinterfragen dazu führen kann, dass die Applikation nicht mehr funktioniert. Schauen wir uns einmal die Empfehlung zum Instance Parameter global_names an. Die folgenden Zeilen sind vom CIS Benchmark übernommen:


      Description:

      The global_names setting requires that the name of a database link matches that of the remote database it will connect to. This setting should have a value of TRUE.


      Rationale:

      Not requiring database connections to match the domain that is being called remotely could allow unauthorized domain sources to potentially connect via brute-force tactics.


      Quelle: CIS – Center for Internet Security: Oracle Datenbank 19c Benchmark Version 1.1.0, Kapitel 2.2.3 / Seite 27


      Diese simple Änderung eines Instanz-Parameters kann Applikationen, die Datenbank-Links nutzen, funktionsunfähig machen. Abgesehen davon, ist die Begründung mehr als nur schwach. Warum soll sich ein Angreifer die Mühe machen, eine Datenbank und DB Links anzulegen, nur um brute-force Attacken auf Benutzer und Passwörter durchzuführen? Das geht doch viel einfacher und mit weniger Aufwand mit jedem beliebigen Oracle Client!


      In dieser WebSession gehen wir am Beispiel der Empfehlungen für GLOBAL_NAMES darauf ein,

      welche möglichen Auswirkungen die unreflektierte Umsetzung mit sich bringt.

      Mitwirkende

      Referent: Christian Pfundtner, DB Masters GmbH

      Christian Pfundtner
      DB Masters GmbH
      Oracle Datenbanken sind meine Welt! Je kniffliger das Problem, je komplexer die Aufgabenstellung um so lieber ist es mir.

      Weitere Informationen

      Event Format
      Web Session
      Veranstaltungsdauer
      60 Minuten

      Einwahldaten & Technische Anforderungen

      Für die Durchführung der Veranstaltung nutzen wir GoToWebinar. Bitte vergewissern Sie sich im Vorfeld der Veranstaltung, dass Ihr Rechner die technischen Anforderungen erfüllt.


      Die Einwahldaten werden Ihnen am Tag der Veranstaltung zugeschickt.

      Weitere Infos

      DOAG e.V.

      iJUG e.V.

      Service

      Kontakt

      DOAG Geschäftsstelle
      Tempelhofer Weg 64
      12347 Berlin
      Tel.: +49 30 4005 999-0
      E-Mail: info@doag.org
      IT-Support: itservice@doag.org

      © DOAG online

      cellms
      CELLMS REDAKTIONSSYSTEME – ONLINEERFOLG MIT SYSTEM
      Wir verwenden Cookies, um die einwandfreie Funktion unserer Website zu gewährleisten und unseren Datenverkehr zu analysieren. Nähere Informationen finden Sie in unserer Datenschutzerklärung
      Bitte warten