Aunque ya viene de atrás, a día de hoy siguen existiendo instalaciones todavía afectadas por la vulnerabilidad conocida como “TNS Listener Poison Attack”, según se publica en el boletín las alertas de seguridad Oracle: CVE-2012-1675.

   Así de inicio puede parecer muy complejo al profundizar sobre ello, por tratarse de mitigar amenazas, pero nada más lejos de la realidad.

   En entornos Oracle RAC con versiones 11.2.0.4 o superiores, se introduce el concepto VNCR (Valid Node Checking for Registration) tal y como se documenta en la nota Oracle Support Document: 1914282.1 (How to Enable VNCR on RAC Database to Register only Local Instances).

   De esta forma, simplemente añadiendo las líneas necesarias en el fichero de configuración listener.ora de los nodos que componen el cluster, y recargando a continuación la configuración del listener y de los SCAN listeners (sin producirse corte en el acceso) estaríamos restringiendo el registro de los servicios según nos convenga.

   En el siguiente ejemplo, se detalla la operativa necesaria en los nodos de un cluster para limitar dicho registro a sólo los dos miembros del mismo:

 

   Una vez se hacen efectivos los valores asignados a estos parámetros (VALID_NODE_CHECKING_REGISTRATION_LISTENER, VALID_NODE_CHECKING_REGISTRATION_LISTENER_SCAN* y REGISTRATION_INVITED_NODES_LISTENER_SCAN*) bases de datos remotas ya no podrán registrarse en el listener.

   Si una instancia ajena a las permitidas lo intenta, aparecerán en el log del listener errores de rechazo de la petición:

A %d blogueros les gusta esto: