Newsletter 01/2018

Liebe Leser und Abonnenten,

die Feiertage sind vorüber und die freien Tage haben uns hoffentlich fit gemacht für die Herausforderungen des Jahres 2018.

Wir vertrauen darauf, dass Sie gut im neuen Jahr angekommen sind und wünschen Ihnen hiermit:
Ein erfolgreiches und glückliches neues Jahr!

Für unsere Kunden und Partner haben wir, wie in den vergangenen Jahren auch, auf Weihnachtspräsente verzichtet und das Geld einem guten Zweck zugeführt. Wir unterstützen mit einer Geldspende in der Weihnachtszeit seit Jahren die Stiftung "Zwerg Nase" (Verein zur Förderung von Familien mit behinderten und chronisch kranken Kindern) sowie die Eduard-Flanagan-Schule in Babenhausen bei der Bereitstellung eines gesunden Schulfrühstückes.

So wie zum Jahreswechsel Silvesterraketen und Böller ein allgemeines Sicherheitsthema sind, ist auch die „IT-Security“ ein immens wichtiges Thema für alle Unternehmen. Die Bedeutung wird auch in 2018 stetig zunehmen, dies ergab eine Umfrage zu diesem Thema. Für 86% der befragten Unternehmen ist die IT-Security wichtig oder sogar sehr wichtig. Einen nicht unwesentlichen Anteil daran dürfte hier die „Europäische Datenschutzgrundverordnung (DS-GVO)“ haben, die nach einer 2-jährigen Übergangsphase am 22. Mai 2018 wirksam wird.

Als Top 5 Herausforderungen im IT-Security Umfeld werden die Themen Digitalisierung / IoT, Cloud, externe und interne Angriffe, die Awareness für Sicherheit und Regularien sowie Datenschutz & Compliance gesehen. Die hohen Kosten für diese Themen sehen allerdings über 70% der Unternehmen als das größte Hindernis an, um die Implementierung zeitnah und vollständig umzusetzen.

Auch wir widmen uns gleich zum Jahresbeginn diesem wichtigen Thema der IT-Security. Wobei IT-Security nicht nur ein reines IT-Thema sondern auch insbesondere ein CEO Thema (vor allem im Bezug die Awareness für Sicherheit) sein sollte. Die Awareness für Sicherheit wird oft unterschätzt. Meistens erfolgt erst bei größeren eingetretenen Schäden / Angriffen im Unternehmen oder in der Branche eine ernsthafte Beschäftigung mit diesem wichtigen Thema.

Wie sagt man oft „Das Problem sitzt vor dem Bildschirm“. Zu diesem Aspekt hat sich unser Professional Andreas Hoffmann mit seinem Beitrag „Wie sicher sind eigentlich unsere Passwörter?“ gewidmet. Zu den unterschiedlichsten Verfahren, wie leicht man die gängigen Passwörter knacken kann, wird sehr anschaulich dargestellt, wie man denn gut merkbare aber auch schwer knackbare Passwörter generieren kann. Passend zum Thema „Knacken“ berichtet unser Professional Uwe Blenz vom Kongress des „Chaos Computer Clubs“ der zum Jahreswechsel in Leipzig mit dem Motto „TUWAT“ 15.000 Besucher begrüssen konnte.

Für die IT-Techniker unter uns erläutert unser Professional Michael Künzner wie man sicher Oracle*Net Verbindungen via SSH Tunnel auf Linux Systemen richtig aufsetzt.

Zu guter Letzt gibt es dann noch einen Erfahrungsbericht der DOAG Jahreskonferenz unseres Portfolio Managers Sven Bosinger. Neben Cloud und der neuesten Oracle Version 18c (nach 12 kommt eben nicht immer zwangsläufig die 13) war Amazons Alexa ein weiteres, vielbeachtetes Thema auf der Jahreskonferenz. Darüber wurde nicht nur diskutiert, sondern es wurde auch praktisch dargestellt, wie Alexa in Datenbank Applikationen, und somit für Unternehmen sinnvoll, integriert und genutzt werden kann.

Auch für its-people wird 2018 sicherlich ein Jahr großer Veränderungen werden. Über unsere strategische Weiterentwicklung werden wir mit den nächsten News, in einem modifizierten Format, berichten. Mehr dazu folgt…

Und nun wie immer:

Viel Spass beim Lesen und: Achten sie auf ihre Sicherheit!

Ihr

Frank Sommerer
Geschäftsführer its-people GmbH

Aktuelles

DOAG Konferenz 2017 – Welche Themen haben dominiert?

Autor: Sven Bosinger, Portfolio Manager Analytics its-people GmbH

Die DOAG 2017 vom 21.-23. November in Nürnberg hat wieder eine Menge Wissen in rund 450 informativen Fachvorträgen nationaler und internationaler Referenten vermittelt.

Doch was war dabei herausragend? Für mich persönlich gab es dabei drei Themen, die die diesjährige Konferenz erheblich dominiert haben:

Cloud:

Nach wie vor ist die Cloud das bestimmende Thema der internationalen und mittlerweile auch der nationalen IT-Gemeinde. Viele Unternehmen beschreiten den Weg in die Cloud und haben in zahlreichen Präsentationen von ihren Erfahrungen berichtet. Auch wenn es Stolpersteine auf diesem Weg gibt, so kann man festhalten: Die Cloud ist in Deutschland angekommen!

Auch Oracle als Hersteller hat sich der Cloud verschrieben. So wurden zum Beispiel viele Neuerungen und Ankündigungen vorgestellt. Bemerkenswert dabei ist, dass es immer mehr Produkte und Funktionalitäten gibt, die ausschließlich in der Oracle-Cloud verfügbar sein werden.

Oracle 18c:

Oracle stellt sein Release-Konzept komplett um. Beginnend mit der Oracle Datenbank, werden demnächst Oracle-Produkte in einem jährlichen Zyklus erneuert. Dies schlägt sich auch im Namen nieder. Das nächste Datenbank-Release ist die 18c. Die Releases werden von ihrem Umfang her kleiner, aber dafür häufiger. Dies hat zwei entscheidende Vorteile:

  1. Neuerungen kommen schneller zum Kunden,

  2. Der Umfang der von Oracle zu testenden Features wird geringer, so dass eine höhere Softwarequalität erwartet werden kann.

Alexa:

  • In einigen sehr spannenden Vorträgen wurde die Alexa-Technologie von Amazon im Zusammenspiel mit Oracle-Produkten, insbesondere der Datenbank vorgestellt. So wurde gezeigt, wie Datenbankinhalte über Alexa ausgegeben werden können. Hiermit wird eine höchst innovative Form der Interaktion zwischen Benutzer und Datenbank geschaffen. Damit lassen sich Inhalte in Ökosysteme integrieren, die früher nur sehr schwer anzubinden waren. Durch Spracherkennung und Sprachsteuerung ist es nun möglich, in einem Hands-Free Szenario Datenbankinhalte abzufragen. So z.B. am Steuer eines Fahrzeugs sich Verkehrsdaten vorlesen zu lassen, oder während einer OP auf Patientenakten zuzugreifen ohne die Hände vom OP-Besteck wegnehmen zu müssen.

Auch dieses Jahr hat die DOAG-Konferenz wieder gezeigt, welch‘ immense Innovationskraft die IT-Branche besitzt und wie viele spannende und herausragende Projekte derzeit in Angriff genommen werden.

Der Besuch hat sich wie immer gelohnt. Die nächstjährige Konferenz (20. bis 23. November 2018) ist in meinem Kalender wieder ganz fest vermerkt.

Wie sicher sind eigentlich unsere Passwörter? Teil 1

Autor: Andreas Hoffmann, Senior Professional its-people GmbH

Zugangskontrollen sind in der digitalen Geschäftswelt und natürlich auch im privaten digitalen Leben nicht mehr wegzudenken.

In der Regel besteht die Zugangskontrolle aus der Vergabe von Passwörtern, die vom Anwender eingegeben werden müssen, um Zugang zum gewünschten System zu bekommen. Die Sicherheit dieses Konzeptes wird zwar oft angezweifelt, aber erfreulicherweise erfahren auch andere Anmeldeverfahren wie Fingerabdruckscanner, Two-Factor-Authentification oder neuerdings Gesichtserkennung zunehmend Verbreitung. Alternativ zu oder in Kombination mit Passwortverfahren.

Dennoch sind reine Passwortverfahren immer noch sehr weit verbreitet. Deshalb ist es sehr sinnvoll, sich Gedanken um sichere Passwörter zu machen. Auch wenn vermutlich kein System wirklich einbruchsicher ist: die Sicherheit erhöht sich mit jeder Maßnahme, die dem Angreifer mehr Arbeit macht. Und bei der Auswahl von Passwörtern kann man den Aufwand, der zum Einbruch benötigt wird, mit relativ wenig Aufwand deutlich erhöhen.

Angriffsszenarien

Wie sieht eigentlich so ein Angriff auf Ihr Passwort aus? Ganz sicher nicht mehr so, dass sich jemand vor Ihren Rechner setzt oder Ihr System aufruft und verschiedene Passwörter der Reihe nach ausprobiert. Dagegen gibt es seit langem Mittel, die Ihnen wahrscheinlich selbst schon begegnet sind. Wenn Sie ein Passwort vergessen haben, werden nach einigen Fehlversuchen weitere Logins unterbunden. Mittels definierter Verzögerungen, gänzlicher Sperrung oder einer Kombination aus beiden.

Sehr viel wahrscheinlicher ist es heutzutage, dass aus dem Zielsystem ein größerer Datenbestand an Passwörtern entwendet wird, die dann offline ausgewertet werden können. Sind diese Passwortdaten systemseitig unverschlüsselt, dann liegen sie dem Angreifer natürlich unmittelbar offen. Glücklicherweise sind diese Systeme selten geworden. Fast jedes System verschlüsselt seine Passwortdaten heute in irgendeiner Form.

Brute Force

Der einfachste Ansatz, verschlüsselte Passwörter zu knacken besteht darin, alle denkbaren Kombinationen durchzuprobieren. Das nennt man "Brute Force", zu Deutsch "rohe Gewalt". Hier ist am einfachsten ersichtlich, wie der Zusammenhang zwischen der Länge des Passworts und dem Aufwand, es zu knacken, sich darstellt. Je länger das Passwort, desto länger dauert es, alle Kombinationen durchzutesten. Dabei ist natürlich nicht zu vergessen, dass moderne Computer Unmengen an Möglichkeiten innerhalb kürzester Zeit durchspielen können.

Der Artikel "Zusammenhang von Brute-Force-Attacken und Passwortlängen" rechnet anschaulich vor, dass ein Passwort, dass aus sieben Zeichen (ausschließlich Kleinbuchstaben) besteht, mit "dem schnellsten heute erhältlichen Einzel-PC" (Stand 10/2016) in knapp vier Sekunden zu ermitteln ist. Der Artikel zeigt aber auch, dass die Passwortkomplexität mit vergleichsweise unaufwändigen Maßnahmen (vor allem der Länge und dem Zeichenvorrat) um ein Vielfaches gesteigert werden kann.

Übrigens: Die verfügbaren Rechner werden auch immer schneller. Überschlagsweise gilt das Mooresche Gesetz immer noch, nachdem die Rechenleistung der verfügbaren Computer sich ungefähr alle 12 bis 24 Monate verdoppelt. Die Auswirkungen auf die Sicherheit kurzer Passwörter sind leicht einzusehen.

Wörterbuchangriffe

Wenn ich im letzten Absatz davon gesprochen habe, dass man den Zeichenvorrat erhöhen könnte, aus dem man seine Passwörter erzeugt, dann heißt das natürlich, dass die Mischung aus z.B. Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen nicht nur für den Angreifer schwerer zu ermitteln sind, sondern auch für den berechtigten Besitzer schwerer zu merken. Deshalb ist es nachvollziehbar, dass viele Anwender als Passwort nur ein existierendes Wort benutzen. Damit nimmt die Sicherheit des Passwortes dann allerdings auch gleich drastisch ab.

Wörterbücher und Wortlisten sind heutzutage für fast jede Sprache frei erhältlich. Dass die Zwecke (zum Beispiel Rechtschreibkorrekturprogramme) dabei völlig legitim sind, hält böse Buben natürlich nicht davon ab, sich diese Wortlisten zunutze zu machen. Wortlisten für eine ausgewählte Sprache enthalten je nach Vollständigkeit und Komplexität der Sprache zwischen 50000 und 150000 Einträge. Wie lange es dauert diese Listen durchzuarbeiten und ein Passwort zu ermitteln, dass auf einer dieser Listen steht, ist leicht ersichtlich. Das geht noch viel schneller als ein Brute Force Angriff. Da hilft es übrigens auch nichts, das Passwort leicht zu modifizieren ("passwort1", "passw0rt"). Die gängigen Modifikationen sind wohlbekannt und längst in die Routinen der Passwortknacker integriert. Dann dauert die Ermittlung eines Passwortes halt 2 Sekunden anstelle von 0,2 Sekunden.

Rainbow Tables

Ein Element, das die Passwortknacker ausbremst, ist die Qualität der Verschlüsselung. In der Regel werden Passwörter bei der Erzeugung verschlüsselt, und nur ein Fingerprint (der sogenannte Hash) wird abgelegt. Meldet sich der Benutzer nun am System an, wird aus seiner Eingabe mit derselben Funktion ein Hash erzeugt und mit dem abgelegten Hash verglichen.

Qualitätskriterien für die verwendete Funktion sind dabei, dass sie nur in einer Richtung funktioniert. Es darf keinen Weg geben, aus der verschlüsselten Variante auf das ursprüngliche Passwort zu schließen. Unterschiedliche Passwörter dürfen natürlich nicht zu demselben Hash führen und die Funktion soll für den Angreifer möglichst aufwändig nachzurechnen sein.

Eine gängige Funktion aus diesem Bereich ist das sogenannte MD5-Verfahren. Dieses Verfahren gilt zwar nicht mehr als grundsätzlich sicher, weil mittlerweile Wege gefunden wurden, mit nicht allzu großem Aufwand unterschiedliche Nachrichten (also zu bearbeitende Datenpakete) zu erzeugen, die denselben Hash liefern. Trotzdem wird MD5 noch häufig eingesetzt, zum Beispiel zur Überprüfung der Integrität von Downloads. Wenn das heruntergeladene Paket nicht denselben Hash erzeugt wie der angegebene, dann ist möglicherweise etwas faul.

Der MD5-Algorithmus ist übrigens öffentlich. Das bedeutet, dass ihn jeder Interessierte auf seine Sicherheit (und damit Einsetzbarkeit) überprüfen kann. Es bedeutet **nicht**, dass die damit verschlüsselten Passwörter deshalb leichter zu ermitteln wären.

Ein Mittel, um trotz einer guten Hashfunktion mit vertretbarem Aufwand (auch Kriminelle müssen ökonomisch handeln) Passwörter zu knacken, sind Rainbow Tables. Darin sind für die anzugreifende Hashfunktion eine Vielzahl denkbarer Passwörter und die zugehörigen Hashwerte abgespeichert. Im Prinzip ist das auch eine Art Brute Force Angriff, bei dem man einen möglichst großen Teil der Arbeit schon vorher erledigt und die Ergebnisse in einer leicht (und schnell) durchsuchbaren Liste speichert. Dieser Ansatz ermöglicht natürlich eine verteilte Berechnung der Hashes und eine Wiederverwendung der Ergebnisse bei weiteren Angriffen.

Trotzdem ist die Berechnung sehr rechenzeitintensiv und auch die Größe der entstehenden Tabellen ist noch immens, auch wenn die Inhalte möglichst kompakt und effizient durchsuchbar abgelegt werden. Wirklich effizient sind Rainbow Tables bisher nur für kurze Passwörter.

Und es gibt weitere Methoden, um die Anwendung von Rainbow Tables zu erschweren. Die Idee dabei ist, dass das Passwort vor der Verschlüsselung "verunreinigt" wird. Die Entwickler dieser Methoden hatten wohl eher kulinarische Assoziationen. Die gängigen Verfahren dafür heißen "Salt" (wobei das Passwort mit einem bekannten, aber zufälligen Wert "gewürzt" wird) und "Pepper" (hier wird ein immer gleicher, aber geheimer Wert verwendet) Das Ergebnis ist in beiden Fällen dasselbe: die Erstellung einer Rainbow Table für diese Verfahren wird erheblich aufwändiger, weil es für jedes Passwort ein Vielfaches an Variationen gibt.

Social Engineering

Social Engineering

Ein völlig anderer Ansatz, um Passwörter herauszufinden ist es, Schwächen des Benutzers auszunutzen. Da gibt es verschiedenste Möglichkeiten, die unter dem Begriff "Social Engineering" zusammengefasst werden.

Wie schon weiter oben erwähnt: der normale Anwender wünscht sich einfache Passwörter, die er sich merken kann. Und leicht zu merken sind nun mal Dinge, die eine spezielle Bedeutung haben: das eigene Geburtsdatum, der Name oder das Geburtsdatum der Lebenspartnerin oder des Lebenspartners, entsprechende Daten von Haustieren, Urlaubsziele, Begriffe, die etwas mit den eigenen Hobbies zu tun haben, mit Lieblingsbüchern, Lieblingsmusik etc.

Diese Daten und Vorlieben sind aber auch für einen Angreifer besonders leicht herauszufinden. Entweder durch Online-Recherche (leichtes Ziel in vielen Fällen: das Facebook-Konto des Opfers) oder durch persönliche Gespräche und Smalltalk, z.B. in der Mittagspause oder bei einer Zigarette auf dem Hof. Über die Themen, die einem wichtig sind, erzählt man in der Regel auch gerne.

Natürlich setzt diese Art von Angriff eine größere Nähe zwischen Opfer und Täter voraus als die zuvor beschriebenen Methoden. Das mag seltener vorkommen, aber häufig ist dafür der erhoffte Gewinn für den Angreifer größer. Und: wer eine bestimmte Person ausspäht, der möchte oft ganz bestimmte Informationen haben, die den größeren Aufwand lohnen.

Ein Sonderfall des Social Engineering, der persönliche Schwächen ausnutzt, ist übrigens der gezielt als Köder ausgelegte USB-Stick. Sieht aus wie verloren und findet sich nur zu leicht im Rechner des Finders wieder. Und egal, ob der Finder in der guten Absicht handelt, den Stick zurückzugeben oder von reiner Neugier getrieben ist: die auf dem Stick installierte Schadsoftware hat die Chance, allerlei (für den Angreifer) interessante Dinge zu tun. Vom einmaligen Versand heikler Daten bis zur dauerhaften Installation von Spähprogrammen, Keyloggern und ähnlich unangenehmen Mitbewohnern der eigenen Daten.

Der Angriff mit einem präparierten USB-Stick kann übrigens auch sehr direkt sichtbare Folgen haben. Es gibt hardwareseitig manipulierte USB-Sticks, die mit hohen Spannungen (> 240V) jeden Rechner, in den sie gesteckt werden, irreversibel und vollständig zerstören. Von Bauanleitungen bis zu fertigen Geräten ist alles zu bekommen.

Und am Ende noch ein Ausblick auf Teil 2 des Artikels (folgt demnächst):

  • Wie sehen denn nun gute Passwörter aus?

  • Praktische Beispiele

 

Hier geht es zum Teil 2

Hacker – Das sind doch die Bösen aus den Filmen, oder?

Autor: Uwe Blenz, Senior Professional its-people GmbH

„TUWAT“, unter diesem Motto stand der 34. Chaos Communication Congress (34C3). 15.000 Besucher machten Leipzig, die dortige Messe und das Congress-Centrum CCL zur Hauptstadt der Hackerszene. Aber was ist eigentlich ein Hackerkongress?

Hacker? Das sind doch die Bösen aus den Filmen, oder?

Viel besser aber beschreibt Wau Hollands Definition das Gefühl, dass man auf „dem Congress“ bekommt: „Ein Hacker ist jemand, der versucht einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann“.

Neben den großen Vorträgen, die es auch immer wieder nicht nur auf die IT-Nachrichtenseiten sondern auch auf die großen News-Portale oder sogar bis in die Tagesschau schaffen, gibt es auch viele kleinere Vorträge und selbstorganisierte Meetings und Diskussionsrunden. Einen kleinen Überblick habe ich schon in der Vorschau zum Kongress im its-people-Blog gegeben.

Besonders interessant sind auf dem Kongress oft die Frage-und-Antwort-Runden, die am Ende der meisten Vorträge stattfinden.

Zwei Beispiele hierzu:

Beim Vortrag „Ladeinfrastruktur für Elektroautos“ gab es am Ende von einem Zuschauer das Angebot für eine Demo-Hardware. Ein weiterer erklärte an der entsprechenden Norm für das CSS-Ladesystem mitgeschrieben zu haben und bot darüber ein Gespräch an.

Der Vortrag „Relativitätstheorie für blutige Anfänger“, ein 30-minütiger spannender Vortrag, dessen Fragerunde kurzerhand außerhalb des Saales im kleinen Kreis von ca. 40 Interessierten fortgesetzt wurde. Nach weit mehr als einer weiteren Stunde und am Ende noch immer mit über 20 Teilnehmen bestückt, wurde die Runde dann beendet.

Ein weiterer Schwerpunkt sind die sogenannten „Assemblies“. Dort präsentieren kleinere oder größere Gruppen sich selbst oder ihre „Hacks“. Das können unter anderem Ideen sein, wie zum Beispiel modifizierte 3D Drucker, Software für spezielle Anwendungsbereiche, motorisierte Skatebords, LED-Installationen oder auch ein Cocktail-Bot.

Podcasts sind seit vielen Jahren auch mit einem eigenen Bereich vertreten. So wurde Equipment gestellt, damit gleich vor Ort aufgenommen werden konnte. Podcast-Paten halfen bei den ersten Schritten und viele Podcaster standen zum Erfahrungsaustausch bereit.

Kidsspace, Stricken, Laufrunde, Lötkurs, Lockpicking, Netzpolitik und noch vieles mehr ist ebenfalls im Angebot. Und überall sieht man die Teilnehmer reden, erklären und diskutieren.

Das Ganze wird von rund 3.000 ehrenamtlichen Helfern, „Engel“ genannt, unterstützt. Das sind Teilnehmer, die einen Teil ihrer Zeit auf dem Kongress dazu verwenden, Dienste zu übernehmen. Bei der Einlasskontrolle, der Garderobe, dem Netzwerk, dem Untertiteln von Videos, dem Sammeln von Flaschen, dem Ausgeben von Mahlzeiten an Helfer, als Arzt im CERT oder, oder, oder…

Alles in allem wieder ein spannender Kongress mit vielen neuen Eindrücken. Und Hacker – das sind nicht immer nur die Bösen… 

Berichte und Informationen

Oracle*Net Verbindungen via SSH Tunnel auf Linux Systemen

Autor: Michael Künzner, Senior Professional its-people GmbH

Warum sollten wir SSH-Tunnel für Oracle*Net Verbindungen verwenden?

Die Antwort ist einfach, zum Beispiel:

  • Sie sind hinter einer Firewall

oder

  • Sie wollen keinen neuen Port öffnen (bzw. nicht zulassen)

oder

  • der Service wurde so konzipiert, dass er nur intern verwendet werden kann

oder

  • die Architektur oder Richtlinien bestimmen, dass wir SSH-Tunnel benutzen müssen

oder wie im beschriebenen Oracle*Net Beispiel weiter unten

  • Sie müssen Anfragen an Dienste weiterleiten, der auf einem Port des Datenbank Servers läuft, der möglicherweise von einer Firewall blockiert wird oder anderweitig nur zugänglich ist, wenn Sie bei diesem Remote Server angemeldet sind.

Für diesen letzten Punkt, nehmen wir an, Sie haben eine Instanz einer Oracle Datenbank, die hinter einer Firewall auf einem Remote Server läuft und der einzige Port, auf den externe Hosts zugreifen können, ist TCP-Port 22 (Standard für SSH). Mit Hilfe eines SSH-Tunnels mit Port-Weiterleitung können Sie sqlplus oder SQL Developer auf Ihrem Laptop zum Laufen bringen, so dass er sich mit Ihrer Oracle Datenbank verbinden kann.

In dem folgenden Beispiel wird eine Oracle*Net Verbindung zwischen einem Oracle Client oder Application Server (ol7node5) und den Datenbankserver (ol7node6) über SSH-Tunnel konfiguriert.

Dafür wird folgendes vorausgesetzt:

  1. OpenSSH ist auf dem Linux Client oder Application Server und auf dem Datenbankserver installiert und unterstützt schlüsselbasierte Authentifizierung.
  1. Verwendung des Oracle Client (JDBC/OCI/Thin/...) auf dem Linux Client oder Application Server, um Zugriff auf den Datenbankserver zu erhalten

oder

  1. über Oracle Datenbank Links, um zwei Datenbankserver miteinander zu verbinden

oder

  1. die Verwendung von Oracle Client Dienstprogrammen (DATAPUMP/RMAN/tnsping/...) auf dem Linux Client oder Application Server, um den Datenbankserver über Oracle*Net zu verbinden.

Falls noch nicht vorhanden, müssen zunächst die SSH-Schlüsselpaare generiert werden

Generierung eines SSH-Schlüsselpaares mit ssh-keygen

Auf allen UNIX- und UNIX-ähnlichen Plattformen (einschließlich Solaris und Linux) enthält die OpenSSH Installation das Dienstprogramm ssh-keygen zur Erzeugung von SSH-Schlüsselpaaren.

  1. Navigieren Sie zu Ihrem Home-Verzeichnis und prüfen sie, ob das Verzeichnis .ssh existiert:
[oracle@ol7node5 ~]$ cd $HOME 
[oracle@ol7node5 ~]$ ls -al .ssh
  1. Führen Sie das Dienstprogramm ssh-keygen aus, legen sie mit -t den Keytyp (dsa | ecdsa | ed25519 | rsa) und mit -b die Anzahl der Bits im Key fest:
[oracle@ol7node5 ~]$ ssh-keygen -b 4096 -t rsa

Das Dienstprogramm ssh-keygen fordert Sie nun auf, eine Passphrase für den privaten Schlüssel einzugeben.

  1. Geben Sie eine Passphrase für den privaten Schlüssel ein, oder drücken Sie die Eingabetaste, um einen privaten Schlüssel ohne Passphrase zu erstellen:

Enter passphrase (empty for no passphrase): Passphrase

Hinweis: Eine Passphrase ist nicht erforderlich. Sie sollten aber eine Passphrase als Sicherheitsmaßnahme angeben, um den privaten Schlüssel vor unbefugter Verwendung zu schützen. Wenn Sie eine Passphrase angeben, muss ein Benutzer die Passphrase jedes Mal eingeben, wenn der private Schlüssel verwendet wird!

Das Dienstprogramm ssh-keygen fordert Sie auf, die Passphrase erneut einzugeben.

  1. Geben Sie die Passphrase erneut ein oder drücken Sie erneut die Eingabetaste, um mit der Erstellung eines privaten Schlüssels ohne Passphrase fortzufahren:

Enter the same passphrase again: Passphrase

  1. Das Dienstprogramm ssh-keygen zeigt an, dass der private Schlüssel als id_rsa und der öffentliche Schlüssel als id_rsa.pub im Verzeichnis .ssh angelegt wurden. Es zeigt auch Informationen über den Schlüssel-Fingerabdruck und das Zufallsbild an.

Der public key muss jetzt noch auf den Datenbankserver (ol7node6) kopiert werden mit

[oracle@ol7node5 .ssh]$ scp id_rsa.pub ol7node6:/home/oracle/.ssh

und auf dem Datenbank Server in die authorized_keys Datei kopiert werden

[oracle@ol7node6 .ssh]$ cat id_rsa.pub >> authorized_keys 

in einem nächsten Schritt wird der SSH-Tunnel zum Datenbankserver konfiguriert.

Erstellen eines SSH-Tunnels mit dem ssh-Dienstprogramm unter Linux

Die Linux-Plattform enthält das Dienstprogramm ssh, einen SSH-Client, der SSH-Tunnel unterstützt.

Bevor Sie das Dienstprogramm ssh verwenden, um einen SSH-Tunnel zu erstellen, benötigen Sie folgendes:

  • Die IP-Adresse oder der Name des Datenbankservers
  • Die private SSH-Schlüsseldatei, die sich mit dem öffentlichen Schlüssel paart, der während des Erstellungsprozesses der Datenbankimplementierung verwendet wird.
  • Die Portnummer, für die Sie einen SSH-Tunnel erstellen möchten.

So erstellen Sie einen SSH-Tunnel für einen Port mit dem Dienstprogramm SSH unter Linux:

[oracle@ol7node5 ~]$ ssh -M -S tunnel-socket-name -fnNT -i private-key-file -L local-port:target-host:target-port userid@target-host

wobei:

  • tunnel-socket-name (z.B. ol7node6-tunnel-socket) zur Steuerung der SSH Verbindung.
  • private-key-file (z.B. ~/.ssh/id_rsa) ist der Pfad zur privaten SSH-Schlüsseldatei.
  • local-port (z.B. 21521) ist die Nummer eines verfügbaren Ports auf Ihrem Linux-System. Geben Sie eine Portnummer größer als 1023 und kleiner als 49152 an, um Konflikte mit Ports zu vermeiden, die für das System reserviert sind. Als gute Praxis und der Einfachheit halber sollten Sie die gleiche Portnummer angeben wie diejenige, zu der Sie einen Tunnel erstellen.
  • target-host (z.B. 192.168.56.62) oder Servername (z.B. ol7node6).
  • target-port (z.B. 1521) ist die Portnummer, zu der Sie einen Tunnel erstellen möchten.
  • weitere SSH Optionen siehe man ssh.

In diesem Beispiel sieht das SSH Kommando also wie folgt aus:

[oracle@ol7node5 ~]$ ssh -M -S ol7node6-tunnel-socket -fnNT -i ~/.ssh/id_rsa -L 21521:ol7node6:1521 oracle@ol7node6

Die SSH Verbindung kann über den Socket überprüft und beendet werden:

[oracle@ol7node5 ~]$ ssh -S ol7node6-tunnel-socket -O check oracle@ol7node6 Master running (pid=29312)[oracle@ol7node5 ~]$ ssh -S ol7node6-tunnel-socket -O exit oracle@ol7node6

Wenn Sie sich zum ersten Mal mit dem Zielknoten verbinden, werden Sie vom ssh-Dienstprogramm aufgefordert, den öffentlichen Schlüssel zu bestätigen. Geben Sie als Antwort auf die Aufforderung yes ein.

In einem abschließenden Schritt wird Oracle*Net auf dem Linux Client oder Application Server konfiguriert.

tnsnames.ora auf dem Linux Client oder Application Server konfigurieren

Um die Datenbank DB121S auf dem Datenbankserver ol7node6 über den SSH-Tunnel zu erreichen muss noch die tnsnames.ora auf dem Client oder Applikationsserver wie folgt ergänzt oder angepasst werden:

DB121S =  (DESCRIPTION =    (ADDRESS = (PROTOCOL = TCP)(HOST = localhost)(PORT = 21521))    (CONNECT_DATA =      (SERVER = DEDICATED)      (SERVICE_NAME = DB121S.de.oracle.com)    )  )

prüfen mit

[oracle@ol7node5 ~]$ tnsping db121sTNS Ping Utility for Linux: Version 12.1.0.2.0 - Production on 18-DEC-2017 00:10:01Copyright (c) 1997, 2014, Oracle.  All rights reserved.Used parameter files:Used TNSNAMES adapter to resolve the aliasAttempting to contact (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = localhost)(PORT = 21521)) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = DB121S.de.oracle.com)))OK (10 msec)

Jetzt können sie sich über sqlplus@db121s mit der Datenbank verbinden und der Netzwerkverkehr wird durch das ssh auf der Client-Seite verschlüsselt und durch das ssh auf der Server-Seite wieder entschlüsselt.

Die Verbindung funktioniert, solange wie die SSH-Tunnelverbindung besteht. Falls diese SSH-Tunnelverbindung dauerhaft zur Verfügung stehen soll, müsste sie noch entsprechend abgesichert werden, z.B. durch autossh und durch automatischen Start beim reboot des Clients oder Applikationsservers.

Einige Werkzeuge, wie Oracle SQL Developer oder MobaXterm unterstützen SSH-Tunnels in der Benutzeroberfläche des Werkzeuges.

Partnerschaften

Expertenwissen kurzfristig verfügbar

Erfahrener IT-Experte für Business Intelligence (BI), Business Process Management (BPM) sowie Projekt-Management sucht neue Herausforderung!

Michael Tiemens verfügt über eine mehr als 15-jährige Führungserfahrung in der Linie und als Projektleiter für die Themen Business Intelligence, Dokumenten- und Workflow-Management, Business Process Management sowie Softwareentwicklung. Agile Projekterfahrungen nach Scrum liegen vor.

Er ist als Generalist sehr gut einsetzbar an der Schnittstelle zwischen der IT- und der Fachabteilung. Dabei übernimmt er die Funktion des Koordinators komplexer und bereichsübergreifender Themenstellungen sowie die Rolle des Teammitglieds für die Fachkonzepterstellung und die zielorientierte Umsetzung der Anforderungen.

Aufgrund seines abgerundeten Know-Hows ist Michael Tiemens der ideale Partner, um große und mittlere Unternehmen bei der Bewältigung ihrer informationstechnologischen und organisatorischen Herausforderungen zu begleiten. Er zeichnet sich durch technisches Verständnis, strukturiertes Handeln, positive Ausstrahlung und verbindliche Kommunikation aus.

Benötigen Sie in Ihrem anstehenden oder laufenden IT-Projekt einen solch erfahrenen Berater, der Sie mit seinem Fachwissen und seiner umfangreichen Erfahrung kompetent unterstützen kann?

Dann sichern Sie sich das Engagement von Michael Tiemens! Kontaktieren Sie uns direkt unter frankfurt@its-people.de. Gerne erhalten Sie dort weitergehende Informationen über ihn und natürlich eine solide Einschätzung von uns zu Ihrem anstehenden IT-Projekt!


Newsletter 01/2018

Sie möchten den its-people Newsletter nicht mehr erhalten?
Melden Sie sich hier vom Newsletter ab .

Impressum

enterpriser GmbH & Co. KG · Lyoner Straße 44-48 · 60528 Frankfurt
Telefon : +49 69 24751980 · E-Mail: webmaster@its-people.de
Geschäftsführer: Thomas Algermissen, Thomas Kraemer
HRA 42547 - Amtsgericht Frankfurt

Copyright 2015 © enterpriser GmbH & Co KG. Alle Rechte vorbehalten. enterpriser GmbH & Co KG versendet E-Mails nicht unaufgefordert. its-people© und bcs-people©: Dachmarken der enterpriser GmbH & Co. KG