El otro día nos preguntaba el amigo Erik por la disponibilidad de herramientas de auditoría para Oracle.
Al hilo de este asunto, gracias a un compañero de trabajo, he descubierto hoy un magnífico blog llamado CQure.net (otro que como yo no ha cambiado la ruta por defecto de instalación de WordPress, por cierto :)) en el que hay un montón de herramientas útiles para auditoría Oracle, entre otras muchas aplicaciones pequeñitas de gran valor, puesto que se ve que proceden de alguien que se ha batido el cobre auditando.
OAT se basa en la función CREATE LIBRATY del kernel32.dll de Windows. También se puede apoyar en las system calls de libc de un UNIX. Mediante un servidor TFTP, las transacciones interplataforma son relativamente sencillas. Las herramientas son Java, lo que hace que podamos lanzarla desde cualquier plataforma. Han sido testeadas en Windows y Linux, y según el autor, en ambos entornos dan resultados satisfactorios.
Las herramientas que incorpora OAT son:
- OraclePWGuess – Para la adivinación de claves débiles vía ataques de diccionario.
- OracleQuery – Una herramienta de línea de comandos que permite realizar consultas SQL (inmprescindibles si vamos a auditar una base de datos)
- OracleSamDump – Herramienta que, previa conexión al servidor Oracle, lo somete a pwdump2. Los resultados son almacenados en la carpeta SAM del servidor TFTP, con los datos del volcado.
- OracleSysExec – Permite entregarle al servidor Oracle comandos para ser ejecutados de modo automático. En este modo automático es posible inyectar netcat en el servidor vía TFTP, lo que permite establecer un lazo con la shell vía puerto 31337.
- OracleTNSCtrl – Una herramienta para lanzar consultas al mecanismo de escucha TNS, lo que puede proporcionar información interesante sobre componentes que respondan vía TNS, por ejemplo, Oracle Insrctl.
Sin duda alguna, un juego de herramientas simples, pero muy útiles, y que van a simplificar nuestra tarea significativamente. Y es que no es lo mismo solicitar que el auditado ejecute una sentencia y nos devuelva los resultados, que preguntarle nosotros mismo directamente al servidor, siempre que tengamos permiso, claro. Los requisitos: disponer de Java y Oracle JDBC Driver (descargable directamente desde oracle.com)
Por cierto, la foto que acompaña el artículo es la carátula de un libro que he estado ojeando, llamado Oracle Streams, bastante interesante para entender los principios de funcionamiento de este gestor, especialmente la parte de replicación rápida de datos, uno de las características distintivas de este popular gestor. Recomendable.
Saludos :)
Estoy iniciando en oracle y necesito conocer informacion sobre como hacer auditoria a una base de datos.
Procediminetos
Pasos
Tareas
Agradezco su colaboracion para el suministro de informacion o indicarme en donde la puedo obtener.