Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

Seguridad en Oracle y A utenticacin de Usuarios

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

INDICE

1. Introduccin: Autenticacin en Oracle. 2. Almacenamiento de las Passwords en Oracle. 3. Vulnerabilidad de contraseas en ORACLE. 4. Autenticacin por medio del SO Linux XE / Windows. 5. Funciones de verificacin de contraseas. 6. Oracle Internet Directory. OID. 7. Por qu no se puede autenticar por medio de OpenLDAP o variantes solo OID? Webgrafa

Pg. 2 Pg. 3 Pg. 5 Pg. 8 Pg. 11 Pg. 13 Pg. 14 Pg. 17

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

1. Introduccin: Autenticacin en Oracle Cuando los usuarios desean conectarse a la base de datos Oracle para realizar sus funciones, esta se asegura de que estn autorizados a acceder, por medio del proceso de autenticacin. La autenticacin puede ser realizada de varias maneras, podemos definir el usuario en la base de datos y autenticarlo, o definirlo en otro lugar, como por el ejemplo el sistema operativo o un servidor LDAP como Oracle Internet Directory, y pasarle los credenciales como validos a la base de datos. Hay dos maneras por las cuales las base de datos autentica usuarios: Por contrasea. Por autenticacin por parte del sistema operativo (OS authentication).

Veamos las diferencias entre estos dos tipos de autenticacin. Autenticacin por medio de contrasea:
create user scott identified by tiger;

Con esta instruccin creamos el usuarios scott autenticado el nuestra base de datos por medio de la contrasea tiger. Esto nos crea la entrada de este usuario en el diccionario de datos en la tabla USERS$ propiedad del usuario SYS. Cuando el usuario se conecta por medio de alguna aplicacin cliente este comprobara en el diccionario de datos si los datos introducidos son correctos. Luego hablaremos sobre como se guardan estas contraseas en la base de datos. Autenticacin por medio del Sistema Operativo: La autenticacin por medio de sistema operativo son realizadas por las que en Oracle se denominan cuentas de usuarios OPS$.
Create user ops$jesus Identified externally;

Con esta instruccin creamos en Oracle el usuario jesus y le indicamos a la base de datos de que este usuario se autenticar por parte del sistema operativo. Este usuario se conectara a la base de datos usando la siguiente sentencia:
connect /

Ahora Oracle comprobar si el usuario jesus se encuentra autenticado en el sistema operativo y por lo tanto podr conectarse al a base de datos sin necesidad de que se le pida la contrasea. Hablaremos luego sobre cmo activar la autenticacin por medio de sistema operativo tanto en entornos Linux como en entornos Windows.

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

2. Almacenamiento de las Passwords en Oracle: Las contraseas en Oracle son almacenadas por defecto en el tablespace SYSTEM de nuestra base de datos. Estas contraseas se almacenan encriptadas con un algoritmo SHA-1 (Contrasea ||Semilla). Lo mas lgico es pensar que haciendo un SELECT password FROM dba_users podramos ver la versin encriptada de las contraseas , pero esto dejo de ser posible en la versin 11g. Oracle 11g ofrece la posibilidad de usar password de hasta 50 caracteres distinguiendo maysculas de minsculas. En Oracle 11g los passwords son encriptados con DES en la (columna password) y usando SHA-1 (columna spare4). En la nueva versin 11g el hash de la contrasea no es accesible va dba_users ahora hay que hacerlo mediante el usuario SYS con la siguiente SELECT:
SYS.USER$ : SELECT name,spare4 FROM SYS.USER$ WHERE password is not null;

Donde spare4 es el hash de la contrasea. NAME SCOTT SPARE4 S:C67079C45E2703C6E4C5FBF4EAF0A48876227E142C58E3C60D1C4055C82D

La encriptacin SHA-1 y DES a da de hoy no se ha roto aunque ya se aconseja usar cifrado TRIPLE-DES, por lo que se considera bastante segura aunque no evitamos as ataques de diccionario o mediante fuerza bruta.

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

3. Vulnerabilidad de contraseas en ORACLE. Oracle pese a ser un sistema con amplias opciones de seguridad presenta algunas vulnerabilidades que podemos corregir. Como vimos anteriormente el cifrado de las contraseas de Oracle es SHA-1 con semilla, este algoritmo es bastante seguro a da de hoy ya que no se ha roto, pero esto no impide a los atacantes realizar ataques de fuerza bruta o de diccionario. Hay numerosas herramientas que encriptan el usuario y el password y lo comparan con el hash. Si el hash es idntico al almacenado en la base de datos ya sabremos cual es el password . Desde simples herramientas basadas en SQL ( menos de 500 password por segundo) a programas especiales realizados en C como chepwd. La herramienta ms rpida calcula 1.100.000 de passwords por segundo. En un Pentium 4 con 3GHz toma el siguiente tiempo: 10 segundos para calcular todas las combinaciones de 5 caracteres ascii. 5 minutos para calcular todas las combinaciones de 6 caracteres ascii. 2 horas para calcular todas las combinaciones de 7 caracteres ascii. 2,1 das para calcular todas las combinaciones de 8 caracteres ascii. 57 das para calcular todas las combinaciones de 9 caracteres ascii. 4 aos para calcular todas las combinaciones de 10 caracteres ascii.

Como podemos ver nuestra base de datos esta expuesta a estos tipos de ataques y debemos intentar mitigar sus efectos con algunas de las siguientes medidas. Crear una funcin de verificacin de contraseas lo suficientemente estricta. Esta funcin deber verificar que la longitud sea lo suficientemente amplia y que contenta caracteres especiales, as como que no la contrasea no sea demasiado simple o palabras que se encuentren en algn diccionario y otras muchas opciones que podemos programar con PL/SQL. Configurar en los perfiles las siguientes opciones de PASSWORD: PASSWORD_LIFE_TIME Tiempo de Vida del Password PASSWORD_GRACE_TIME Nmero de das disponibles para cambiar el password antes de que se bloque la cuenta. PASSWORD_REUSE_TIME Nmero de das hasta volver poder utilizar el mismo password. PASSWORD_REUSE_MAX Nmero de veces que se puede reusar el mismo password. Las dos siguientes declaraciones son muy importantes para evitar los ataques con fuerza bruta o de diccionario: FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 10 Estableciendo un nmero determinado de veces que el login del usuario puede fallar limitamos al atacante a que tenga que esperar que la cuenta se desbloquee despus de 5

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

realizar 3 intentos de ataques con diccionario o fuerza bruta, lo que provoca que no pueda realizar mas ataques a dicho usuario mientras su cuenta este bloqueada. Baneo de direcciones Ip que intenten excesivas conexiones fallidas con la BD. En la red disponemos de varias herramientas para el crackeo y hacking de bases de datos Oracle. Podemos ver una lista de estas herramientas y sus ventajas e inconvenientes en el siguiente sitio web: http://www.red-database-security.com/whitepaper/oracle_password_cracker.html La autentificacin contra bases de datos Oracle tambin posee de otras vulnerabilidades que el administrador debe controlar despus de la instalacin de una base de datos Oracle: Autenticacin como SYSDBA sin contrasea.

Algunos administradores despus de instalar una base de datos Oracle en sistemas Windows se olvidan de que en la instalacin se crea el grupo ora_dba y se aade automticamente el usuario que creo la base de datos. Esto provoca que el usuario del sistema operativo que creo la base de datos pueda tener acceso a todos los datos entrando como SYSDBA y sin necesidad de introducir contrasea alguna. Para evitar esto debemos sacar del grupo ora_dba al usuario correspondiente. Usuarios y contraseas por defecto

Oracle trae por defecto numerosos usuarios por defecto con contraseas ya establecidas que se pueden encontrar por toda la red. Para ver los usuarios con password por defecto podemos usar la vista del diccionario de datos siguiente: SELECT * FROM dba_users_with_defpwd; Debemos desactivar aquellas cuentas que no usemos y que se encuentren habilitadas y cambiar el password de aquellas que aparecen en la vista. Si hay acceso fsico estas vendido.

Si el atacante tiene acceso directo fsico a nuestro servidor de base de datos o logro entrar remotamente puede atacarnos de diferente manera usando la aplicacin cliente de nuestros usuarios. Un atacante podra modificar el fichero %ORACLE_HOME%\sqlplus\admin\glogin.sql o %ORACLE_HOME%\sqlplus\admin\login.sql y insertar cdigo SQL o comandos de la consola de SQL * Plus que le permita obtener datos y copiarlos a una base de datos remota o como veremos a continuacin crearse un usuario automticamente. Si el atacante accede y nos modifica el fichero glogin.sql de la siguiente manera:
CREATE USER hacker identified by hackchack1; grant connect to hacker; grant dba to hacker; CLEAR SCREEN

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

Esto provocar la creacin de un usuario para el atacante en el momento en el que algn usuario con los privilegios correspondientes se loguee en Sql*plus sin que se de cuenta aparentemente. Contraseas en claro por los clientes y servicios.

Una vulnerabilidad no propia de Oracle pero igualmente importante es que las contraseas de nuestros usuarios se manden en claro o permanezcan en claro en ficheros de configuracin o ficheros de cdigo fuente de sus aplicaciones. Por ejemplo para realizar una conexin desde una aplicacin PHP a Oracle la contrasea y el usuario debe estar indicado en el cdigo PHP de la aplicacin. Por lo tanto debemos proteger y adecuar los permisos correspondientes a ficheros que contengan datos de identificacin contra la base de datos. Otros mtodos para proteger nuestra base de datos seria cifrar todo el contenido de la BD, el uso de identificacin biomtrica va reconocimiento facial, dactilar, vocal y otros mtodos. Si tenemos en cuenta todas estas vulnerabilidades y seguimos todos los pasos necesarios para corregirlas e impedir al atacante el acceso del sistema tendremos nuestros datos ms seguros.

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

4. Autenticacin por medio del SO Linux XE / Windows. A)En Linux con Oracle XE: 1. Creamos el usuario en el sistema operativo
# useradd lucas # passwd lucas Changing password for lucas.

2. Configuramos los parmetros siguientes: La autenticacin por sistema operativo no esta activada por defecto en Oracle XE. Para permitir el uso de usuarios del sistema operativo, llamados por Oracle OPS$ users, abrimos SQL Plus o algn cliente SQL y ejecutamos el siguiente comando:
alter system set os_authent_prefix=OPS$ scope=spfile;

Nos modifica el fichero binario:

cat /usr/lib/oracle/xe/app/oracle/product/10.2.0/server/dbs/spfileXE.ora

Este contiene parmetros de configuracin de la instancia que se esta ejecutando.

Reiniciamos la DB: shutdown immediate Startup

Creamos el usuario en nuestra base de datos:

CREATE USER OPS$lucas IDENTIFIED EXTERNALLY DEFAULT;

Le aplicamos los roles y privilegios como cualquier otro usuario:

GRANT CONNECT, RESOURCE TO lucas;

3. Reiniciamos la base de datos:

/etc/init.d/oracle-xe restart

4.- A continuacin, tratamos de conectarnos a Oracle como un usuario del sistema operativo autenticado. Esperamos que falle! Quizs sea necesario configurar algunas variable de entorno para que SQL * PLUS funcione correctamente. - Vemos la configuracin actual de SQL * PLUS
#cat /usr/lib/oracle/xe/app/oracle/product/10.2.0/server/config/scripts/sqlplus.sh

# su - tim_hall

Jess Lucas Flores

$ $ $ $

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

export ORACLE_HOME=Dato Obtenido del cat enterior export PATH=Dato Obtenido del cat enterior export ORACLE_SID=Dato Obtenido del cat enterior , XE sqlplus /

En el ejemplo:
$export:ORACLE_HOME=/usr/lib/oracle/xe/app/oracle/product/10.2.0/server $export PATH=$PATH:$ORACLE_HOME/bin:$PATH $export ORACLE_SID=XE $sqlplus /

Para que se coloquen automticamente al iniciar sesion un usuario, editar el archivo /home/lucas/.bashrc y aadir las lineas 1, 2 y 3. y para que esta configuracin la tengan usuario que creemos en el sistema las aadimos al fichero /etc/skel/.bashrc .
B) En Windows:

1. Creamos un usuario en el sistema operativo. 2. Configuramos los parmetros siguientes:

alter system set os_authent_prefix =OPS$ scope=spfile;

Nota: El valor por defecto es OPS$ Si el usuario del sistema operativo es miembro de un grupo de dominio entonces tambin configuramos el siguiente parmetro:
alter system set remote_os_authent=TRUE scope=spfile;

Nota: El valor por defecto del parmetro es FALSE, 3. Editamos el fichero sqlnet.ora y cambiamos el valor de la siguiente linea a NTS:
Sqlnet.authentication_services=(NTS)

4. Reiniciamos la base de datos:

shutdown immediate startup

Vemos que los parmetros se hayan modificado correctamente usando :

SQL> show parameter authen NAME TYPE VALUE ----------------------- ----------- ------------os_authent_prefix string OPS$ remote_os_authent boolean TRUE

5. Creamos un usuario Oracle para autenticacin mediante OS. 9

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

Primero comprobamos el nombre del usuario del sistema operativo.

SQL> select UPPER(sys_context('userenv','os_user')) from dual; ------------------------------------------------------------------NOMBREDELAMAQUINA\LUCAS

Ahora creamos el usuario con el mismo nombre que vimos con la sentencia anterior, incluido el nombre de la mquina, aadiendo la clausula identified by EXTERNALLY.
create user OPS$NOMBREDELAMAQUINA\LUCAS identified EXTERNALLY;

Nota: El nombre del usuario de Oracle debe tener obligatoriamente el mismo nombre que el usuario y el nombre de mquina del sistema operativo y al crearlo debe comenzar con OPS$. Damos privilegios como a cualquier otro usuario :
SQL> grant dba to "OPS$MACHINENAME\TOM";

6. Testeamos la conexin a travs del usuario del sistema operativo.

Sqlplus / SQL> show user; USER is "OPS$NOMBREDELAMAQUINA\LUCAS"

10

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

5. Funciones de verificacin de contraseas. Una de las medidas de seguridad que podemos tomar en para proteger nuestra base de datos Oracle es asignarle una funcin de verificacin a las contraseas de nuestros usuario para requerirles una contrasea lo suficientemente segura; como por ejemplo de una longitud determinada, que contenga caracteres especiales, nmeros, que no sea igual que el nombre de usuario, etc. En Oracle 11g podemos definir una funcin de verificacin de contraseas a los perfiles para ello primero debemos crear una funcin de verificacin de contraseas, aunque Oracle trae esta funcionalidad en el archivo $ORACLE_HOME/rbms/admin/utlpwdmg.sql Debemos ejecutar dicho script SQL con SQLplus como sysdba, esto nos creara la funcin verify_function_11G y nos alterara el perfil por defecto de la siguiente manera: ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 180 PASSWORD_GRACE_TIME 7 PASSWORD_REUSE_TIME UNLIMITED PASSWORD_REUSE_MAX UNLIMITED FAILED_LOGIN_ATTEMPTS 10 PASSWORD_LOCK_TIME 1 PASSWORD_VERIFY_FUNCTION verify_function_11G;

La funcin verify_function_11G comprobar que el password cumpla los siguientes requisitos: - Comprueba que el password no es igual que el nombre de usuario - Comprueba que el password tenga una longitud mnima de 4 caracteres. - Comprueba que el password no sea una palabra simple de las dadas en una lista de palabras. - Comprueba que el password contenga al menos una letra, un dgito y un signo de puntuacin. - Comprueba que el nuevo password se diferencie del anterior al menos en tres caracteres. Esta funcin proporcionada por Oracle ya nos proporciona que nuestros passwords sean lo suficientemente seguros, aunque tambin podemos crear nuestra propia funcin de verificacin. A continuacin crearemos una funcin de verificacin personalizada verifica_contra para que los passwords cumplan las siguientes condiciones: Password diferente al nombre de usuario. Password de al menos 8 caracteres. Password fuera de la lista de passwords simples.

11

Jess Lucas Flores Script SQL:

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

create or replace FUNCTION verifica_contra (nombreusuario varchar2, passwordnuevo varchar2, passwordviejo varchar2) RETURN BOOLEAN IS BEGIN /*Comprueba que el password no sea igual que el nombre de usuario La funcin NLS_LOWER pasa a minsculas la variable dada raise_application_error lanza una excepcin personalizado*/ IF NLS_LOWER(passwordnuevo) = NLS_LOWER(nombreusuario) THEN raise_application_error(-20001, 'Password Igual que el usuario'); END IF; /*Comprueba que la longitud mnima sea 8 caracteres */ IF length(passwordnuevo) < 8 THEN raise_application_error(-20002, 'Password menor de 8 caracteres'); END IF; /*Comprobacin para que el password no este en la lista de passwords simples*/ IF NLS_LOWER(passwordnuevo) IN ('welcome', 'database', 'account', 'user', 'password', 'oracle', 'computer', 'abcd', 'admin', '1234', '123456', 'tiger', 'administrador', 'asdasd', 'abc123abc' ,'contrasea') THEN raise_application_error(-20003, 'Password demasiado simple'); END IF; /*Si no ha habido errores devuelve TRUE*/ RETURN(TRUE); END; / /*Creamos un perfil personalizado */ CREATE OR REPLACE PROFILE contra_dura LIMIT PASSWORD_LIFE_TIME 30 PASSWORD_GRACE_TIME 7 FAILED_LOGIN_ATTEMPTS 4 PASSWORD_LOCK_TIME 1 PASSWORD_VERIFY_FUNCTION verifica_contra;

Con este script ejecutado como SYS crearemos la funcin y el perfil correspondiente que podremos asignar a los usuarios de la base de datos. Las ventajas de limitar los password a ciertas condiciones supondr para los atacantes un mayor esfuerzo para poder encontrar el HASH que corresponde con el password mediante ataque de diccionario, a su vez aplicando FAILED_LOGIN_ATTEMPTS 4 evitamos los ataques de fuerza bruta sobre nuestros usuarios aunque se les bloquer la cuenta si se intentan realizar dicho ataque, pero eso no supondr un problema ya que nosotros como DBA podremos desbloquear la cuenta.

12

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

6. Oracle Internet Directory. OID. Oracle Internet Directory es un LDAP versin 3 que abarca numerosas ventajas como son escalabilidad, alta disponibilidad y funciones de seguridad para bases de datos de Oracle. Oracle Internet Directory sirve como repositorio centralizado para Oracle Identity Management, simplificando la administracin de usuarios en entornos Oracle y proveyendo una aplicacin base estndar para diferentes aplicaciones. Adicionalmente, Oracle Direcory Synchronizacion permite a Oracle Identity Management integrarse adecuadamente con otros servicios de directorio y repositorios de usuarios, permitiendo a estos disponer de su informacin de identificacin en cualquier lugar donde est este colocada. OID es el nico servicio de directorios soportado por Oracle Database Enterprise User Security (EUS) para centralizar usuario y administrar roles, y es el nico directorio que provee de completa integracin automtica con sistemas operativos Unix y Linux para centralizar la administracin de las cuentas de usuario de estos sistemas Oracle Authentication Services for Operating Systems). Esta es una de las razones de porque no podemos usar otro servidor LDAP para la autenticacin en Oracle. Podemos observar en la siguiente imagen la arquitectura de una estructura basada en OID:

Con Oracle Directory Integration Server podemos integrar el uso de otros servidores LDAP como OpenLDAP con Oracle Internet Directory sincronizando sus datos. Las ventajas ms importantes que se pueden destacar de Oracle Internet Directory con respecto a otros servicios LDAP son la siguientes: Alta Disponibilidad Sistema de seguridad basado en listas de control de acceso ACL. Alta escalabilidad para entornos empresariales muy amplios. Interfaz de administracin va web con Oracle Directory Services Manager (ODSM). 13

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

Integracin con bases de datos Oracle. Autenticacin a OID usando otros LDAP de terceros externos. Administracin y monitorizacin integrada con ODSM y Oracle Enterprise Manager (OEM). Despus de comprobar las distintas ventajas de OID, e intentar realizar su instalacin bajo un sistema Windows con 3GB de memoria RAM, sin xito, puedo decir que tiene numerosas desventajas: Curva de aprendizaje media. Instalacin muy compleja. Consumo requerido de CPU y memoria RAM muy elevado. Dependencia de otros componentes de Oracle Middleware como son: Weblogic Repository Creation Utility Oracle Enterprise Manager. Documentacin no muy clara en cuanto a la instalacin de versiones nuevas. Ms informacin oficial de Oracle Sobre OID en: http://www.oracle.com/technology/products/oid/pdf/oid_wp_11g.pdf

14

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

7. Por qu no se puede autenticar por medio de OpenLDAP o variantes solo OID? Para autenticar Oracle por medio de OpenLDAP despus de solicitar informacin por parte de algunos DBAs expertos he llegado a la conclusin de que no es posible realizarlo directamente. Para poder autenticar usuarios almacenados en OpenLDAP debemos tener instalado el LDAP de Oracle, Oracle Internet Directory (OID), y montar alguna estructura con mdulos y complementos que nos permita sincronizar las entradas de OpenLDAP en la direccin hacia OID. Segn la informacin obtenida por parte de gurs DBA tambin podra ser posible utilizar los datos de otros LDAP usando la aplicacin Middleware de Oracle OVD (Oracle Virtual Directory).

Oracle Virtual Directory unifica datos de identificacin ya existentes sin fusionarlos y reusa los datos de identificacin ya existentes sin copiarlos. Esto acelera el despliegue de aplicaciones y simplifica la infraestructura de identificacin. Podemos leer el DataSheet de OVD aqu: Oracle OVD.

15

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

Una estructura a utilizar para centralizar usuarios OpenLDAP con bases de datos y todo un sistema Oracle seria la siguiente:

La implementacin de esta tarea se escapa del tiempo de realizacin e investigacin de este proyecto. Despus de consultar a Jesus Gordillo Gonzalez, profesor Tcnico Informtico Superior de la Universidad de Cdiz, nos di la siguiente respuesta a nuestro problema: La nica solucin. Consiste en tener instalado un Openldap (que funcionara como maestro) y un OID que funcionara como esclavo. Hay que sincronizar openldap y OID mediante un modulo que trae incorporado oracle. La sincronizacin puede ser en una sola direccin o en ambas direcciones. En nuestro caso la sincronizacin es unidireccional y en el sentido Openldap -> OID, es decir, todos los cambios que se producen en el Openldap se reflejaran en el OID pero no a la inversa (la razn es que OID mete mucha informacin para la gestin propia que no nos interesa que est en el Openldap). Respecto a la gestin de claves, puedes decidir pasar todas las claves del Openldap al OID o por el contrario dejar las claves en el openldap y el OID las consultar cuando lo necesite. Por ltimo le dices a tu SGDB que la autenticacin de usuario ser a travs del OID.
Es un poco engorroso pero funciona perfectamente. El modulo de sincronizacin est muy bien desarrollado y no da ningn problema. El gran inconveniente es tener que gestionar 2 ldap (openldap y oid). Adems OID necesita tener su propia bd oracle donde almacena su informacin (aunque esto es una perogrullada porque todos los ldap necesitan tener una bd donde guardar su informacin), pero claro una bd oracle es ms difcil de instalar, configurar y mantener que una Berkeley DB.

16

Jess Lucas Flores

Seguridad en Oracle y Autenticacin de Usuarios

BBDD

WEBGRAFIA

http://www.oracle.com http://www.oracle.com/technology/products/oid/index.html http://download-west.oracle.com/docs/cd/B10501_01/server.920/a96521/secure.htm#2232 http://www.dba-oracle.com/ http://www.dba-oracle.com/t_password_security.htm http://www.dba-oracle.com/t_windows_external_user_authentication.htm http://www.dbasupport.com/oracle/ora11g/11gSecurityGuide08.shtml http://www.red-database-security.com http://www.petefinnigan.com/orasec.htm http://www.orafaq.com/ http://www.orafaq.com/node/1027 http://www.orafaq.com/forum/t/154584/149564/ http://www.infor.uva.es/~jvegas/cursos/bd/oraseg/oraseg.html http://www.oraclerant.com/?p=23 http://www.oracle-base.com

17