SSL-Einstellungen für den Oracle Management Agent

von Ralf Durben, ORACLE Deutschland GmbH

Oracle Enterprise Manager Grid Control arbeitet mit Agenten auf den verschiedenen Zielplattformen. Diese Agenten (Oracle Management Agent) kommunizieren mit dem zentralen OMS (oder mehrereren zentralen OMS in einer HA Umgebung). Dabei werden unter anderem ständig Monitoringdaten vom Agenten zum OMS geschickt. Damit diese Kommunikation nicht von Außenstehenden abgehört werden kann, sollte sie mittels SSL-Verschlüsselung gesichert werden. Dieses ist auch seit Oracle Enterprise Manager Grid Control 10g Release 2 standardmäßig der Fall.

Sicherheitsmaßnahmen wie Verschlüsselung sind bekanntermaßen nicht auf ewig als sicher einzustufen. Vielmehr stellen sie eine Hürde dar, die immer wieder erhöht werden muss, da auf der Gegenseite potentielle Angreifer immer höher "springen" können. Aus diesem Grund wünscht man sich eine Einstellmöglichkeit bei der Agent-OMS Kommunikation hinsichtlich der verwendeten SSL-Mechanismen. Schließlich gibt es dort auch verschiedene Verschlüsselungsverfahren.

Oracle beobachtet stets die aktuelle Situation, und so wurden zum Beispiel die Mechanismen bei dem Wechsel von Grid Control 10g Release 1 nach Release 2 angepasst. Dabei kommen Parameter zur Anwendung, die jedoch ein wenig versteckt sind.

Einstellungen für den Oracle Management Agent werden in der Datei $AGENT_HOME/sysman/config/emd.properties festgelegt. Sucht man dort nach einem Parameter zu SSL, findet man nur den Parameter SSLSessionCache, der hier nicht so interessant ist. Viel interessanter ist die Datei $AGENT_HOME/sysman/config/emd.properties.template. Dort finden Sie ganz am Ende der Datei die folgende Sektion:

# This parameter enables/disables SSLV2 when agent listening as a server
# Need to restart agent to pick up the change
#@description=Enable or disable SSLV2 in agent listener, requires agent restart
#@valueType=Boolean
#@LOV=false;true
#@default=true
#
#DisableSSLV2=false

# This parameter sets the allowed cipher suites, seperated by ':'
# If not specified, the default list is:
# SSL_RSA_WITH_RC4_128_MD5
# SSL_RSA_WITH_RC4_128_SHA
# SSL_RSA_WITH_3DES_EDE_CBC_SHA
# SSL_RSA_WITH_DES_CBC_SHA
# SSL_RSA_EXPORT_WITH_RC4_40_MD5
# SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
#
# the supported list is:
# SSL_RSA_WITH_3DES_EDE_CBC_SHA
# SSL_RSA_WITH_RC4_128_SHA
# SSL_RSA_WITH_RC4_128_MD5
# SSL_RSA_WITH_DES_CBC_SHA
# SSL_RSA_EXPORT_WITH_RC4_40_MD5
# SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
# SSL_RSA_WITH_AES_128_CBC_SHA
# SSL_RSA_WITH_AES_256_CBC_SHA
# SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
# SSL_DH_anon_WITH_RC4_128_MD5
# SSL_DH_anon_WITH_DES_CBC_SHA
#@description=list of allowed cipher suites
#@valueType=String
#@LOV=
#@default=
#
#SSLCipherSuites=

Es gibt also die beiden Parameter

DisableSSLV2
SSLCipherSuites

Der erste Parameter gibt an, ob SSL V2 deaktiviert werden soll. Schließlich ist SSL V3 der derzeitige Standard und V2 unsicherer. Wird der Parameter DisableSSLV2 auf TRUE gesetzt, ist SSL V2 abgeschaltet. Das ist zu empfehlen und wurde von Oracle mit dem Wechsel auf den Management Agent 10.2.0.4 automatisch vollzogen, denn dort ist der Default-Wert TRUE. Bei älteren Agenten sollte dieser Parameter auf TRUE gesetzt werden.

Der zweite Parameter gibt an, welche Methoden zur Anwendung kommen dürfen (Cipher Suites). Auch hier gibt es veraltete und aktuelle Verfahren. Insgesamt werden, wie auch in der Datei emd.properties.templates beschrieben, folgende Cipher Suites unterstützt:

# SSL_RSA_WITH_3DES_EDE_CBC_SHA
# SSL_RSA_WITH_RC4_128_SHA
# SSL_RSA_WITH_RC4_128_MD5
# SSL_RSA_WITH_DES_CBC_SHA
# SSL_RSA_EXPORT_WITH_RC4_40_MD5
# SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
# SSL_RSA_WITH_AES_128_CBC_SHA
# SSL_RSA_WITH_AES_256_CBC_SHA
# SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
# SSL_DH_anon_WITH_RC4_128_MD5
# SSL_DH_anon_WITH_DES_CBC_SHA

Davon sind jedoch einige standardmäßig nicht aktiviert. Der Default ist

# SSL_RSA_WITH_RC4_128_MD5
# SSL_RSA_WITH_RC4_128_SHA
# SSL_RSA_WITH_3DES_EDE_CBC_SHA
# SSL_RSA_WITH_DES_CBC_SHA
# SSL_RSA_EXPORT_WITH_RC4_40_MD5
# SSL_RSA_EXPORT_WITH_DES40_CBC_SHA

Derzeit muss leider festgestellt werden, dass der MD5 Algorithmus als nicht mehr völlig sicher gilt, wenn auch ein hoher Aufwand zum Knacken getrieben werden muss. Es gibt geteilte Meinungen darüber, ob dieser Algorithmus noch genutzt werden sollte. Wenn Sie nun dafür sorgen möchten, dass er nicht mehr genutzt wird, dann können Sie den Parameter SSLCipherSuites ändern und die zugelassenen Werte angeben. Dabei trennen Sie diese Werte durch einen Doppelpunkt:

SSLCipherSuites=SSL_RSA_WITH_RC4_128_SHA:SSL_RSA_WITH_3DES_EDE_CBC_SHA:SSL_RSA_WITH_DES_CBC_SHA:SSL_RSA_EXPORT_WITH_DES40_CBC_SHA

Nun gibt es noch eine Diskussion hinsichtlich der Frage, ob 112-Bit Schlüssel noch genutzt werden sollen. Um diese auszuschliesen definieren Sie

SSLCipherSuites=SSL_RSA_WITH_RC4_128_SHA:SSL_RSA_WITH_3DES_EDE_CBC_SHA

Fazit: Jede Sicherheitsmaßnahme muß immer wieder überprüft werden. Das gilt auch für die SSL-verschlüsselte Kommunikation zwischen Oracle Management Agent und OMS. Oracle stellt die implementierten und standardmäßig eingestellten Verfahren immer wieder auf den Prüfstand und passt die Einstellungen bei jedem Releasewechsel bei Bedarf an. Wenn Kunden dennoch Bedenken haben und strengere Maßstäbe ansetzen, können Sie diese durchsetzen, indem Sie die erlaubten Cipher Suites über den Parameter SSLCipherSuites anpassen. Oracle Management Agents ab der Version 10.2.0.4 nutzen kein SSL V2 mehr. Wenn Sie ältere Agenten einsetzen, können Sie dieses durch Setzen des Parameters DisableSSLV2 erreichen.

Zurück zur Community-Seite