none
Problemas con ISA y Oracle RRS feed

  • Pregunta

  • A ver quien puede guiarme un poco en este problema que es bastante urgente de resolver.

    Tengo un servidor en la DMZ con W2003 y un Oracle 9. localmente la conexion al oracle es perfecta.

    despues tengo un isa server 2004 y en la LAN otro W2003 con otro Oracle.

    el problema viene cuando quiero hacer una conexion desde el oracle de la DMZ al Oracle de la LAN, para que pueda pasar info desde la LAN a la DMZ.

    ya habilite los puertos: 1521 - 1575 - 1810 - 2481 tanto en TPC como en UDP, segun referencias de conexion del manual de Oracle, pero todo el tiempo la conexion del Oracle de la DMZ me tira un error: ORA-12535 TNS: operation time out

    alguien podria orientarme donde esta el problema, ya que no soy muy conocedor del ISA y tal vez el problema esta ahi, en alguna regla que hice mal.

    ya probe varias soluciones que encontre en la web para este error de oracle, pero ninguno me funciono.

    desde ya muchas gracias, a quien pueda darme una mano.

    saludos cordiales

    jueves, 15 de noviembre de 2007 16:49

Respuestas

Todas las respuestas

  • Hola:

     

    Si pensas que el error esta en ISA lo primero que tenes que hacer para diagnosticarlo es ver el monitoreo de ISA y que te diga que regla y que trafico esta filtrando. Para eso seguí os pasos de esta nota. Una vez que tengas los resultado del monitoreo te va a ser muy facil ver donde esta el problema, de hecho,si tenes Service Pack 3 instalado en el ISA va a ser más que facil porque mejoro mucho la forma en que te muestra los resultados del logging.

     

    Si queres info para configurar el logging segui esta nota:

    Configure Logging

    http://www.microsoft.com/technet/isa/2004/help/CMT_H_CnfMonitor.mspx?mfr=true

     

    Si no tenes Service Pack 3 y queres instalarlo te paso el link para la edición estándar:

    http://www.microsoft.com/downloads/details.aspx?FamilyID=a05a074a-5033-4792-af8b-58b90d841436&DisplayLang=en

     

    Si vez que no te quedan del todo claro los resultados, postealos acá así los examinamos y vemos donde esta el problema.

     

    Espero te sirva de algo la respuesta y si te sirve como slución marcarla como tal.

     

    Saludos,

    Cristian.

    jueves, 15 de noviembre de 2007 17:58
  • cristian_2k, gracias por contestar en primer lugar

    por otro lado lo que queria saber es si alguien ya trabajo con un esquema similar entre DMZ y Oracle y un ISA, para saber como logro solucionarlo, porque ya probe todo lo que me pasaron y no logro conectarme.

    voy a ver lo que me decis a ver si encuentro algo que me pueda dar alguna pista.

    espero a quien tenga un esquema similar que me pueda ayudar.

    desde ya muchas gracias a todos

     

    jueves, 15 de noviembre de 2007 19:48
  •  

    Hola,

     

    Lo que te envie es para saber que trafico quiere pasar el Oracle y los clientes al Oracle para poder hacer la regla correcta, para saber cual es el trafico tenes que monitorear, porque el error de Oracle y de los clientes no nos va a decir mucho en este momento, solo que no hizo la conexión o algún timeout, en cambio, el monitoreo de ISA te va a decir que conexión no dejo establecer y a grandes rasgos va a decir porque, entonces ahí ya hay un mejor acercamiento a la solución.

     

    Te hago un par de preguntas para orientarme sobre tu entorno:

    1. ¿Tenes dos servidores Oracle? ¿Uno en la red interna y otro en la DMZ? ¿Cuando te referis al Oracle interno hablas de un cliente Oracle o de otro servidor? ¿Que versión es/son el/los Oracle/s?

    2. ¿Si tenes de los dos lados un servidor Oracle, probaste publicarlos a ambos, o sea, hacer una regla de publicación para cada uno, solo que uno de la interna a la DMZ y otro de la DMZ a la interna.

     

    Ahora, dejando un poco lo abstractor y métodico de ver que pasa, buscando un poco de información encontre que la conexión con el Oracle se establece así:

    1. El cliente Oracle inicia sesión en el puerto 1521 TCP del listener (ISA) y el ISA se la pasa al Oracle.
    2. Oracle le indica al cliente que se conecte en un puerto secundario de la IP real que tiene el Oracle.
    3. El paquete TNS es pasado al ISA, ISA no tiene un filtro de aplicación TNS que pueda inspeccionar el paquete, por lo que simplemente lo pasa.
    4. EL cliente recibe el paquete y trata de conectarse directo al puerto secundario a la IP que indica el paquete, o sea, la IP real del Oracle. Esto llega al ISA, pero el ISA no reconoce esa respuesta y tira el paquete del cliente.

     

    Esto quiere decir, que si nosotros vemos el mismo problema en tu monitoreo, entonces la solución va a ser hacer una regla de RUTEO entre la DMZ y la interna y no una de NATEO como se hace por default.

     

    Cuando tengas el monitoreo y la info de las preguntas seguimos, si no, directamente hace un regla de RUTEO entre la DMZ y la red INTERNA, sin olvidar un regla de acceso del servidor interno y el de la DMZ al interno y al de la DMZ:

    DE:                A:

    DMZ               DMZ

    Internal            Internal

     

    Espero te sirva de algo la respuesta y si te sirve como slución marcarla como tal.

     

    Saludos,

    Cristian.

     

    Saludos,

    Cristian.

    viernes, 16 de noviembre de 2007 7:33
  • Cristian

    te mando dos archivos del logging que me pedis para que los veas.

     

    IP de cliente original      Agente del cliente         Cliente autenticado        Servicio Nombre de servidor        Servidor remitente            Nombre de host de destino        Transporte        Tipo MIME        Origen del objeto           Proxy de origen Proxy de destino Bidireccional     Nombre de host de cliente         Información de filtro       Interfaz de red   Encabezado de Raw IP  Carga sin procesar      Puerto de origen            Tiempo de procesamiento          Bytes enviados  Bytes recibidos Código de resultados            Código de estado HTTP Información de caché     Información de error       Tipo de escrituras en registro     Hora de registro IP de destino     Puerto de destino          Protocolo          Acción  Regla    IP de cliente      Nombre de usuario de cliente            Red de origen    Red de destino  Método HTTP    Dirección URL

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1274     0          0          0          0x0                  0x0       0x0       Firewall 16/11/2007 10:36:19           10.200.11.2       1521     Oracle TCP       Conexión iniciada          de DMZ a LAN  172.16.1.2                    DMZ            Interna  -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1275     0          0          0          0xc004000d FWX_E_POLICY_RULES_DENIED             0x0       0x0       Firewall 16/11/2007 10:36:19      10.200.11.2       4795     Tráfico IP sin identificar (TCP:4795)            Conexión denegada       Regla predeterminada    172.16.1.2                    DMZ     Interna  -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1274     0          562       271       0x80074e20 FWX_E_GRACEFUL_SHUTDOWN             0x0       0x0       Firewall 16/11/2007 10:36:19      10.200.11.2       1521     Oracle TCP       Conexión cerrada          de DMZ a LAN       172.16.1.2                    DMZ     Interna  -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1275     0          0          0          0xc004000d FWX_E_POLICY_RULES_DENIED             0x0       0x0       Firewall 16/11/2007 10:36:23      10.200.11.2       4795     Tráfico IP sin identificar (TCP:4795)            Conexión denegada       Regla predeterminada    172.16.1.2                    DMZ     Interna  -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1275     0          0          0          0xc004000d FWX_E_POLICY_RULES_DENIED             0x0       0x0       Firewall 16/11/2007 10:36:29      10.200.11.2       4795     Tráfico IP sin identificar (TCP:4795)            Conexión denegada       Regla predeterminada    172.16.1.2                    DMZ     Interna  -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1212     116999953        369179 523578 0x0                  0x0       0x0       Firewall            16/11/2007 10:37:05      72.5.77.141       443       HTTPS  Estado de la conexión   DMZ a Internet  172.16.1.2                    DMZ     Externa -           -

     

    este es el primero que vuelve sobre el puerto 4795

     

    en otro mensaje te mando el resto porque no me deja poner todo el texto
    viernes, 16 de noviembre de 2007 14:08
  • segunda parte

     

    IP de cliente original      Agente del cliente         Cliente autenticado        Servicio Nombre de servidor        Servidor remitente            Nombre de host de destino        Transporte        Tipo MIME        Origen del objeto           Proxy de origen Proxy de destino Bidireccional     Nombre de host de cliente         Información de filtro       Interfaz de red   Encabezado de Raw IP  Carga sin procesar      Puerto de origen            Tiempo de procesamiento          Bytes enviados  Bytes recibidos Código de resultados            Código de estado HTTP Información de caché     Información de error       Tipo de escrituras en registro     Hora de registro IP de destino     Puerto de destino          Protocolo          Acción  Regla    IP de cliente      Nombre de usuario de cliente            Red de origen    Red de destino  Método HTTP    Dirección URL

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1279     0          0          0          0xc004000d FWX_E_POLICY_RULES_DENIED             0x0       0x0       Firewall 16/11/2007 10:39:45      10.200.11.2       4796     Tráfico IP sin identificar (TCP:4796)            Conexión denegada       Regla predeterminada    172.16.1.2                    DMZ     Interna  -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1279     0          0          0          0xc004000d FWX_E_POLICY_RULES_DENIED             0x0       0x0       Firewall 16/11/2007 10:39:50      10.200.11.2       4796     Tráfico IP sin identificar (TCP:4796)            Conexión denegada       Regla predeterminada    172.16.1.2                    DMZ     Interna  -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       UDP     -                                                                      -                                              1026     61000   58        224       0x80074e20 FWX_E_GRACEFUL_SHUTDOWN             0x0       0x0       Firewall 16/11/2007 10:40:06      200.43.193.85   53        DNS     Conexión cerrada          DMZ a Internet            172.16.1.2                    DMZ     Externa -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1280     0          0          0          0x0                  0x0       0x0       Firewall 16/11/2007 10:40:35           10.200.11.2       1521     Oracle TCP       Conexión iniciada          de DMZ a LAN  172.16.1.2                    DMZ            Interna  -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1281     0          0          0          0xc004000d FWX_E_POLICY_RULES_DENIED             0x0       0x0       Firewall 16/11/2007 10:40:35      10.200.11.2       4797     Tráfico IP sin identificar (TCP:4797)            Conexión denegada       Regla predeterminada    172.16.1.2                    DMZ     Interna  -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1280     0          562       271       0x80074e20 FWX_E_GRACEFUL_SHUTDOWN             0x0       0x0       Firewall 16/11/2007 10:40:35      10.200.11.2       1521     Oracle TCP       Conexión cerrada          de DMZ a LAN       172.16.1.2                    DMZ     Interna  -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1281     0          0          0          0xc004000d FWX_E_POLICY_RULES_DENIED             0x0       0x0       Firewall 16/11/2007 10:40:38      10.200.11.2       4797     Tráfico IP sin identificar (TCP:4797)            Conexión denegada       Regla predeterminada    172.16.1.2                    DMZ     Interna  -           -

    172.16.1.2                                            ZA-TLP-SVR07  -                       TCP      -                                                                      -                                              1281     0          0          0          0xc004000d FWX_E_POLICY_RULES_DENIED             0x0       0x0       Firewall 16/11/2007 10:40:45      10.200.11.2       4797     Tráfico IP sin identificar (TCP:4797)            Conexión denegada       Regla predeterminada    172.16.1.2                    DMZ     Interna  -

    este es el segundo que vuelve por el 4796 y el 4797

     

    con respecto a tus preguntas, te contesto:

    tengo dos servidores con oracle, uno en la interna (10.200.11.2) y otro en la DMZ (172.16.1.2) y ambos son 9i v9.0.2

    el primero se utiliza en la LAN con una aplicacion exclusiva para esa red.

    el segundo se utiliza para trabajos remotos con otra aplicacion.

    el hecho de vincular el de la DMZ con el interno viene porque tenemos una aplicacion web publicada en la DMZ que necesita tomar datos del que esta en la interna.

     

    en cuanto a las reglas de publicacion tengo una que va de la DMZ a la LAN solo por los puertos mencionados en el primer mensaje que publique y otra de la LAN a la DMZ que permite todo el trafico saliente para poder administrarlo y ver los datos publicados en la web

     

    fijate si esto te sirve y encontras algo que pueda ayudarme porque la verdad me estoy volviendo loco y para colmo tengo a toda la empresa ansiosa de ver esto funcionando.

    desde ya te agradezco enormemente tu ayuda.

    saludos Marcelo

     

    viernes, 16 de noviembre de 2007 14:09
  • Bueno, después de ver el resultado veo que el ISA no esta identificando el trafico.

    Lo que hay que hacer es lo siguiente:

     

    1. Create dos destinos nuevos: 1 destino va a ser el Servidor interno y uno 2do destindo va a ser tu servidor de la DMZ.

    2. Cambia la relación de tu regla de redes entre la red interna y la DMZ de NAT a Route.

    3. Deshabilita (después las eliminas si vemos que funciona) las reglas que hiciste para los Oracle y hacete una nueva regla de acceso (no de publicación), en principio para todos los protocolos (después lo achicas). En De: vas a a poner el destino que creaste para el Oracle interno y el destino para el oracle en la DMZ y en A: va a poner lo mismo que en DE: y esto lo vas a poner para todos los suaurios y trata de poner la regla al tope.

    Te queda más o menos así la regla:

    Trafico:                   De:                                      A:                               Para:

    Todo el trafico         Servidor-Interno                     Servidor-Interno           Todos los usuarios          

    saliente                  Servidor-DMZ                        Servidor-DMZ

     

    Básicamente lo que estamos haciendo es permitir todo el trafico entre el Oracle interno y el perimetral y no NATEANDO si no que RUTEANDO, porque aparentemente el TNS no se lleva bien con el NAT de ISA.

    Tene en cuenta que quizas tengas que cambiar alguna otra regla, pero acá la estrella es el Oracle, el resto si ya funcionaba va a seguir funcionando con algúna modificación.

     

    Probalo, después se puede pulir más restringiendo puertos, pero yo creo que con esto te tiene que funcionar de 10.

     

    Acordate, si fue la solución, marcarla como tal.

     

    Saludos,

    Cristian

    viernes, 16 de noviembre de 2007 15:10
  • a ver si te logro comprender y disculpame si te resulto un poco tosco en esto, pero en realidad con el ISA toco de oido.

     

    yo tengo en REDES estas dos: Interna y DMZ con sus respectivas IP.

     

    luego tengo una regla de red:

    de DMZ a LAN

    Redes de origen                Redes destino                    Relacion

            DMZ                            Interna                               Ruta

     

    dos reglas de acceso:

    de LAN a DMZ

    Protocolos                   De                A                  Usuarios

    Todo el saliente         Interna           DMZ              Todos los usuarios

     

    de DMZ a LAN

    Protocolos seleccionados                       De                  A                  Usuarios

    Oracle TCP

    Oracle UDP                                        DMZ               Interna             Todos los usuarios

     

    de acuerdo a lo que me decis, deberia deshabilitar de segunda regla y modificar la primera con los parametros que vos me pasas, es asi?

    ahora, si hago esto no quedo expuesto al permitir todo el trafico entre ambas redes, porque me parece que estoy dejando todo abierto desde la DMZ hasta la Interna.

    corregime si estoy errado porque ya te comente que estoy recien entendiendo como funciona este monstruo de ISA.

    espero tus comentarios que ya me van orientando mejor para darle soluciona mi problema.

    nuevamente muchas gracias

     

    ya que estamos te pregunto si sabes de algun libro o pagina en español sobre ISA, para poder estudiarlo mejor.

    saludos Marcelo

    viernes, 16 de noviembre de 2007 16:11
  • Hola Marcelo:

     

    Le idea no es que hagas una regla "de" DMZ e Interna "a" DMZ e Interna, sino que te estoy diciendo que definas dos destinos y haces la comunicación libre entre los dos servidores Oracle puntualmente. En ISA Server, cuando definis el origen y el destino, el origen puede ser, un sitio, un dominio, un equipo, un grupo de equipos, una red una subnet, lo que quieras, lo mismo con el destino. En este caso, la idea es que vos crees una regla que habilita el trafico del Oracle Interno al Oracle perimetral y, en la misma regla, del Oracle perimetral al Oracle interno. Con respecto a dejar todo el trafico saliente, es simplemente a fines de prueba, si esto funciona, entonces definis tu regla de protocolo para comunicación del Oracle, incluyendo todos los puertos que conoces y los que estan dentro del rango que el Oracle quiere abrir posteriormente y lo aplicas, pero para empezar, que sea para todas las conexiones salientes.

     

    Los pasos para modificar la regla serían así:

    1. Abris la regla que vas a modificar.

    2. Te vas a la solapa "De" y le das click en "Agregar".

    4. Seleccionas en el menú la opción Nuevo y luego Equipo.

    5. Le definis el nombre, por ejemplo: ORA-Interno, le definis la IP 10.200.11.2 y le das click en Ok.

    6. Vas a volver a la pantalla de selección del origen y en la rama Equipos te va a aparecer tu nuevo destino. Lo seleccionas y le das click en Agregar.

    7. Repetis los pasos 2 a 6 pero esta vez con el equipo ORA-DMZ y con la IP correspondiente.

    8. Ahora en "De" deja solo las dos definiciones que creamos (ORA-DMZ y ORA-Interno).

    9. Te vas a las solapa "A" y eliminas todo lo que hay y dejas solamente ORA-DMZ y ORA-Interno que ya estan creados igual que en "De".

    10. En Trafico pones "Todas las conexiones salientes".

    11. Aceptas y aplicas los cambios.

     

    De esta manera esta siendo muy granular en tu definición de la regla y no dejas nada expuesto. Además otra cosa, tene en cuenta que estamos haciendo conexiones entre una red perimetral y una interna, por lo que es más seguro aún. De todas formas, el hecho de cambiar la regla de red de NAT a ROUTE implica que la comunicación deja de ser unidireccional a ser bidireccional, por lo que tenes que ser muy especifico con tus reglas y con el hardening que le haces a los servidores. Teniendo en cuenta eso no vas a tener problemas de seguridad.

     

    Chequeate este link si queres más información sobre el funcionamiento de NAT y ROUTE en ISA:

    http://www.microsoft.com/technet/isa/2004/help/CMT_NetworkRules.mspx?mfr=true

     

    Sobre lo que me pediste de info, lo mejor es Technet, a partir de este link podes acceder a toda la documentación que se te ocurra sobre ISA Server 2004:

     

    Microsoft ISA Server 2004 Enterprise Edition and Standard Edition Help

    http://www.microsoft.com/technet/isa/2004/help/default.mspx?mfr=true

     

     

    Espero puedas solucionar el problema, aguardo tus comentarios.

     

    Saludos,

    Cristian.

    viernes, 16 de noviembre de 2007 17:22
  • Cristian

    hasta aca todo ok, funciono bien.

    cree y modifique lo que me pasaste y ahora logro establecer el enlace sin problemas.

    el problema viene cuando quiero pasarle solo los puertos que necesito, segun Oracle, para dejar segurizada la conexion y que no queda nada expuesto, por las dudas.

    al ponerle en la regla solo los puertos necesarios, otra vez no me deja conectar y me tira el timeout de Oracle.

    seguramente me falte definir algo.

    para dejar mas o menos en claro esto y no seguir molestandote mas, ya con lo que me pasaste resolvi el primer problema que era el mas urgente (vincular los Oracle), aca lo que falta solamente es resolver que puertos hacen falta para que funcione bien el enlace entre ellos y nada.

    despues de esto ya quedaria restringida la seguridad dado que solo se publican esos puertos y nada mas, no?

    desde ya muchas gracias por tu aporte.

    saludos cordiales Marcelo

     

    martes, 20 de noviembre de 2007 15:56
  • Hola Marcelo:

     

    Hasta ahora vamos por buen camino, yo te diria que volvamos a usar el monitoreo, a ver que puertos quiere usar el Oracle. No soy especialista en Oracle y todo  lo que te fuí pasando de data es lo que deducí por tus capturas, así que si queres, tomate una nueva captura con todos tus protocolos definidos y vemos que es lo que se te esta denegando, te parece?. Ahora, con respecto a la seguridad, entiendo perfectamente tu punto de proteger la red y los recursos en todas las instancias y coincido en tu inquietud. Pero es importante ver realmente donde puede haber una brecha de seguridad y ver que tan importante sea ser tan granular con el filtrado en tu caso (obviamente, lo más granular es lo mejor, pero no siempre es viable). Si podes, confirmame si esta descripción de tu red es acertada:

     

     

    Servidor de aplicación

             |               Red DMZ                                Red Externa

             |----------------------------------- ISA Server  ---------------------------------- Internet

             |                                         |

    Servidor Oracle                             |  Red Interna

                                                       |

                                                Servidor Oracle

     

    Ahora, lo que vos tendrías publicado en internet sería el servidor de aplicación, ese servidor de aplicación se conecta al Oracle y ese Oracle al Oracle interno, pero nunca ninguno de los dos Oracle estaría expuesto a internet directamente, si no que, al oracle de la DMZ solo se puede llegar desde el servidor de aplicación (y desde el Oracle interno) y al de la red interna desde el Oracle de la DMZ (y desde la red interna), esto sería un escenario bastante seguro, ya que si el servidor de aplicación es correctamente protegido no sería factible llegar ni siquiera al Oracle que esta en su misma red (en la DMZ misma), entonces para llegar a comprometerse tu red, a grandes rasgos, primero tendría que comprometerse el ISA, llegar el sarvidor de aplicación y de comprometer el servidor de aplicación, recien ahí se podría llegar a comprometer el Oracle de su misma red y recien ahí podría llegar a quedar comprometido el Oracle de la red interna y recien a traves de ese Oracle llegar a tu red interna y comprometerla, es un camino bastante largo diría yo. Con todo esto voy a que si tu red esta así, tu mayor preocupación no sería solo el trafico entre ambos Oracles, si no también el mismo servidor de aplicación, ahora, si mi percepción de tu entorno es erronea y la aplicación esta directamente en el Oracle de la red DMZ, entonces si, manos a la obra y a buscar la forma de ser lo más especifico en el trafico que pase de un Oracle a otro.

     

    martes, 20 de noviembre de 2007 18:06
  • Cristian

    en realidad la aplicacion esta en el mismo equipo que el Oracle, osea, que si alguien se apodera de ese equipo podria entrar a la red interna, a grandes rasgos, claro.

    por eso hice tanto incapie en el trafico de un oracle al otro, por las dudas.

    el proceso seria mas o menos asi:

    la aplicacion se conecta por medio del cliente Oracle a la red interna al Oracle, para pedirle datos para mostrar en la web.

    a su vez, en el mismo equipo de la DMZ puede haber un usuario que este trabajando desde internet en el Oracle de la DMZ haciendo pruebas, para aplicar luego en el Oracle interno, con scripts que me deja en el ftp para correr mas tarde o haciendo modificaciones a la aplicacion web.

    esto lo hace via Toad que ve la conexion al oracle interno y no encontre forma de restringirlo.

    es medio complicada la forma de trabajo, pero es lo que tengo disponible, un solo equipo para la DMZ y ahi tengo que montar todos los servicios que se necesiten acceder desde internet.

    asi que todo lo que puedas pasarme como para segurizarlo bien te lo agradecere muchisimo.

    una vez que tenga un reporte del ISA de las conexiones del oracle te lo paso.

    saludos Marcelo

     

     

    martes, 20 de noviembre de 2007 20:55
  • Hola Marcelo:

     

    Yo creo que si queres asegurar tu servidor Oracle, lo mejor es que recurras a la documentación que te va a decir puntualmente puertos abrir, TCP, UDP, de que lado a que lado, toda la información que necesites, tomar capturas es prueba y error, y es probable que veamos una captura y pensemos que es un puero especifico y capaz es un puerto aleatorio dentro de un rango. Yo no tengo acceso a documentación especifica de Oracle aparte de la que se encuentra online y encontre este link con todos los puertos que usa Oracle:

    http://www.red-database-security.com/whitepaper/oracle_default_ports.html

     

    Aparte acá también hay información de puertos, alguno son rangos y es OFICIAL!!!!

     

    http://download.oracle.com/docs/cd/B19306_01/install.102/b15660/app_port.htm#BEHFDBEE

     

    http://download-west.oracle.com/docs/cd/B13866_04/extras.904/b12232/ports.htm#i634441

     

    http://download-east.oracle.com/docs/cd/B25221_02/core.1013/b25209/portnums.htm#i689160

     

    No hay mucho más que hacer del lado de ISA, ya es cuestion de verlo con Oracle porque al fin y al cabo solo tenes que configurar el conjunto de puertos, pero ya no es problema de ISA.

     

     

    Espero te pueda servir de ayuda. Recuerda que si esto es la respuesta a tu pregunta de marcarla como tal.

     

    Saludos,

    Cristian


     

    • Marcado como respuesta Ismael Borche lunes, 4 de abril de 2011 20:39
    viernes, 23 de noviembre de 2007 5:35