Advanced Security Option ( ASO )

Posted by | Mart 21, 2013 | Database, Security | No Comments


Advanced Security Option ( ASO )

Oracle veri tabanında, en temel güvenlik sorunu olarak ortaya çıkan yapı temel kurulumda verilerin taşınması ve saklanması noktalarında trafiğin düz metin ( clear text ) olarak hareket etmesidir.

En temel seviyede veriler şifrelenerek gerek yetkisiz kullanıcıların ve gerekse kötü niyetli girişimcilerin özellikle kritik öneme sahip verilere erişimi engellenmiş olur.

Advanced Security Option ( ASO ) ‘yu aşağıdaki örnek ve ekran görüntüleri yardımıyla daha kolay anlamaya çalışalım.

Güvenlik seçeneklerinin aktif olmadığı bir Oracle veri tabanı üzerindeki trafiği Wireshark yazılımı yardımıyla izleyelim.

image001

Görüldüğü gibi erişilmek istenen veri tabanına ait tüm bilgiler açık bir şekilde izlenebilmektedir.

Şimdi de kritik veriler içerdiğini varsaydığımız bir tablo oluşturalım ve bu tabloya veri girişi yapalım.  Daha sonra da tablodaki kayıtları sorgulayalım.

image002

image003

image004

Yukarıdaki sorgumuzu çalıştırdığımızda yine Wireshark yazılımı yardımıyla bu verilere açık bir şekilde erişilebilmektedir.

image005

image006

image007

 

 

Bu zaafiyetin giderilmesi için sorgulanan ve/veya saklanan verilerin şifrelenmesi gerekir. Bu noktada kullanacağımız Oracle Advanced Security Option (ASO) çözümü yardımıyla verilerimizi şifreleyebilir böylelikle ağımızı dinleyen yetkisiz kişilere ve/veya kötü niyetli yaklaşımlara hiçbir şekilde kullanamayacakları düz metin olmayan bir çıktı vermiş oluruz.

Şimdi ASO yardımıyla verilerimizi nasıl güvenli hale getireceğimizi görelim.

“Oracle Net Manager” kullanılarak yapılandırma, arayüz yardımı ile yapılabilir. Oracle Net

Manager`i çalıştırmak için $ORACLE_HOME/bin/netmgr komutu kullanılır.

image008

Sol tarafta Profile seçilir, sağ tarafta ise Advanced Security Option seçilir.

image010

Burada “Encryption” tabına tıklanarak gerekli ayarlar yapılır.

“Encryption Type” için dört opsiyon vardır.

REQUIRED: Veri tabanı şifreleme olmadan bağlantılara izin vermeyecektir.

REQUESTED: İsteğe bağlı olarak şifreleme yapılabilecektir. Bu seçimde default olarak hem server hem client tarafında şifreleme yapılır, aksi durumda şifreleme olmaz.

ACCEPTED: Serverda “ACCEPTED”, client tarafında “REQUIRED” ve/veya “REQUESTED” seçilmesi durumunda şifreleme yapılır. Bu opsiyonda seçim istemci tarafındadır.

REJECTED: Şifrelemeye izin verilmeyeceği durumlarda seçilecektir.

image012

Client tarafı için yapılması gereken değişiklikler ise aşağıdaki gibidir.

image014

 

Yukarıdaki şekilde yaptığımız değişiklikleri kaydettiğimizde $ORACLE_HOME/network/admin/sqlnet.ora dosyası aşağıdaki şekilde olacaktır.

image016

Bu noktadan sonra artık verilerimiz şifrelenmiş şekliyle hareket edecektir. Daha önce sonucunu açık bir şekilde okuyabildiğimiz sorguyu tekrar çalıştırdığımızda gönderilen sorgunun ve dönen sonucun şifrelenmiş olduğu ve ağımızı izleyen kişiler tarafından bir anlam ifade etmediğini görebiliriz.

image004

image018

image019

Leave a comment

Your email address will not be published. Required fields are marked.