Oracle LiveLabs实验:DB Security - Native Network Encryption (NNE)

已于 2022-05-12 20:58:31 修改
阅读量679 收藏
点赞数
分类专栏: Oracle LiveLabs Oracle数据库管理 Oracle数据库安全 文章标签: oracle security LiveLabs NNE encryption
于 2022-03-28 23:03:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stevensxiao/article/details/123806370
版权

概述

此实验申请地址在这里,时间为2小时。

实验帮助在这里

本实验使用的数据库为19c。

简介

在此小型实验中,您将学习如何使用 Oracle 本地网络加密 (NNE - Native Network Encryption) 功能。

Lab 4: Native Network Encryption (NNE)

Introduction

本实验介绍 Oracle 本地网络加密 (NNE) 的功能。 它使用户有机会学习如何配置此功能以加密和保护运动中的数据。

Task 1: Check the current network configuration

sudo su - oracle
cd $DBSEC_LABS/nne
./nne_view_sqlnet_ora.sh

输出如下:

==============================================================================
 Displays the SQLNet.ora file content...
==============================================================================

. The contents of the sqlnet.ora are:

这表示文件${ORACLE_HOME}/network/admin/sqlnet.ora最初为空。

检查网络是否已经加密:

./nne_is_sess_encrypt.sh

输出如下:

       SID USERNAME             AUTH_TYPE  NETWORK_SERVICE_BANNER
---------- -------------------- ---------- ---------------------------------------------
       707 SYSTEM               DATABASE   TCP/IP NT Protocol Adapter for Linux
           SYSTEM               DATABASE   Encryption service for Linux
           SYSTEM               DATABASE   Crypto-checksumming service for Linux

实际执行的是以下SQL:

select a.sid, a.username, b.authentication_type as auth_type, regexp_substr(b.network_service_banner,'[^:]+',1,1 ) network_service_banner
  from V$SESSION a
     , V$SESSION_CONNECT_INFO b
 where a.sid = sys_context('userenv','sid')
   and a.sid = b.sid;

当前,在NETWORK_SERVICE_BANNER列,还看不到具有Encryption service adapter的行。说明NNE尚未启用。

V$SESSION_CONNECT_INFO 显示所有当前登录会话的网络连接信息。

Task 2: Generate and capture SQL traffic

对流量运行 tcpdump ,分析网络中传输的数据包(等待执行结束):

./nne_tcpdump_traffic.sh

此脚本首先执行tcpdump,然后运行sqlplus连接到数据库并执行SQL语句。捕获的输出存到文件tcpdump.pcap中。有很多工具可用于分析 pcap 文件。

$ wc -l tcpdump.pcap
2663 tcpdump.pcap

$ file tcpdump.pcap
tcpdump.pcap: tcpdump capture file (little-endian) - version 2.4 (Linux "cooked", capture length 1514)

接下来,我们将为 Glassfish 应用程序捕获网络流量。开始运行捕获脚本并且不要关闭它:

./nne_capt_empsearch_traffic.sh

打开浏览器,访问页面http://<YOUR_DBSEC-LAB_VM_PUBLIC_IP>:8080/hr_prod_pdb1 。

输入用户名hradmin和口令Oracle123。单击Search Employees,然后单击Search按钮。

现在回到您的终端会话以查看流量内容。可以看到很多明码,输入[Ctrl]+C以结束tcpdump程序。

Task 3: Enable the network encryption

您将使用 SQLNET.ENCRYPTION_SERVER 的 REQUESTED 值启用 SQL*Net 加密。

我们首先使用此选项,因为它仍将允许非加密连接连接数据库。 这样做通常很重要,因为其不会干扰无法在客户端和数据库之间加密的生产系统!

./nne_enable_requested.sh

它实际将sqlnet.ora修改为如下:

$ cat $ORACLE_HOME/network/admin/sqlnet.ora
SQLNET.ENCRYPTION_SERVER=REQUESTED

TLS 证书是本地网络加密(NNE)的替代方案,但需要用户管理和更多配置。

再次检测会话是否加密:

./nne_is_sess_encrypt.sh

输出如下:

. Query if there is a "Encryption service adapter" row in the query output

       SID USERNAME             AUTH_TYPE  NETWORK_SERVICE_BANNER
---------- -------------------- ---------- ---------------------------------------------
       589 SYSTEM               DATABASE   TCP/IP NT Protocol Adapter for Linux
           SYSTEM               DATABASE   Encryption service for Linux
           SYSTEM               DATABASE   AES256 Encryption service adapter for Linux
           SYSTEM               DATABASE   Crypto-checksumming service for Linux

现在我们可以看到新增的行,其NETWORK_SERVICE_BANNER的值为AES256 Encryption service adapter for Linux。

现在,对流量重新运行 tcpdump 以分析网络上传输的数据包(等待执行结束):

./nne_tcpdump_traffic.sh

以上脚本实际使用strings命令来分析文件tcpdump.pcap。

DEMO_HR_EMPLOYEES 表数据仍然可以查询,但是当它显示在 tcpdump 中时,它们现在不可读,因为会话已加密!

在您的终端会话中捕获生成的流量,并且不要关闭它:

./nne_capt_empsearch_traffic.sh

以上脚本实际使用tcpflow来分析流量。

再次在网页中运行查询,需登出然后重新登入。

这个脚本可能有些问题,实际上egrep那句应该注释,而上面那句应该解除注释:

$ cat nne_capt_empsearch_traffic.sh
...
# sudo tcpflow -i any -c port 1521 -S enable_report=NO
sudo tcpflow -i any -C port 1521 -S enable_report=NO | egrep -i 'Oracle123|authenticate|password|hradmin|oracledemo|SELECT|FROM|WHERE|USER'
...

Task 4: (Optional) Disable the network encryption

./nne_disable.sh

此脚本的核心在于删除SQLNET.ENCRYPTION_SERVER所在行:

sed -i '/SQLNET.ENCRYPTION_SERVER/d' ${ORACLE_HOME}/network/admin/sqlnet.ora

Appendix: About the Product

Oracle 数据库提供本地数据网络加密和完整性,以确保动态数据在网络中传输时是安全的。
在这里插入图片描述
安全密码系统的目的是基于密钥将明文数据转换为难以理解的密文,这样在不知道正确密钥的情况下很难(计算上不可行)将密文转换回其对应的明文。

在对称密码系统中,相同的密钥用于加密和解密相同的数据。 Oracle 数据库提供高级加密标准 (AES) 对称密码系统,用于保护 Oracle 网络服务流量的机密性。

Oracle SQL*Net 流量可以通过以下方式加密:

  1. 本机网络加密(即本实验介绍的NNE)
  2. 基于 TLS 证书的加密

Want to Learn More?

参考文档Oracle Native Network Encryption 19c

Acknowledgements

本实验作者为Hakim Loumi,贡献者为Rene Fontcha

dingdingfish
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习库:Oracle技术学习资料
02-24
欢迎 LiveLabs是使用研讨会来探索Oracle产品和服务的地方,该研讨会旨在增强您在云和本地上构建和部署应用程序的经验。 我们的讲习班库涵盖了从如何配置世界上第一个自治数据库到在我们世界一流的OCI第2代基础设施上建立Web服务器,机器学习等等的所有内容。 使用您现有的Oracle Cloud帐户,免费套餐帐户或LiveLabs Cloud帐户在Oracle Cloud上构建,测试和部署应用程序。 我该如何开始? 立即访问以开始使用。 每周都会增加研讨会,请经常访问以获取新内容。 开发人员特色研讨会 自主数据库特色研讨会 OCI专题研讨会 数据库19c专题研讨会 企业经理专题研讨会 贡献 当前不接受请求请求。 有关详细信息,请参见。 要在此页面上显示您的研讨会特色,请联系Kay Malcolm或Tom McGinn。 执照 版权所有(c)2014、2020 Oracle和/或
Oracle自治数据库自动分区报告
11-16
Oracle LiveLab实验“Boost Database Performance with Oracle Auto Partitioning”中的自动分区报告。
oracle数据库常见问题处理总结3
u011635437的博客
05-25 1025
1、ORA-28040: No matching authentication protocol 将$ORACLE_HOME/network/admin/sqlnet.ora文件添加如下两参数 SQLNET.ALLOWED_LOGON_VERSION_SERVER=8 SQLNET.ALLOWED_LOGON_VERSION_CLIENT=8 2、不同表空间数据导入失败 –修改用户 orcl 具有 test_data 数据表空间的权限(方法不止这一种) revoke unlimited tablespa
oracle sqlnet配置,Oracle配置sqlnet.ora限制ip访问[Oracle基础]
weixin_39881760的博客
04-05 509
操作系统可以通过防火墙之类的功能来限制访问,Oracle也提供了限制对Oracle访问的功能,配置sqlnet.ora限制ip访问。sqlnet.ora文件通常$ORACLE_HOME/network/admin/目录下,如果没有也可以手工创建。$ cat sqlnet.oraNAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)sqlnet.expire_time...
Oracle11g数据库安全性----纵深防御体系
ciren660440648的博客
03-30 376
在目前的金融危机的大环境下,安全性越来越多的被谈及,大家一谈到安全性,内部审计则是其中被谈到最多的内容。...
linux检查oracle数据库,linux终端如何检查远程oracle数据库策略配置
weixin_28856787的博客
04-10 847
上一篇讲了在linux终端如何检查远程主机策略配置,这一篇继续补充说一下linux终端如何检查远程oracle数据库策略配置。检查环境和上一篇中描述的一样,接下来我们就进入主题。我们先看一段我检查的记录,可以从中发现一些小窍门。[root@byhis01~]#su-oracleoracle@byhis01:~$sqlplus/nologSQL*Plus:Release10.2.0.1.0-Prod...
oracle用户认证方式,Oracle用户密码认证方式
weixin_35340181的博客
04-12 416
none:不使用密码文件认证。如果选择了这个值,就相当于屏蔽了密码文件的内容了。exclusive:要密码文件认证,自己独占使用(默认值)shared:要密码文件认证,不同实例dba用户可以共享密码文件2.位于$ORACLE_HOME/network/admin/sqlnet.oraSQLNET.AUTHENTICATION_SERVICES=none|all|ntsnone:关闭操作系统认证,只...
Oracle:配置传输加密
sqlora的专栏
03-10 2358
配置传输加密只需在一端配置即可,为了避免单点故障,建议客户端和服务端都进行相应配置,做好充足的测试校验。
oracle透明加密部署及场景使用
weixin_42575078的博客
04-18 988
一 文档说明 二 钱夹的部署 2.1 指定钱夹存放位置 2.2 创建目录 2.3 创建主加密键 2.4 打开和关闭钱夹 2.5 加密列和表空间具体过程 三RAC中配置wallet钱夹 四DG端配置钱夹 4.1 指定钱夹存放位置 4.2 创建目录 4.3 拷贝primary端加密钱夹 4.4 创建自动打开的钱夹 4.5 说明 五 钱夹的备份 场景一:透明加密后,存储在磁盘上的数据是密文 场景二:exp/imp导出导入测试 场景三:expdp/impdp导出导入测试 场景四:
oracle网络概要配置文件 -- sqlnet.ora
最新发布
sinat_39619040的博客
12-02 621
不需要客户端进行任何配置。SQLNET.AUTHENTICATION_SERVICES 值等于NTS 时,表示当用户登录到操作系统后,允许该用户以sysdba 身份直接登录数据库系统;值为NONE 时,则不允许用户以sysdba 身份直接登录数据库。当作一个主机名,然后通过网络途径去解析它的IP 地址,接着去连接这个IP 上的global_dbname = myoracle 实例。时,系统会先去找sqlnet.ora 中的配置信息。如上文中的配置信息,客户端会先去找tnsnames.ora 文件中的。
Oracle的网络三大配置文件(sqlnet.ora、tnsnames.ora、listener.ora)
weixin_33921089的博客
02-02 1195
Oracle的网络三大配置文件(sqlnet.ora、tnsnames.ora、listener.ora) blog文档结构图: 1 说明 为了使得外部进程能够访问Oracle 数据库则必须配置Oracle 网络服务器环境配置, Oracle 网络服务器环境是通...
oracle的sqlnet.ora文件配置传输加密算法
墨 尘
02-20 3459
required:需要启用安全服务,如果另一侧未启用安全服务则不允许连接。required:需要启用安全服务,如果另一侧未启用安全服务则不允许连接。accepted:如果另一方需要或请求,则接受以启用安全服务。accepted:如果另一方需要或请求,则接受以启用安全服务。requested:如果另一方允许,则请求启用安全服务。requested:如果另一方允许,则请求启用安全服务。rejected:拒绝禁用安全服务,即使对方要求。rejected:拒绝禁用安全服务,即使对方要求。默认值:accepted。
配置sqlnet.ora限制IP访问Oracle
anjichan4261的博客
07-24 308
--==========================-- 配置sqlnet.ora 限制IP访问Oracle--========================== 与防火墙类似的功能,Oracle 提供限制与允许特定的IP或主机名通过Oracle Net来访问数据库。这个功能由sqlnet.ora配置文件来实现。该文件通常$ORACLE_HOME/network/admin/...
TLS协议分析 (九) 现代加密通信协议设计
OpenIM的博客
09-09 1626
六. TLS协议给我们的启发 — 现代加密通信协议设计 在看了这么多的分析和案例之后,我们已经可以归纳出加密通信协议设计的普遍问题,和常见设计决策, 设计决策点: 四类基础算法 加密/MAC/签名/密钥交换 如何选择? 对称加密目前毫无疑问应该直接用aead,最佳选择就是 aes-128-gcm/aes-256-gcm/chacha20-poly1305了 数字签名/验证方案,如果是移动互联网,应该考虑直接放弃 RSA,考虑 P-256 的 ECDSA 公钥证书,或者更进一步的 ed25519 公钥证书
ORA-29106: Cannot import PKCS #12 wallet
busy_loop的博客
03-30 1087
项目场景: oracle 配置tls加密 问题描述 ORA-29106: Cannot import PKCS #12 wallet的问题 在使用sqlplus进行远程连接的时候,遇到报错ora-29016的问题, 原因分析: 在使用orapki创建钱包的时候,使用orapki wallet create -wallet “/u01/app/oracle/wallet” -pwd 123456 -auto_login_local 命令导致 解决方案: orapki wallet create -wal
Oracle网络加密传输配置
baidu_39637503的博客
07-31 4922
说明: 很久前,公司使用Oracle数据库,很多时候会用定时任务在Oracle数据库间进行数据同步,在和三方对接过程中,可能需要在公网中布置Oracle数据库作为中间库,对于安全较高的业务数据来说加密就显得极为重要。经查询,Oracle自身支持加密传输,因此到官网查询,完成相关配置并在本地抓包检测。 查看官网资料: 非JDBC或OCI(粗)JDBC客户端 客户端sqlnet.ora文件中增加配置 SQLNET.ENCRYPTION_CLIENT=accepted #表明客户端接受安全网络传输请求
Oracle 加密配置,Oracle sqlnet设置网络传输加密
weixin_36058303的博客
04-03 1450
1、查看加密组件[oracle@yuntestdb ~]$ adaptersInstalled Oracle Net transport protocols are:IPCBEQTCP/IPSSLRAWSDP/IBInstalled Oracle Net naming methods are:Local Naming (tnsnames.ora)Oracle Directory NamingOra...
浅谈SSL/TLS协议及其实现
JeanneYan的博客
07-17 2050
开篇感谢大神们指引方向,参考资料: https://www.paolotagliaferri.com/an-overview-of-ssl-tls-secure-sockets-layer-transport-layer-security-tls-1-2/ https://www.paolotagliaferri.com/overview-of-transport-layer-security-protocol-tls-1-3/ https://tls13.ulfheim.net/ 《图解密码技术》
Oracle加密解密
wang_chaodong的专栏
08-13 7075
本文使用Oracle内置Package加密解密方法,Oracle从10gR2版本开始支持这个包,利用这个函数可以对字段进行加解密,本包内置了多种加密解密方式(详见说明1),可以多个加密方式并行组合使用,也可独立使用,本次主要讲解RC4加密解密。 在密码学中,RC4(来自Rivest Cipher 4的缩写)是一种流加密算法,密钥长度可变。它加密解密使用相同的密钥,因此也属于对称加密算法。RC4是有线等效加密(WEP)中采用的加密算法,也曾经是TLS可采用的算法之一。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值