Ma connexion JDBC à la base de données de l'utilisation de SSL ou pas?

Comment peut-on savoir si la connexion JDBC SQL server est sûr (c'est à dire qui utilise le protocole SSL) ou pas?

Est évidente, par exemple à partir de l'URL. Faire tous les pilotes JDBC en charge les connexions SSL pour le serveur de base de données, ou l'utilisation de SSL, tout dépend de la base de données spécifique vendeur?

  • C'est DB-spécifique, oui, donc vous devrez être précis dans votre question.
InformationsquelleAutor Cratylus | 2011-05-31
  1. 21

    Faire tous les pilotes jdbc en charge ssl connexion au serveur de base de données et l'utilisation de ssl juste dépend d'un db fournisseur?

    Support pour SSL/TLS n'est pas obligatoire dans la spécification JDBC. Donc ne vous attendez pas à chaque pilote.

    Configuration SSL sur le serveur de base de données peut être déduit à partir de l'URL JDBC, mais ce ne doit pas être déterministe. Dans le cas d'Oracle, si vous remarquez que l'URL contient une chaîne de connexion qui indique que le protocole utilisé est de l'EPTC au lieu de TCP, qui pointe à l'utilisation de SSL/TLS. Si vous faites cela pour valider la configuration de la sécurité, je voudrais vous appeler bâclée.

    Il est judicieux de vérifiez la configuration du client lui seul, de déterminer si la base de données du serveur accepte des connexions via le protocole SSL, surtout si non les connexions SSL sont interdits. Les mécanismes de vérification de la connexion SSL/TLS configuration varient à partir de la base de données de la base de données, mais il serait approprié de guides de sécurité pour la configuration de la base de données dans chaque cas.

    Si vous voulez faire un test rapide toutefois, pour vérifier si la connectivité est sur SSl/TLS, puis tout ce que vous devez savoir, c'est que le protocole SSL/TLS connexions sécurisées sont engagées avec une poignée de main. Si vous ne voyez pas tout, alors votre pilote n'est pas à l'aide de SSL/TLS. Vous aurez besoin de détecter le trafic réseau pour cette (assurez-vous que vous avez l'autorisation de le faire). Bien sûr, il faudra plus de temps pour établir le cas si un pool de connexions ont été en usage, pour les connexions physiques dans la piscine peut être réutilisé une fois de plus (sans nouvelles connexions en cours d'installation). De même, vous pouvez également trouver nmap pour être utile, mais je n'ai jamais utilisé à cette fin.

    • vous dire, c'est confus pour moi.Si je m'attends à voir une négociation SSL (pour vérifier la sécurité), ce qui signifie, je suppose, qu'au moins le serveur a un certificat, qui est également considéré comme approuvé par le client de l'application.Et d'être considérés comme de confiance, l'application doit avoir été configuré pour avoir confiance (je pense par moi).Donc, si j'ai une connexion avec un serveur SQL et je n'ai aucun de ces (certificat) de configuration, je ne peux pas en déduire que la connexion n'est pas sur SSL?
    • faites-vous référence à MSSQL serveur spécifique? Ou de tout SGBD en général? Si vous êtes à l'aide de JDBC et si vous devez configurer la confiance, il serait impliquent généralement JSSE de configuration. En termes plus simples, vous avez à vous soucier de la configuration de votre truststore. Si l'autorité de certification racine est déjà fait confiance, il y a très peu à faire, sur le client, au-delà de la configuration du pool de connexion et, éventuellement, l'ajout de bibliothèques requises par le pilote. Si vous utilisez un serveur d'application, l'administrateur peut avoir déjà fait cela pour vous. Suite.
    • Par exemple, reportez-vous à ce WLS connexes article sur la façon dont le protocole SSL est activé pour la fin du pilote Oracle. Vous remarquerez que la configuration à WLS est presque banal.
    • mon intérêt est surtout dans MS-SQL server
    • vous pouvez consulter cet article de MSDN pour l'utilisation de SSL contre MSSQL 2005, et celui-ci pour MSSQL 2008. Le encrypt=true drapeau dans l'URL lecteurs de la configuration de savoir si le protocole SSL/TLS seront employées.
    • de les lire, je vous remercie pour votre aide!
    • vous êtes les bienvenus.
    • pour autant que je sais, certaines connexions JDBC, y compris Oracle à l'EPTC, sont mis à TLS après un certain texte brut JDBC échange a eu lieu (d'une manière similaire à STARTTLS SMTP). Dans ce cas, la connexion en elle-même ne commencez pas avec une poignée de main, de sorte que vous avez à regarder plus de trafic avant de le voir. Il n'est pas toujours évident.
    • que serait en droit. C'est pourquoi il est recommandé comme un test rapide, s'appuyant davantage sur l'intuition que sur des détails.
    • Je ne suis pas sûr de MSSQL, mais certains d'Oracle JDBC valeurs par défaut sont pas particulièrement sécurisé. En particulier, oracle.net.ssl_server_dn_match est false par défaut.

    InformationsquelleAutor Vineet Reynolds
  2. 6

    Essayez ces liens pour plus d'informations:

    1. MySQL : http://www.razorsql.com/articles/mysql_ssl_jdbc.html

    2. Oracle : http://www.dbforums.com/oracle/1620651-ssl-connection-jdbc-thin-driver.html

    3. PostgreSQL : http://archives.postgresql.org/pgsql-jdbc/2003-08/msg00110.php

    4. MS SQL Server : http://download.oracle.com/docs/cd/E12840_01/wls/docs103/jdbc_drivers/mssqlserver.html

    • Exactement comment poster des liens vers d'autres sites sans l'ajout de tout contexte de l'aide à quelqu'un?
    • J'ai posté ces liens pour son aide. Si le sujet à discussion [depuis il n'a pas précisé son DB type] la j'ai pensé à poster les liens pertinents, au lieu de composer une réponse longue.
    • Eh bien, ce n'est pas comment cela fonctionne. Si vous avez des liens vers d'autres sites de le faire, mais vous ne pouvez pas être vague à ce sujet. Aucun de ces sites vont aborder la question de façon plus spécifique, bien qu'ils ne contiennent des informations en général.
    • Eh bien, l'impression que j'avais à l'esprit est que, dans l'affirmative, vous aidez les personnes de quelque façon que vous le pouvez sans vraiment franchir la ligne [lire en étant offensif]. Je ne savais pas que si vous ne connaissez pas la réponse, vous n'êtes pas autorisé à poster des liens vers des sites pertinents. Merci pour le transfert des connaissances. À partir de maintenant, si je vois quelqu'un poster des liens sans contexte, je vais vous suivre.
    • Vous trouverez cette discussion sur Meta pour être utile.
    • Avez-vous un lien mis à jour pour votre Oracle lien? Ce lien semble mort et redirige vers des trucs hors de propos.

    InformationsquelleAutor Swaranga Sarma
  3. 4

    À mon avis, un moyen rapide, sûr et fournisseur neutre de manière à assurer, d'une connexion SSL entre votre client et votre serveur est d'utiliser s-tunnel.

    s-tunnel (parfois aussi appelée "stunnel") vous donne beaucoup de flexibilité, tels que l'authentification mutuelle, etc, et permet toujours, les applications installées sur le Serveur de base de données à communiquer avec lui via une connexion non-SSL (SQL Server par exemple permet les connexions en trois modes (SSL OFF, SSL en Option, ou SSL Uniquement).

    À l'aide de s-tunnel de votre connexion seraient acheminés à quelque chose comme ceci:

    jdbc -> local s-tunnel port -> server's s-tunnel port -> server's database port.

    Par la mise en stunnel avec les règles de pare-feu vous pouvez avoir confiance que les connexions à distance à la base de données sont à l'aide de SSL.

    • Quand vous dites que l'authentification mutuelle,ce qui signifie que les deux de sql server et de la demande, des certificats?
    • Correct. C'est le seul moyen que j'ai réussi à obtenir une connexion à SQL Server avec l'hôte en s'assurant qu'il est en train de parler à une personne de confiance du client, et le client en s'assurant qu'il est, en effet, parler au serveur approprié, si la s-tunnel de ne pas vous forcer à avoir deux certificats.
    • PS. J'ai été à l'aide de SQL Server 2005 et ne veulent pas d'impact sur les performances de mon côté serveur de l'application.
    InformationsquelleAutor ifx