Tahribat.com Forumları
Database - Veritabanı
Mysql Sunucu Ve İstemci Trafiğinin Şifrelenmesi

Yazar r3dros (1) SpArK (1) Gösterim 10 50 75 100
Ağ ve Veri Güvenliği     Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri     Web sitesi Güvenliği, DOS - DDOS Saldırıları...     Bilgisayar Güvenliği - Backdoorlar     Virüs - Trojan - Keylogger - BotNet     Skype - Mirc - Irc - Icq - Mail Güvenliği     Bilişim Güvenliği     Hesaplar / Üyelikler     Domain - Hosting - Reseller - Dedicated Server - Virtual Server - IRC Shell - Seedbox     İnternet Güvenliğine Giriş Programlama     C#, Asp.Net, .Net Core     C - C++     Delphi - Pascal     Visual Basic - Basic - PicBasic ve Türevleri     Java     Android - IOS Programlama     Mobil Programlama     Asp - Php - Cgi - Perl     Assembly - Reverse Engineering     Html - CSS - XML - JavaScript - Ajax     Database - Veritabanı     Python     Grafik - Animasyon - Flash - 3D Modelleme     Webmaster ve Yazılım Geliştiriciler     Google / Yandex / Bing ve Servisleri     Programlama Genel     Programlamaya Giriş Bilgisayar ve Teknoloji     Microsoft Windows Ailesi İşletim Sistemleri     Linux ve Diğer İşletim Sistemleri     Donanım & Driver     Network - İnternet     Elektronik / Embedded / Mobil Cihazlar     Kriptoparalar & Blockchain     Fotografçılık ve Digital Fotograf Makineleri - Video Kameralar     Cep Telefonları, Gsm Operatörleri ve Mobil İnternet     Oyunlar     Yazılımlar / Diğer Programlar     Bilgisayarla İlgili Diğer Konular İnternet     Download / Dosya Paylaşım     Bilgisayar ve Internet Teknolojileri İle İlgili Video / Resim / Flash Paylaşım     İnternet Siteleri     Sosyal Ağlar Genel     Genel     Gündem - Güncel Konular     Derin Konular     Bilim Teknik Teknoloji     Müzik & Sinema & Tiyatro & Kitap & Televizyon & Seminerler & Edebiyat     Eğitim & Ödev & Bilimsel Döküman     E-Book     İş - Güç, E-Ticaret, Alışveriş     Hukuk & Muhasebe & Sigorta Soru - Cevap     Ulaşım Araçları ve Seyahat     Vukuatlar     Geyik & Teknoloji İle İlgili Olmayan Video / Resim / Flash Paylaşım Tahribat.com Konuları     Tahribat.com Programları®     Tahribat.Com - Açık Kapılar Önünde     Tahribat.Com - Sosyal Etkinlikler     TahriDepo

Mysql Sunucu Ve İstemci Trafiğinin Şifrelenmesi

1. 20/Nis/09 14:01 Kısayol Şikayet Özel Mesaj
   r3dros
   
   

   Kayıt Tarihi: 17/Temmuz/2005
   

   Aksi belirtilmedikçe MySQL sunucusu ile istemcisi arasındaki ağ trafiği açık metin olarak gerçekleştirilmektedir. Aslında bu sadece MySQL’e has bir özellik değil, sunucu istemci mimarisi ile çalışan bütün uygulamalar için geçerli bir durumdur. İstemci sunucu arasındaki ağ trafiğini gözlemlemek isteyen kişiler, sunucu istemci arasında açık metin olarak gerçekleştirilen ağ trafiğini dinlereyek hassas bilgilere erişim sağlayabilirler.

    

    

   Aşağıda MySQL sunucusu ile istemcisi arasındaki ağ trafiğinin gözlemlenmesi halinde nelerin yapılabileceğini göstermek açısından, MySQL sunucu sistemi üzerinde tcpdump ve strings komutları kullanılarak gerçekleştirilen gözlemlenebilen SQL sorgu işlemleri gösterilmiştir.

   # tcpdump -l -i eth0 -w - src or dst port 3306 | strings
   tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
   5.0.45
   wRuuj5g,
   LLBPALES
   show databases
   SCHEMATA
   Datab
   show tables
   TABLE_NAMES
   select @@version_comment
   @@version_com
   show databases
   SCHEMATA
   Datab 

   Görüldüğü gibi MySQL istemcisinden gerçekleştirilen SQL sorguları açık olarak görülmektedir. Aynı durum MySQL sunucusu ve istemcisi arasındaki trafiğin şifreli olarak iletildiğinde aşağıdaki gibi olmaktadır. 

    # tcpdump -l -i eth0 -w - src or dst port 3306 | strings
   tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
   gLO
   %DgLOY
   gLOY
   lnp@
   %HgLOY4
   5.0.45
   bA['P;xl
   gLO\
   gLO_
   4nq@
   %KgLO_
   gLOo
   4nr@

   Yukarıda görüldüğü gibi MySQL sunucusu ve istemcisi arasındaki ağ trafiği şifreli bir biçimde gerçekleştirildiğinde, sorgular açık olarak görüntülenememektedir.

   MySQL sunucu ve istemci trafiğinin şifrelenmesi için uygulanabilecek yöntemlerden bir taneside OpenSSL uygulamasının kullanılmasıdır. MySQL sunucu, istemci trafiğinin şifrelenmesi için kullanılabilecek açık kaynak kodlu yöntemlerden bazıları olarak OpenSSH , OpenVPN ve OpenSSL gösterilebilir. Burada OpenSSL kullanılarak nasıl sunucu istemci arasındaki trafiğin şifreleneceği anlatılacaktır. Öncelikle mevcut MySQL sunucu servisinde SSL desteğinin aktif olup olmadığına bakılmalıdır. Şekil 1'de görüldüğü gibi “SHOW VARIABLES LIKE 'have_openssl'” sql sorgusu ile görüntülenebilir.

    

   

   Şekil 1 MySQL Ssl Desteğinin Kontrol Edilmesi

   “Value” değerinin  “DISABLED” olması, veritabanı sunucusunun SSL desteğinin olduğunu fakat doğru parametreler ile başlatılmadığını göstermektedir. SSL desteğinin kullanılabilmesi için MySQL sunucu yazılımının derlenmesi esnasında “--with-vio --with-openssl” paremetrelerinin kullanılması gerekmektedir.

   MySQL sunucu servisine SSL desteğinin verilmesinin ardından sunucu ve istemci için gerekli sertifikalar oluşturulmalı ve son olarak sunucu ve istemci yapılandırma dosyalarında gerekli işlemler gerçekleştirilmelidir. Burada sertifika otoritesi için gerekli sertifikalar bizim tarafımızdan üretilerek, sunucu ve istemci için oluşturulacak sertifikalar bu sertifika yardımı ile üretilecektir. Bunun için  öncelikle sertifikalar için uygun bir dizin belirlenmeli ve gerekli sertifikalar oluşturulmalıdır.

   # mkdir /usr/local/mysql-certs

   # cd /usr/local/mysql-certs

   Sertifika için gerekli dizinin oluşturulmasının ardından öncelikle sertifika otoritesi için gerekli seritifikalar oluşturulmalı ardından, sunucu ve istemci için gerekli sertifikalar oluşturulmalıdır. Sertifika otoritesi için gerekli sertifikayı oluşturmak için aşağıdaki adımlar sırası ile uygulanmalıdır.

   # openssl genrsa -out ca-key.pem 2048

   Generating RSA private key, 2048 bit long modulus ...........................................................................++++++ e is 65537 (0x10001)

   # openssl req -new -x509 -nodes -days 1000 -key ca-key.pem -out ca-cert.pem

   You are about to be asked to enter information that will be incorporated

   into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN.

   There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.

   -----

   Country Name (2 letter code) [GB]:TR

   State or Province Name (full name) [Berkshire]:Kocaeli

   Locality Name (eg, city) [Newbury]:Gebze

   Organization Name (eg, company) [My Company Ltd]:Tubitak/Uekae

   Organizational Unit Name (eg, section) []:Bilgi Guvenligi

   Common Name (eg, your name or your server's hostname) []:Uekae/Bilgi Guvenligi

   Email Address []: bilgi@bilgiguvenligi.gov.tr Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır

    

   Ardından sunucu için gerekli sertifikalar oluşturulmalıdır. Bunun için aşağıdaki adımların sırası ile takip edilmesi gerekmektedir.

   # openssl req -newkey rsa:2048 -days 1000 -nodes -keyout server-key.pem -out server-req.pem

   Generating a 2048 bit RSA private key

   ...............................................................................................................................+++

   ...................................................................+++ writing new private key to 'server-key.pem'

   -----

   You are about to be asked to enter information that will be incorporated

   into your certificate request.

   What you are about to enter is what is called a Distinguished Name or a DN.

   There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.

   -----

   Country Name (2 letter code) [GB]:TR

   State or Province Name (full name) [Berkshire]:Kocaeli

   Locality Name (eg, city) [Newbury]:Gebze

   Organization Name (eg, company) [My Company Ltd]:Tubitak/Uekae

   Organizational Unit Name (eg, section) []:Bilgi Guvenligi

   Common Name (eg, your name or your server's hostname) []:Uekae/Bilgi Guvenligi

   Email Address []: bilgi@bilgiguvenligi.gov.tr Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır

   Please enter the following 'extra' attributes to be sent with your certificate request

   A challenge password []:

   An optional company name []:

   # openssl x509 -req -in server-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

   Signature ok

   subject=/C=TR/ST=Kocaeli/L=Gebze/O=Tubitak/Uekae/OU=Bilgi Gvenligi/CN=Uekae/Bilgi Guvenligi/emailAddress= bilgi@bilgiguvenligi.gov.tr Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır

   Getting CA Private Key

   Son olaral MySQL istemcisi için gerekli sertifikalar oluşturulmalıdır. Bunun için aşağıdaki adımların sırası ile takip edilmesi gerekmektedir.

   # openssl req -newkey rsa:2048 -days 1000 -nodes -keyout client-key.pem -out client-req.pem

   Generating a 2048 bit RSA private key ..........+++.....................................................................+++ writing new private key to 'client-key.pem'

   -----

   You are about to be asked to enter information that will be incorporated

   into your certificate request.

   What you are about to enter is what is called a Distinguished Name or a DN.

   There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.

   -----

   Country Name (2 letter code) [GB]:TR

   State or Province Name (full name) [Berkshire]:Kocaeli

   Locality Name (eg, city) [Newbury]:Gebze

   Organization Name (eg, company) [My Company Ltd]:Tubitak/Uekae

   Organizational Unit Name (eg, section) []:Bilgi Guvenligi

   Common Name (eg, your name or your server's hostname) []:Uekae/Bilgi Guvenligi

   Email Address []: bilgi@bilgiguvenligi.gov.tr Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır

   Please enter the following 'extra' attributes

   to be sent with your certificate request

   A challenge password []:

   An optional company name []:

   # openssl x509 -req -in client-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

   Signature ok

   subject=/C=TR/ST=Kocaeli/L=Gebze/O=Tubitak/Uekae/OU=Bilgi Guvenligi/CN=Uekae/Bilgi Guvenligi/emailAddress= bilgi@bilgiguvenligi.gov.tr Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır

   Getting CA Private Key

   Sertifikaların oluşturulmasının ardından kullanım için MySQL sunucu tarafında sertifikaların MySQL yapılandırma dosyası içerisinde gerekli belirtimlerinin gerçekleştirilmesi gerekmektedir. Bunun için yapılandırma dosyasında sunucu taraflı yapılandırma için [mysqld] bölümü içerisine aşağıda belirtilen satırların eklenmesi gerekmektedir.

    [mysqld]

   ssl-ca=/usr/local/MySQL-certs/cacert.pem

   ssl-cert=/usr/local/MySQL-certs/server-cert.pem

   ssl-key=/usr/local/MySQL-certs/server-key.pem

   MySQL sunucu üzerinde sunucu taraflı gerekli yapılandırmanın gerçekleştirilmesinin ardından MySQL sunucu servisi yeninden başlatılmalıdır ardından MySQL sunucu servisi üzerinde SSL kullanımının aktif olduğu görülebilecektir.

   

   Şekil 2 MySQL Sunucu Servisi İçin SSL Kullanımının Aktif Hale Getirilmesi

   Ardından MySQL istemcisi sertifika kullanımı için gerekli yapılandırmanın gerçekleştirilmesi gerekmektedir. Burada uzak MySQL istemcisi ile komut satırından MySQL sunucusu ile iletişim sağlanıp sorguların gerçekleştirileceği göz önünde bulundurularak, aşağıdaki adımların sırası ile takip edilmelidir. Kullanılmak istenen MySQL istemcisine gore sertifika kullanımı ile ilgili yapılandırma farklılık göstereceği unutulmamalıdır. Öncelikle sertifika yetkilisi ve istemcisi için gerekli sertifikalar MySQL istemcisi üzerinde belirlenen uygun bir dizine taşınmalıdır. Burada “/usr/local/mysql-certs” dizini olarak belirlenmiştir. İsteğe gore farklı bir dizin seçilebilmektedir

   

   Alıntı yap
2. 20/Nis/09 14:04 Kısayol Şikayet Özel Mesaj
   r3dros
   
   

   Kayıt Tarihi: 17/Temmuz/2005
   

   MySQL istemcisi için SSL sertifika kullanımının durumunu “SHOW STATUS LIKE ‘Ssl_cipher’” SQL sorgusu çalıştırılarak elde edilebilir. Bu duruma örnek bir kullanım Şekil 3’de gösterilmiştir.

   MySQL komut satırı istemcisinde SSL kullanımını aktif hale getirmek için yapılandırma dosyasında sertifikaların tam yolları belirtilmelidir.

   [client]

   ssl-ca=/usr/local/mysql-certs/cacert.pem

   ssl-cert=/usr/local/mysql-certs/client-cert.pem

   ssl-key=/usr/local/mysql-certs/client-key.pem

   İlgili ayaların ardından MySQL istemcisinde “SHOW STATUS LIKE ‘Ssl_cipher’” sorgusu tekrar çalıştırılarak şifreleme için kullanılacak olan anahtar görüntülenebilir.

    
   

   Şekil 4 Şifreleme İçin Kullanılacak Olan Anahtarın Durumunun Görüntülenmesi

   SSL kullanımının aktif olmasının ardından MySQL kullanıcılarının SSL kullanımı ile MySQL sunucu servisi ile iletişime geçmelerini zorlamak için GRANT ifadesinde “REQUIRE SSL” kullanılarak gerçekleştirilebilir. Örnek bir ifade aşağıda yer almaktadır.

   mysql> GRANT ALL ON deneme.* TO mysqluser@192.168.6.105 Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır IDENTIFIED BY 'sifre' REQUIRE SSL;

   Bu şekilde mysqluser kullanıcısının deneme veritabanına 192.168.6.105 ip adresinden SSL kullanımı aktif olacak şekilde bağlanması zorlanmış olur. Eğer SSL kullanımı aktif olmadan bağlanmaya çalışılırsa Şekil 5’de görülen hata mesajı ile karşılaşılacaktır.

    
   

   Şekil 5 SSL Kullanımı Zorlanmış MySQL Kullanıcısının SSL Kullanımı Olmaksızın Bağlantı Gerçekleştirilmesi Esnasında Karşılaşılan Hata Mesajı

    

   Not: Kaynak alıntı derleme toplama bana ayittir TBT üyeleri için hazılanmıştır...

   Alıntı yap
3. 20/Nis/09 16:23 Kısayol Şikayet Özel Mesaj
   SpArK
   
   

   Kayıt Tarihi: 17/Temmuz/2005
   

   çok teşekkür ederim kardeşim , gerçekten çok yararlı bilgiler vermişsin.emeğine , eline , gözüne sağlık kardeşim.
   Alıntı yap

Cevapla