Oracle加密是否足以加密网络流量?
还是应该使用SSL选项?
更新: -网络= LAN -使用Oracle Net Manager,可以启用加密(例如AES256)或设置SSL。
加密足够吗?使用Wireshark进行嗅探时,数据确实已加密,但协议保留为TNS。使用SSL,您可以获得TLSv1.2。
我还在寻找性能降低的选择。
答案 0 :(得分:1)
根据TLS / SSL的常规配置设置,您将必须获得为数据库颁发的证书。获得证书后,需要将其放入钱包中,然后将侦听器配置为使用该钱包。另外,对于所有要连接到数据库的客户端,您都必须给他们信任的证书,并且必须将客户端设置配置为使用证书进行验证。
对于本机网络加密,您需要在sqlnet.ora中使用一个标志来指示您是否require/accept/reject加密了连接。如果是服务器sqlnet.ora,则标志为SQLNET.ENCRYPTION_SERVER,对于客户端,标志为SQLNET.ENCRYPTION_CLIENT。该标志的默认值为accepted。这意味着您无需配置所有客户端以对连接使用加密就可以摆脱困境。您所需要做的就是将服务器配置为使用网络加密。
与TLS / SSL相比,本机网络加密的优势在于您几乎不需要在客户端上进行任何配置。但是,此方法的缺点是您将不知道是否已连接到预期的数据库(服务器)。在某种程度上,使用本地网络加密可以进行中间人攻击。如果攻击者可以进入网络并重定向客户端以使用恶意数据库,则尽管所有通信都将被加密,但客户端不会知道这一点。但是,如果攻击者在客户端完成与真实数据库的连接后加入网络,则不会造成任何损害。
因此,这一切都归结为您要妥协的地方。如果您认为有人在您的网络中模拟数据库的风险很低,则应继续进行本机网络加密。但是,如果要获得最大的安全性,请使用TLS / SSL。 TLS / SSL的缺点是难以设置和维护。您将必须重新配置连接到数据库的所有客户端,并且每次服务器证书更改时,您都将不得不再次前往客户端进行重新配置。
这是一段精彩的视频,解释了这两者,答案大多是从中复制过来的。 Russ Lowenthal, Director of Product Management for Oracle Security Products explains database security。
关于两种方法之间的性能比较,目前我没有任何可用的方法。一旦发现问题,我将更新此答案。您可以查看this,以比较未加密的数据库和本机网络加密的数据库性能。
希望这会有所帮助。谢谢