Modifica dei valori CRYPTO_CHECKSUM_*Modifica delle impostazioni ALLOW_WEAK_CRYPTO*

Modifica delle impostazioni dell’opzione NATIVE_NETWORK_ENCRYPTION

Dopo aver abilitato l'opzione NATIVE_NETWORK_ENCRYPTION, puoi modificarne le impostazioni. Attualmente, è possibile modificare le impostazioni dell’opzione NATIVE_NETWORK_ENCRYPTION solo con la AWS CLI o con l’API RDS. Non puoi utilizzare la console. L’esempio seguente modifica due impostazioni nell’opzione.


aws rds add-option-to-option-group \
    --option-group-name my-option-group \
    --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \
    --apply-immediately

Per informazioni su come modificare le impostazioni dell'opzione utilizzando la CLI, consulta AWS CLI. Per ulteriori informazioni su ciascuna impostazione, consulta Impostazioni dell’opzione NATIVE_NETWORK_ENCRYPTION.

Argomenti

Modifica dei valori CRYPTO_CHECKSUM_*
Modifica delle impostazioni ALLOW_WEAK_CRYPTO*

Modifica dei valori CRYPTO_CHECKSUM_*

Se modifichi le impostazioni dell’opzione NATIVE_NETWORK_ENCRYPTION, assicurati che le seguenti impostazioni dell’opzione abbiano almeno una crittografia comune:

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

L'esempio seguente mostra uno scenario in cui si modifica SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER. La configurazione è valida perché sia CRYPTO_CHECKSUM_TYPES_CLIENT che CRYPTO_CHECKSUM_TYPES_SERVER utilizzano SHA256.

Impostazione opzioni	Valori prima della modifica	Valori dopo la modifica
`SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT`	`SHA256`, `SHA384`, `SHA512`	Nessuna modifica
`SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER`	`SHA256`, `SHA384`, `SHA512`, `SHA1`, `MD5`	`SHA1,MD5,SHA256`

Per un altro esempio, si supponga di voler modificare SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER dalla sua impostazione di default a SHA1,MD5. In questo caso, assicurati di impostare SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT a SHA1 o MD5. Questi algoritmi non sono inclusi nei valori di default per SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT.

Modifica delle impostazioni ALLOW_WEAK_CRYPTO*

Per impostare le opzioni SQLNET.ALLOW_WEAK_CRYPTO* dal valore di default FALSE, accertati che siano soddisfatte le seguenti condizioni:

SQLNET.ENCRYPTION_TYPES_SERVER e SQLNET.ENCRYPTION_TYPES_CLIENT hanno un metodo di crittografia sicuro corrispondente. Un metodo è considerato sicuro se non è DES, 3DES oppure RC4 (tutte le lunghezze di chiave).
SQLNET.CHECKSUM_TYPES_SERVER e SQLNET.CHECKSUM_TYPES_CLIENT hanno un metodo di checksum sicuro corrispondente. Un metodo è considerato sicuro se non è MD5.
Il client viene sottoposto a patch con la PSU di luglio 2021. Se non è stato sottoposto a patch, il client perde la connessione e riceve l’errore ORA-12269.

Il seguente esempio mostra impostazioni NNE di esempio. Supponiamo di voler impostare SQLNET.ENCRYPTION_TYPES_SERVER e SQLNET.ENCRYPTION_TYPES_CLIENT su FALSE, bloccando così connessioni non sicure. Le impostazioni dell'opzione checksum soddisfano i prerequisiti perché entrambe hanno SHA256. Tuttavia, SQLNET.ENCRYPTION_TYPES_CLIENT e SQLNET.ENCRYPTION_TYPES_SERVER utilizzano i metodi di crittografia DES, 3DES e RC4, che non sono sicuri. Pertanto, per impostare l’opzione SQLNET.ALLOW_WEAK_CRYPTO* su FALSE, imposta prima SQLNET.ENCRYPTION_TYPES_SERVER e SQLNET.ENCRYPTION_TYPES_CLIENT su un metodo di crittografia sicuro come AES256.

Impostazione opzioni	Valori
`SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT`	`SHA256`, `SHA384`, `SHA512`
`SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER`	`SHA1,MD5,SHA256`
`SQLNET.ENCRYPTION_TYPES_CLIENT`	`RC4_256`, `3DES168`, `DES40`
`SQLNET.ENCRYPTION_TYPES_SERVER`	`RC4_256`, `3DES168`, `DES40`

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Impostazione dei valori NNE in sqlnet.ora

Rimozione dell'opzione