MySQL Sunucu ve İstemci Trafiğinin şifrelenmesi

MySQL Sunucu ve İstemci Trafiğinin şifrelenmesi

Aksi belirtilmedikÇe MySQL sunucusu ile istemcisi arasındaki ağ trafiği aÇık metin olarak gerÇekleştirilmektedir. Aslında bu sadece MySQL”e has bir özellik değil, sunucu istemci mimarisi ile Çalışan bütün uygulamalar iÇin geÇerli bir durumdur. İstemci sunucu arasındaki ağ trafiğini gözlemlemek isteyen kişiler, sunucu istemci arasında aÇık metin olarak gerÇekleştirilen ağ trafiğini dinlereyek hassas bilgilere erişim sağlayabilirler.

Aşağıda MySQL sunucusu ile istemcisi arasındaki ağ trafiğinin gözlemlenmesi halinde nelerin yapılabileceğini göstermek aÇısından, MySQL sunucu sistemi üzerinde tcpdump ve strings komutları kullanılarak gerÇekleştirilen gözlemlenebilen SQL sorgu işlemleri gösterilmiştir.

# tcpdump -l -i eth0 -w - src or dst port 3306 | strings
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
5.0.45
wRuuj5g,
LLBPALES
show databases
SCHEMATA
Datab
show tables
TABLE_NAMES
select @@version_comment
@@version_com
show databases
SCHEMATA
Datab  

Görüldüğü gibi MySQL istemcisinden gerÇekleştirilen SQL sorguları aÇık olarak görülmektedir. Aynı durum MySQL sunucusu ve istemcisi arasındaki trafiğin şifreli olarak iletildiğinde aşağıdaki gibi olmaktadır.

 # tcpdump -l -i eth0 -w - src or dst port 3306 | strings
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
gLO
%DgLOY
gLOY
lnp@
%HgLOY4
5.0.45
bA['P;xl
gLO
gLO_
4nq@
%KgLO_
gLOo
4nr@

Yukarıda görüldüğü gibi MySQL sunucusu ve istemcisi arasındaki ağ trafiği şifreli bir biÇimde gerÇekleştirildiğinde, sorgular aÇık olarak görüntülenememektedir.

MySQL sunucu ve istemci trafiğinin şifrelenmesi iÇin uygulanabilecek yöntemlerden bir taneside OpenSSL uygulamasının kullanılmasıdır. MySQL sunucu, istemci trafiğinin şifrelenmesi iÇin kullanılabilecek aÇık kaynak kodlu yöntemlerden bazıları olarak OpenSSH , OpenVPN ve OpenSSL gösterilebilir. Burada OpenSSL kullanılarak nasıl sunucu istemci arasındaki trafiğin şifreleneceği anlatılacaktır. Üncelikle mevcut MySQL sunucu servisinde SSL desteğinin aktif olup olmadığına bakılmalıdır. şekil 1’de görüldüğü gibi “SHOW VARIABLES LIKE ‘have_openssl’“ sql sorgusu ile görüntülenebilir.


şekil 1 MySQL Ssl Desteğinin Kontrol Edilmesi

“Value” değerinin “DISABLED” olması, veritabanı sunucusunun SSL desteğinin olduğunu fakat doğru parametreler ile başlatılmadığını göstermektedir. SSL desteğinin kullanılabilmesi iÇin MySQL sunucu yazılımının derlenmesi esnasında “–with-vio –with-openssl” paremetrelerinin kullanılması gerekmektedir.

MySQL sunucu servisine SSL desteğinin verilmesinin ardından sunucu ve istemci iÇin gerekli sertifikalar oluşturulmalı ve son olarak sunucu ve istemci yapılandırma dosyalarında gerekli işlemler gerÇekleştirilmelidir. Burada sertifika otoritesi iÇin gerekli sertifikalar bizim tarafımızdan üretilerek, sunucu ve istemci iÇin oluşturulacak sertifikalar bu sertifika yardımı ile üretilecektir. Bunun iÇin öncelikle sertifikalar iÇin uygun bir dizin belirlenmeli ve gerekli sertifikalar oluşturulmalıdır.

    # mkdir /usr/local/mysql-certs
    # cd /usr/local/mysql-certs

Sertifika iÇin gerekli dizinin oluşturulmasının ardından öncelikle sertifika otoritesi iÇin gerekli seritifikalar oluşturulmalı ardından, sunucu ve istemci iÇin gerekli sertifikalar oluşturulmalıdır. Sertifika otoritesi iÇin gerekli sertifikayı oluşturmak iÇin aşağıdaki adımlar sırası ile uygulanmalıdır

 # openssl genrsa -out ca-key.pem 2048
Generating RSA private key, 2048 bit long modulus ...........................................................................++++++ e is 65537 (0x10001)
# openssl req -new -x509 -nodes -days 1000 -key ca-key.pem -out ca-cert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:TR
State or Province Name (full name) [Berkshire]:Kocaeli
Locality Name (eg, city) [Newbury]:Gebze
Organization Name (eg, company) [My Company Ltd]:Tubitak/Uekae
Organizational Unit Name (eg, section) []:Bilgi Guvenligi
Common Name (eg, your name or your server's hostname) []:Uekae/Bilgi Guvenligi
Email Address []: bilgi@bilgiguvenligi.gov.tr

Ardından sunucu iÇin gerekli sertifikalar oluşturulmalıdır. Bunun iÇin aşağıdaki adımların sırası ile takip edilmesi gerekmektedir.

    # openssl req -newkey rsa:2048 -days 1000 -nodes -keyout server-key.pem -out server-req.pem
    Generating a 2048 bit RSA private key
    ...............................................................................................................................+++
    ...................................................................+++ writing new private key to 'server-key.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [GB]:TR
    State or Province Name (full name) [Berkshire]:Kocaeli
    Locality Name (eg, city) [Newbury]:Gebze
    Organization Name (eg, company) [My Company Ltd]:Tubitak/Uekae
    Organizational Unit Name (eg, section) []:Bilgi Guvenligi
    Common Name (eg, your name or your server's hostname) []:Uekae/Bilgi Guvenligi
    Email Address []: bilgi@bilgiguvenligi.gov.trBu mail adresi spam botlara karşı korumalıdır, görebilmek iÇin Javascript aÇık olmalıdır

    Please enter the following 'extra' attributes to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    # openssl x509 -req -in server-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
    Signature ok
    subject=/C=TR/ST=Kocaeli/L=Gebze/O=Tubitak/Uekae/OU=Bilgi Gvenligi/CN=Uekae/Bilgi Guvenligi/emailAddress= bilgi@bilgiguvenligi.gov.trBu mail adresi spam botlara karşı korumalıdır, görebilmek iÇin Javascript aÇık olmalıdır
    Getting CA Private Key

Son olarak MySQL istemcisi iÇin gerekli sertifikalar oluşturulmalıdır. Bunun iÇin aşağıdaki adımların sırası ile takip edilmesi gerekmektedir.

    # openssl req -newkey rsa:2048 -days 1000 -nodes -keyout client-key.pem -out client-req.pem
    Generating a 2048 bit RSA private key ..........+++.....................................................................+++ writing new private key to 'client-key.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [GB]:TR
    State or Province Name (full name) [Berkshire]:Kocaeli
    Locality Name (eg, city) [Newbury]:Gebze
    Organization Name (eg, company) [My Company Ltd]:Tubitak/Uekae
    Organizational Unit Name (eg, section) []:Bilgi Guvenligi
    Common Name (eg, your name or your server's hostname) []:Uekae/Bilgi Guvenligi
    Email Address []: bilgi@bilgiguvenligi.gov.trBu mail adresi spam botlara karşı korumalıdır, görebilmek iÇin Javascript aÇık olmalıdır

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    # openssl x509 -req -in client-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
    Signature ok
    subject=/C=TR/ST=Kocaeli/L=Gebze/O=Tubitak/Uekae/OU=Bilgi Guvenligi/CN=Uekae/Bilgi Guvenligi/emailAddress= bilgi@bilgiguvenligi.gov.trBu mail adresi spam botlara karşı korumalıdır, görebilmek iÇin Javascript aÇık olmalıdır
    Getting CA Private Key

Sertifikaların oluşturulmasının ardından kullanım iÇin MySQL sunucu tarafında sertifikaların MySQL yapılandırma dosyası iÇerisinde gerekli belirtimlerinin gerÇekleştirilmesi gerekmektedir. Bunun iÇin yapılandırma dosyasında sunucu taraflı yapılandırma iÇin [mysqld] bölümü iÇerisine aşağıda belirtilen satırların eklenmesi gerekmektedir.

     [mysqld]
    ssl-ca=/usr/local/MySQL-certs/cacert.pem
    ssl-cert=/usr/local/MySQL-certs/server-cert.pem
    ssl-key=/usr/local/MySQL-certs/server-key.pem

MySQL sunucu üzerinde sunucu taraflı gerekli yapılandırmanın gerÇekleştirilmesinin ardından MySQL sunucu servisi yeninden başlatılmalıdır ardından MySQL sunucu servisi üzerinde SSL kullanımının aktif olduğu görülebilecektir.


şekil 2 MySQL Sunucu Servisi İÇin SSL Kullanımının Aktif Hale Getirilmesi

Ardından MySQL istemcisi sertifika kullanımı iÇin gerekli yapılandırmanın gerÇekleştirilmesi gerekmektedir. Burada uzak MySQL istemcisi ile komut satırından MySQL sunucusu ile iletişim sağlanıp sorguların gerÇekleştirileceği göz önünde bulundurularak, aşağıdaki adımların sırası ile takip edilmelidir. Kullanılmak istenen MySQL istemcisine gore sertifika kullanımı ile ilgili yapılandırma farklılık göstereceği unutulmamalıdır. Üncelikle sertifika yetkilisi ve istemcisi iÇin gerekli sertifikalar MySQL istemcisi üzerinde belirlenen uygun bir dizine taşınmalıdır. Burada “/usr/local/mysql-certs” dizini olarak belirlenmiştir. İsteğe gore farklı bir dizin seÇilebilmektedir.


şekil 3 MySQL İstemcisinde SSL Kullanımı Aktif Olmadan Ünce

MySQL istemcisi iÇin SSL sertifika kullanımının durumunu “SHOW STATUS LIKE “Ssl_cipher”“ SQL sorgusu Çalıştırılarak elde edilebilir. Bu duruma örnek bir kullanım şekil 3”de gösterilmiştir.

MySQL komut satırı istemcisinde SSL kullanımını aktif hale getirmek iÇin yapılandırma dosyasında sertifikaların tam yolları belirtilmelidir.

    [client]
    ssl-ca=/usr/local/mysql-certs/cacert.pem
    ssl-cert=/usr/local/mysql-certs/client-cert.pem
    ssl-key=/usr/local/mysql-certs/client-key.pem

İlgili ayaların ardından MySQL istemcisinde “SHOW STATUS LIKE “Ssl_cipher”“ sorgusu tekrar Çalıştırılarak şifreleme iÇin kullanılacak olan anahtar görüntülenebilir.


şekil 4 şifreleme İÇin Kullanılacak Olan Anahtarın Durumunun Görüntülenmesi

SSL kullanımının aktif olmasının ardından MySQL kullanıcılarının SSL kullanımı ile MySQL sunucu servisi ile iletişime geÇmelerini zorlamak iÇin GRANT ifadesinde “REQUIRE SSL” kullanılarak gerÇekleştirilebilir. Ürnek bir ifade aşağıda yer almaktadır.

mysql> GRANT ALL ON deneme.* TO mysqluser@192.168.6.105Bu mail adresi spam botlara karşı korumalıdır, görebilmek iÇin Javascript aÇık olmalıdır  IDENTIFIED BY 'sifre' REQUIRE SSL;

Bu şekilde mysqluser kullanıcısının deneme veritabanına 192.168.6.105 ip adresinden SSL kullanımı aktif olacak şekilde bağlanması zorlanmış olur. Eğer SSL kullanımı aktif olmadan bağlanmaya Çalışılırsa şekil 5”de görülen hata mesajı ile karşılaşılacaktır.


şekil 5 SSL Kullanımı Zorlanmış MySQL Kullanıcısının SSL Kullanımı Olmaksızın Bağlantı GerÇekleştirilmesi Esnasında Karşılaşılan Hata Mesajı


KAYNAKLAR

[1] http://dev.mysql.com/doc/
[2] http://www.securityfocus.com/infocus/1726
[3] http://forge.mysql.com/wiki/Security_Vulnerabilities_In_MySQL_Server

Bu Makale http://www.bilgiguvenligi.gov.tr sitesinden alınmıştır.
Makale Yazarı ise: Gökhan ALKAN.
Aksi Belirtilmediği iÇin bu makale yayınlanmıştır.
Aksi Belirtilir ise yayından kaldırılır.
iletişim iÇin:tayfurboler@gmail.com
Gökhan ALKAN’a teşekkürler.

Tayfur BÖLER
Database Administrator