Modificación de la configuración de la opción NATIVE_NETWORK_ENCRYPTION - Amazon Relational Database Service
Modificación de los valores CRYPTO_CHECKSUM_*Modificación de la configuración ALLOW_WEAK_CRYPTO*

Modificación de la configuración de la opción NATIVE_NETWORK_ENCRYPTION

Después de habilitar la opción NATIVE_NETWORK_ENCRYPTION, puede modificar su configuración. Actualmente, solo puede modificar la configuración de las opciones de NATIVE_NETWORK_ENCRYPTION con la AWS CLI o la API de RDS. No puede utilizar la consola. En el siguiente ejemplo, se modifican dos ajustes de la opción.

aws rds add-option-to-option-group \
    --option-group-name my-option-group \
    --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \
    --apply-immediately

Para obtener más información acerca de cómo modificar la configuración de las opciones con la CLI, consulte AWS CLI. Para obtener más información acerca de cada opción, consulte Configuración de la opción NATIVE_NETWORK_ENCRYPTION.

Modificación de los valores CRYPTO_CHECKSUM_*

Si modifica la configuración de la opción de NATIVE_NETWORK_ENCRYPTION, asegúrese de que la siguiente configuración de la opción tenga al menos un cifrado común:

  • SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

  • SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

En el siguiente ejemplo, se muestra un escenario en el que se modifica SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER. La configuración es válida porque tanto CRYPTO_CHECKSUM_TYPES_CLIENT y CRYPTO_CHECKSUM_TYPES_SERVER usan SHA256.

Ajuste de la opción Valores antes de la modificación Valores tras la modificación

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

SHA256, SHA384, SHA512

Sin cambios

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

SHA256, SHA384, SHA512, SHA1, MD5

 SHA1,MD5,SHA256

Por otro ejemplo, suponga que desea modificar SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER de su configuración predeterminada a SHA1,MD5. En este caso, asegúrese de establecer uno de estos valores para SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT: SHA1 o MD5. Estos algoritmos no se incluyen en los valores predeterminados para SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT.

Modificación de la configuración ALLOW_WEAK_CRYPTO*

Para configurar las opciones SQLNET.ALLOW_WEAK_CRYPTO* del valor predeterminado a FALSE, asegúrese de que se cumplan las siguientes condiciones:

  • SQLNET.ENCRYPTION_TYPES_SERVER y SQLNET.ENCRYPTION_TYPES_CLIENT deben tener un método de cifrado seguro coincidente. Un método se considera seguro si no es DES, 3DES, o bien RC4 (todas las longitudes de clave).

  • SQLNET.CHECKSUM_TYPES_SERVER y SQLNET.CHECKSUM_TYPES_CLIENT deben tener un método de suma de comprobación seguro coincidente. Un método se considera seguro si no es MD5.

  • El cliente cuenta con la revisión de PSU de julio de 2021. Si el cliente no cuenta con la revisión, el cliente pierde la conexión y recibe el erorr ORA-12269.

El siguiente ejemplo muestra configuraciones NNE de muestra. Supongamos que desea configurar SQLNET.ENCRYPTION_TYPES_SERVER y SQLNET.ENCRYPTION_TYPES_CLIENT a FALSE, bloqueando así las conexiones no seguras. La configuración de la opción de suma de comprobación cumple los requisitos previos porque ambos tienen SHA256. Sin embargo, SQLNET.ENCRYPTION_TYPES_CLIENT y SQLNET.ENCRYPTION_TYPES_SERVER usan los métodos de cifrado no seguro DES, 3DES, y RC4. Por lo tanto, para establecer las opciones SQLNET.ALLOW_WEAK_CRYPTO* en FALSE, primero establezca SQLNET.ENCRYPTION_TYPES_SERVER y SQLNET.ENCRYPTION_TYPES_CLIENT en un método de cifrado seguro como AES256.

Ajuste de la opción Valores

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

SHA256, SHA384, SHA512

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

 SHA1,MD5,SHA256

SQLNET.ENCRYPTION_TYPES_CLIENT

RC4_256, 3DES168, DES40

SQLNET.ENCRYPTION_TYPES_SERVER

RC4_256, 3DES168, DES40