Configuración de la opción NATIVE_NETWORK_ENCRYPTION - Amazon Relational Database Service

Configuración de la opción NATIVE_NETWORK_ENCRYPTION

Puede especificar requisitos de cifrado tanto en el servidor como en el cliente. La instancia de base de datos puede actuar como cliente cuando, por ejemplo, utiliza un vínculo de base de datos para conectarse a otra base de datos. Es posible que desee evitar forzar el cifrado en el lado del servidor. Por ejemplo, es posible que no desee forzar todas las comunicaciones del cliente para que utilicen el cifrado porque el servidor lo requiera. En este caso, puede forzar el cifrado en el lado del cliente mediante las opciones de SQLNET.*CLIENT.

Amazon RDS admite las siguientes configuraciones para la opción NATIVE_NETWORK_ENCRYPTION.

nota

Cuando utilice comas para separar valores para una configuración de opción, no coloque un espacio después de la coma.

Ajuste de la opción Valores válidos Valores predeterminados Descripción

SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS

TRUE, FALSE

TRUE

El comportamiento del servidor cuando un cliente que utiliza un cifrado que no está protegido intenta conectarse a la base de datos. Si es TRUE, los clientes pueden conectarse incluso si no cuentan con revisiones de PSU de julio de 2021.

Si el ajuste es FALSE, los clientes pueden conectarse a la base de datos solo cuando cuenten con las revisiones de PSU de julio de 2021. Antes de configurar SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS a FALSE, asegúrese de que se cumplan las siguientes condiciones:

  • SQLNET.ENCRYPTION_TYPES_SERVER y SQLNET.ENCRYPTION_TYPES_CLIENT deben tener un método de cifrado coincidente que no sea DES, 3DES, o bien RC4 (todas las longitudes de clave).

  • SQLNET.CHECKSUM_TYPES_SERVER y SQLNET.CHECKSUM_TYPES_CLIENT deben tener un método de suma de comprobación seguro coincidente que no sea MD5.

  • El cliente cuenta con la revisión de PSU de julio de 2021. Si el cliente no cuenta con la revisión, el cliente pierde la conexión y recibe el erorr ORA-12269.

SQLNET.ALLOW_WEAK_CRYPTO

TRUE, FALSE

TRUE

El comportamiento del servidor cuando un cliente que utiliza un cifrado que no está protegido intenta conectarse a la base de datos. Los siguientes cifrados no se consideran seguros:

  • Método de cifrado DES (todas las longitudes de clave)

  • Método de cifrado 3DES (todas las longitudes de clave)

  • Método de cifrado RC4 (todas las longitudes de clave)

  • Método de sumas de comprobación MD5

Si la configuración es TRUE, los clientes pueden conectarse cuando utilizan los cifrados anteriores que no estén protegidos.

Si la configuración es FALSE, la base de datos evita que los clientes se conecten cuando utilizan los cifrados anteriores que no estén protegidos. Antes de configurar SQLNET.ALLOW_WEAK_CRYPTO a FALSE, asegúrese de que se cumplan las siguientes condiciones:

  • SQLNET.ENCRYPTION_TYPES_SERVER y SQLNET.ENCRYPTION_TYPES_CLIENT deben tener un método de cifrado coincidente que no sea DES, 3DES, o bien RC4 (todas las longitudes de clave).

  • SQLNET.CHECKSUM_TYPES_SERVER y SQLNET.CHECKSUM_TYPES_CLIENT deben tener un método de suma de comprobación seguro coincidente que no sea MD5.

  • El cliente cuenta con la revisión de PSU de julio de 2021. Si el cliente no cuenta con la revisión, el cliente pierde la conexión y recibe el erorr ORA-12269.

SQLNET.CRYPTO_CHECKSUM_CLIENT

Accepted, Rejected, Requested, Required

Requested

Comportamiento de integridad de datos cuando una instancia de base de datos se conecta al cliente o cuando un servidor actúa como un cliente. Cuando una instancia de base de datos utiliza un enlace de base de datos, esta actúa como cliente.

Requested indica que el cliente no requiere que la instancia de base de datos haga la suma de comprobación.

SQLNET.CRYPTO_CHECKSUM_SERVER

Accepted, Rejected, Requested, Required

Requested

Comportamiento de integridad de datos cuando un cliente o un servidor que actúa como cliente se conecta a la instancia de base de datos. Cuando una instancia de base de datos utiliza un enlace de base de datos, esta actúa como cliente.

Requested indica que la instancia de base de datos no requiere que el cliente haga la suma de comprobación.

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512

Una lista de algoritmos de suma de comprobación.

Puede especificar un valor o una lista de valores separada por comas. Si utiliza una coma, no inserte un espacio después de la coma; de lo contrario, recibirá un error InvalidParameterValue.

Este parámetro y SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER deben tener un cifrado común.

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512, SHA1, MD5

Una lista de algoritmos de suma de comprobación.

Puede especificar un valor o una lista de valores separada por comas. Si utiliza una coma, no inserte un espacio después de la coma; de lo contrario, recibirá un error InvalidParameterValue.

Este parámetro y SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT deben tener un cifrado común.

SQLNET.ENCRYPTION_CLIENT

Accepted, Rejected, Requested, Required

Requested

Comportamiento de cifrado del cliente cuando un cliente o un servidor que actúa como cliente se conecta a la instancia de base de datos. Cuando una instancia de base de datos utiliza un enlace de base de datos, esta actúa como cliente.

Requested indica que el cliente no requiere que el tráfico del servidor esté cifrado.

SQLNET.ENCRYPTION_SERVER

Accepted, Rejected, Requested, Required

Requested

Comportamiento de cifrado del servidor cuando un cliente o un servidor que actúa como cliente se conecta a la instancia de base de datos. Cuando una instancia de base de datos utiliza un enlace de base de datos, esta actúa como cliente.

Requested indica que la instancia de base de datos no requiere que el tráfico del cliente esté cifrado.

SQLNET.ENCRYPTION_TYPES_CLIENT

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

Lista de algoritmos de cifrado utilizados por el cliente. El cliente utiliza cada algoritmo, por orden, para intentar descifrar la entrada del servidor hasta que un algoritmo tenga éxito o hasta que se llegue al final de la lista.

Amazon RDS utiliza la siguiente lista predeterminada de Oracle. RDS comienza con RC4_256 y continúa con la lista por orden. Es posible cambiar el orden o limitar los algoritmos que aceptará la instancia de base de datos.

  1. RC4_256: RSA RC4 (tamaño de clave de 256 bits)

  2. AES256: AES (tamaño de clave de 256 bits)

  3. AES192: AES (tamaño de clave de 192 bits)

  4. 3DES168: 3 claves Triple-DES (tamaño de clave efectivo de 112 bits)

  5. RC4_128: RSA RC4 (tamaño de clave de 128 bits)

  6. AES128: AES (tamaño de clave de 128 bits)

  7. 3DES112: 2 claves Triple-DES (tamaño de clave efectivo de 80 bits)

  8. RC4_56: RSA RC4 (tamaño de clave de 56 bits)

  9. DES: DES estándar (tamaño de clave de 56 bits)

  10. RC4_40: RSA RC4 (tamaño de clave de 40 bits)

  11. DES40: DES40 (tamaño de clave de 40 bits)

Puede especificar un valor o una lista de valores separada por comas. Si utiliza una coma, no inserte un espacio después de la coma; de lo contrario, recibirá un error InvalidParameterValue.

Este parámetro y SQLNET.SQLNET.ENCRYPTION_TYPES_SERVER deben tener un cifrado común.

SQLNET.ENCRYPTION_TYPES_SERVER

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

Lista de algoritmos de cifrado utilizados por la instancia de base de datos. La instancia de base de datos utiliza cada algoritmo, por orden, para intentar descifrar la entrada del cliente hasta que un algoritmo tenga éxito o hasta que se llegue al final de la lista.

Amazon RDS utiliza la siguiente lista predeterminada de Oracle. Es posible cambiar el orden o limitar los algoritmos que aceptará el cliente.

  1. RC4_256: RSA RC4 (tamaño de clave de 256 bits)

  2. AES256: AES (tamaño de clave de 256 bits)

  3. AES192: AES (tamaño de clave de 192 bits)

  4. 3DES168: 3 claves Triple-DES (tamaño de clave efectivo de 112 bits)

  5. RC4_128: RSA RC4 (tamaño de clave de 128 bits)

  6. AES128: AES (tamaño de clave de 128 bits)

  7. 3DES112: 2 claves Triple-DES (tamaño de clave efectivo de 80 bits)

  8. RC4_56: RSA RC4 (tamaño de clave de 56 bits)

  9. DES: DES estándar (tamaño de clave de 56 bits)

  10. RC4_40: RSA RC4 (tamaño de clave de 40 bits)

  11. DES40: DES40 (tamaño de clave de 40 bits)

Puede especificar un valor o una lista de valores separada por comas. Si utiliza una coma, no inserte un espacio después de la coma; de lo contrario, recibirá un error InvalidParameterValue.

Este parámetro y SQLNET.SQLNET.ENCRYPTION_TYPES_SERVER deben tener un cifrado común.