PDF de programación - Estableciendo Sesiones SSL en MySQL

Estableciendo Sesiones

SSL en MySQL



Gestión de Bases de Datos

LUIS MENGUAL (c)

Estableciendo Sesiones

SSL en MySQL

Objetivos:

• Crear la infraestructura de certificados X.509
necesaria para incorporar servicios de seguridad
en el acceso a un Base de Datos

• Establecer de forma práctica sesiones seguras en

MySQL

• Captura del trafico en el acceso a la BD

Gestión de Bases de Datos

LUIS MENGUAL (c)

Índice

Creación de la Infraestructura necesaria para el
establecimiento de accesos seguros SSL:

1. Usuario cliente_ssl0: Cliente SSL sin Autenticación de
usuario
2. Usuario cliente_ssl: Cliente SSL con Autenticación de
usuario
3. Usuario cliente_ssl1: Cliente SSL con Autenticación de
usuario, verificando el propietario del certificado
4. Usuario cliente_ssl2: Cliente SSL con Autenticación de
usuario, verificando el emisor del certificado

Gestión de Bases de Datos

LUIS MENGUAL (c)

Confirmar que la versión actual de
MySQL soporta el protocolo SSL

1. Desde un cliente
mysql -u root
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 1
Server version: 5.1.37 Source distribution
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> SHOW VARIABLES LIKE "have_ssl";
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_ssl | YES |
+---------------+-------+
1 row in set (0.00 sec)

2. Desde el servidor MySQL
mysqld --ssl
[ERROR] mysql: unknown option ‘—ssl’ ->Esto indica que no soporta SSL
Gestión de Bases de Datos

LUIS MENGUAL (c)

Crear certificados

Certificado de la CA

openssl>

genrsa -out CAClavePrivada.pem 4096

(Generamos un par de claves pública y privada. Obtenemos el fichero
“CAClavePrivada.pem” conteniendo la clave privada de la CA)


req -new -x509 -days 3650 -key CAClavePrivada.pem -out CACertificado.pem

(Obtenemos un certificado autofirmado, fichero “CACertificado.pem”, que será
el certificado de la CA)

x509 –inform PEM –in CACertificado.pem –outform DER –out CACertificado.crt

(Podemos convertir el formato *.pem del certificado a formato *.crt)


Gestión de Bases de Datos

LUIS MENGUAL (c)

Crear certificados
Certificado del Servidor (I)

genrsa -out SR_ClavePrivada.pem 1024

(Generamos un par de claves pública y privada para el usuario. Obtenemos
el fichero “SR_ClavePrivada.pem” conteniendo la clave privada del servidor)

req –new -key SR_ClavePrivada.pem -out SR_Peticion.csr

(Creamos un certificado de usuario y creamos una petición a la espera
que la firme la CA)

x509 -req -days 365 -in SR_Peticion.csr -CA CACertificado.pem
-CAkey CAClavePrivada.pem -set_serial 01 -out SR_Certificado.pem

(obtenemos un certificado firmado por la CA, listo para ser utilizado
en el Gestor de la BD, servidor, o en el cliente)

Gestión de Bases de Datos


LUIS MENGUAL (c)

Crear certificados
Certificado del Servidor (II)



x509 –inform PEM –in SR_Certificado.pem –outform DER
–out SR_Certificado.crt

(opcionalmente podemos obtener el fichero del certificado del servidor
en formato *.crt)


pkcs12 -export -in SR_Certificado.pem -inkey SR_ClavePrivada.pem
-out SR_Certificado.p12

(opcionalmente podemos obtener el fichero del certificado del servidor
en formato *.p12, incorporando la clave privada)


Gestión de Bases de Datos

LUIS MENGUAL (c)

Arranque Servidor

1. Arranque manual del Servidor


mysqld –ssl --ssl-ca=CACertificado.pem --ssl-cert=SR_Certificado.pem
--ssl-key=SR_ClavePrivada.pem

(Los certificados deben estar en el path adecuado)

2. Arranque automático con el fichero de configuración (my.ini)



Gestión de Bases de Datos

LUIS MENGUAL (c)

Arranque Manual Servidor

Variables SSL

Gestión de Bases de Datos

LUIS MENGUAL (c)

Conexión Cliente root ssl

Comprobación certificados cargados correctamente (I)

mysql -u root --ssl-ca=ca.pem

Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 3
Server version: 5.1.37 Source distribution

Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.


Ahora comprobamos que la conexión se ha establecido con ssl

mysql> SHOW STATUS LIKE "ssl_cipher";
+---------------+--------------------+
| Variable_name | Value |
+---------------+--------------------+
| Ssl_cipher | DHE-RSA-AES256-SHA |
+---------------+--------------------+

Gestión de Bases de Datos

LUIS MENGUAL (c)

Conexión Cliente root ssl

Comprobación certificados cargados correctamente (II)


mysql> \s
--------------
mysql Ver 14.14 Distrib 5.5.16, for Win32 (x86)

Connection id: 3
Current database:
Current user: root@localhost
SSL: Cipher in use is DHE-RSA-AES256-SHA
Using delimiter: ;
Server version: 5.1.37 Source distribution
Protocol version: 10
Connection: localhost via TCP/IP
Server characterset: latin1
Db characterset: latin1
Client characterset: cp850
Conn. characterset: cp850
TCP port: 3306
Uptime: 30 sec

Threads: 3 Questions: 22 Slow queries: 0 Opens: 19 Flush tables: 1 Open tab
les: 12 Queries per second avg: 0.733
--------------


Gestión de Bases de Datos

LUIS MENGUAL (c)

Conexión Cliente root ssl

Comprobación certificados cargados correctamente (III)

Si no están bien cargados los certificados saldría lo siguiente:

mysql -u root --ssl-ca=ca.pem

Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 9
Server version: 5.1.37 Source distribution

Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> SHOW STATUS LIKE "ssl_cipher";
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| Ssl_cipher | |
+---------------+-------+
1 row in set (0.00 sec)


Gestión de Bases de Datos

LUIS MENGUAL (c)

Conexión Cliente root ssl

Comprobación certificados cargados correctamente (IV)

mysql> \s
--------------
mysql Ver 14.14 Distrib 5.5.16, for Win32 (x86)

Connection id: 9
Current database:
Current user: root@localhost
SSL: Not in use
Using delimiter: ;
Server version: 5.1.37 Source distribution
Protocol version: 10
Connection: localhost via TCP/IP
Server characterset: latin1
Db characterset: latin1
Client characterset: cp850
Conn. characterset: cp850
TCP port: 3306
Uptime: 5 min 46 sec

Threads: 1 Questions: 59 Slow queries: 0 Opens: 20 Flush tables: 1 Open tab
les: 13 Queries per second avg: 0.170
--------------


Gestión de Bases de Datos

LUIS MENGUAL (c)

Conexión Cliente root ssl
MySQL Workbench (I)

Gestión de Bases de Datos

LUIS MENGUAL (c)

Conexión Cliente root ssl
MySQL Workbench (II)

Gestión de Bases de Datos

LUIS MENGUAL (c)

Arranque automático Servidor (I)



Fichero configuración: “my.ini”



ssl
ssl-ca = "C:/XAMPP_28MAR11_LM/xampp/mysql/CONFIGURACION_MYSQL_SSL
/SERVER/CACertificado.pem"
ssl-cert = "C:/XAMPP_28MAR11_LM/xampp/mysql/CONFIGURACION_MYSQL_SSL
/SERVER/SR_Certificado.pem"
ssl-key = "C:/XAMPP_28MAR11_LM/xampp/mysql/CONFIGURACION_MYSQL_SSL
/SERVER/SR_ClavePrivada.pem"
ssl-capath = "C:/XAMPP_28MAR11_LM/xampp/mysql/CONFIGURACION_MYSQL_SSL
/SERVER"

• Con el gestor de BD apagado hay que editar el fichero my.ini
insertar las líneas anteriores, guardar y cerrar el fichero

• Copiar los certificados en los paths especificados

• Finalmente, reiniciar el Gestor de la BD


Gestión de Bases de Datos

LUIS MENGUAL (c)

Arranque Automático Servidor

Variables SSL

Gestión de Bases de Datos

LUIS MENGUAL (c)

CREAR USUARIOS SSL

1. Usuario cliente_ssl0: Cliente SSL sin Autenticación de
usuario
2. Usuario cliente_ssl: Cliente SSL con Autenticación de
usuario
3. Usuario cliente_ssl1: Cliente SSL con Autenticación de
usuario, verificando el propietario del certificado
4. Usuario cliente_ssl2: Cliente SSL con Autenticación de
usuario, verificando el emisor del certificado



Gestión de Bases de Datos

LUIS MENGUAL (c)

CREAR USUARIOS SSL (1)

1. Usuario cliente_ssl0: Cliente SSL sin Autenticación de
usuario

Gestión de Bases de Datos

LUIS MENGUAL (c)

1. Crear cliente_ssl0 (sin autenticación)

Configuración en el servidor

LUIS MENGUAL (c)



GRANT ALL PRIVILEGES ON *.* TO 'cliente_ssl0'@'%' IDENTIFIED BY 'ssl‘
WITH GRANT OPTION;

(Crear el usuario cliente_ssl0“ con clave ssl)



GRANT ALL PRIVILEGES ON *.* TO 'cliente_ssl0'@'%' IDENTIFIED BY 'ssl'
REQUIRE SSL;

(Al cliente cliente_ssl0 con clave ssl se el exige utilizar SSL)



SHOW GRANTS FOR cliente_ssl0;

(Vemos los privilegios/requisitos creados para este usuario)

-
'GRANT ALL PRIVILEGES ON *.* TO \'cliente_ssl0\'@\'%\' IDENTIFIED BY
PASSWORD \'*035E199C2E188B7300132D5C991D9E002AB5C150\'
REQUIRE SSL WITH GRANT OPTION'



Gestión de Bases de Datos

1. Crear cliente_ssl0 (sin autenticación)

Arranque Servidor



1. Arranque manual del Servidor


mysqld –ssl --ssl-ca=CACertificado.pem --ssl-cert=SR_Certificado.pem
--ssl-key=SR_ClavePrivada.pem

(Los certificados deben estar en el path adecuado)

2. Arranque automático con el fichero de configuración (my.ini)



Gestión de Bases de Datos

LUIS MENG