DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Configuration de l’Outil DataSunrise pour MS SQL Server

Configuration de l’Outil DataSunrise pour MS SQL Server

Le trait principal de Microsoft SQL Server est que son application client principale, SQL Server Management Studio, exige toujours le chiffrement même si la case “Chiffrer la connexion” n’est pas cochée.

fed_1

Cela signifie pour tout outil de surveillance qu’il est impossible d’écouter le trafic chiffré sans clé privée du serveur pour sa décryption. Le surveillance DataSunrise peut décrypter le trafic SSL s’il possède la clé privée, ainsi nous allons nous pencher sur la configuration d’un serveur pour le fonctionnement de DataSunrise en mode surveillance.

Par défaut, le serveur est configuré pour travailler avec des clés éphémères — il n’y a pas de clés statiques et de certificats établis pour lui. Le certificat et la clé sont générés pour chaque connexion. Une telle stratégie garantit un haut niveau de sécurité pour toutes les connexions au serveur. Il est donc clair que le fournisseur de cryptographie intégré de Microsoft dans les dernières versions de Windows a augmenté le niveau de priorité de tous ses chiffrements éphémères. Et maintenant il devient plus difficile d’activer les chiffrements plus appropriés pour l’écoute sans configuration supplémentaire du serveur.

Certificat

Pour désactiver les chiffrements éphémères et obtenir une clé privée statique, il est nécessaire d’installer un certificat. Cela peut être fait via Manager SQL Server Configurations (Fonctionnalités Protocols for MSSQLSERVER, Paramètres SQL Server Network Configuration, onglet Certificat) :

fed

Nous pouvons sélectionner un certificat de la liste téléchargée depuis le magasin de certificats Windows local.

Il y a quelques exigences de Microsoft pour préparer le certificat.

  1. Le certificat doit être soit dans le magasin de certificats de l’ordinateur local, soit dans le magasin de certificats de l’utilisateur actuel.
  2. L’heure système actuelle doit être après la propriété “Valide à partir de” du certificat et avant la propriété “Valide jusqu’à” du certificat.
  3. Le certificat doit être destiné à l’authentification du serveur. Cela nécessite que la propriété Usage étendu des clés du certificat spécifie “Authentification du serveur” (1.3.6.1.5.5.7.3.1).
  4. Le certificat doit être créé en utilisant l’option KeySpec d’AT_KEYEXCHANGE.
  5. La propriété “Sujet” du certificat doit indiquer que le nom commun (CN) est le même que le nom d’hôte ou le nom de domaine complet (FQDN) de l’ordinateur serveur. Si SQL Server fonctionne sur un cluster bascule, le nom commun doit correspondre au nom d’hôte ou au FQDN du serveur virtuel et les certificats doivent être provisionnés sur tous les nœuds du cluster bascule.

Pour créer un certificat qui répond à ces conditions, vous pouvez utiliser l’utilitaire Make Cert inclus dans Windows SDK.

makecert -r -pe -n "CN= HERE24322118" -b 01/09/2016 -e 01/09/2036 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12

Dans cet exemple, le certificat “HERE24322118” sera créé et placé dans le magasin de certificats local. À ce stade, ce certificat peut être sélectionné dans la liste de certificats du SQL Server Configuration Manager. Et après le redémarrage du serveur, il pourra être utilisé pour sécuriser les connexions réseau.

Clé de serveur

L’étape suivante consiste à obtenir la clé du serveur. Pour ce faire, il est nécessaire de l’exporter depuis un magasin de certificats, et extraire key.pem de certname.pfx:

openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes

Key.pem est la clé privée dont l’outil de surveillance a besoin.

<>Le serveur est configuré et sa clé privée obtenue, mais il utilise toujours des algorithmes éphémères en raison du fournisseur de cryptographie. Pour désactiver les algorithmes d’échange de clés éphémères, il est nécessaire de se référer au guide Microsoft correspondant ou son interprétation GUI — IIScrypto.

fed_3

Ici, vous devez désactiver 2 algorithmes d’échange de clés : Diffie Hellman et ECDH. Les modifications prendront effet après le redémarrage du serveur hôte.

Installation de la clé dans DataSunrise

L’étape finale consiste à installer la clé dans DataSunrise. Pour cela, nous ouvrons l’onglet Configurations, sélectionnons la base de données requise, ouvrons la fenêtre des certificats, l’onglet Clé privée et collons la clé privée copiée du fichier.

fed_4

La configuration du serveur et du pare-feu pour l’écoute du SQL Server est terminée. Et nous réfléchirons à comment simplifier et améliorer la protection de votre infrastructure.

Suivant

Intégration de DataSunrise avec Splunk Enterprise

Intégration de DataSunrise avec Splunk Enterprise

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]