Microsoft MVP성태의 닷넷 이야기
.NET Framework: 490. System.Data.SqlClient는 SSL 3.0/TLS 1.0만 지원하는 듯! [링크 복사], [링크+제목 복사],
조회: 27340
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 
(연관된 글이 1개 있습니다.)
(시리즈 글이 6개 있습니다.)
.NET Framework: 490. System.Data.SqlClient는 SSL 3.0/TLS 1.0만 지원하는 듯!
; https://www.sysnet.pe.kr/2/0/1833

개발 환경 구성: 254. SQL 서버 역시 SSL 3.0/TLS 1.0만을 지원하는 듯!
; https://www.sysnet.pe.kr/2/0/1835

.NET Framework: 2127. C# - Ubuntu + Microsoft.Data.SqlClient + SQL Server 2008 R2 연결 방법
; https://www.sysnet.pe.kr/2/0/13364

개발 환경 구성: 678. openssl로 생성한 인증서를 SQL Server의 암호화 인증서로 설정하는 방법
; https://www.sysnet.pe.kr/2/0/13368

개발 환경 구성: 680. C# - Ubuntu + Microsoft.Data.SqlClient + SQL Server 2008 R2 연결 방법 - TLS 1.2 지원
; https://www.sysnet.pe.kr/2/0/13370

개발 환경 구성: 682. SQL Server TLS 통신을 위해 사용되는 키 길이 확인 방법
; https://www.sysnet.pe.kr/2/0/13372




System.Data.SqlClient는 SSL 3.0/TLS 1.0만 지원하는 듯!

이 질문 덕분에,

windows 2008 r2에서 ms-sql 2008 서버사용시 tls문제점
; https://www.sysnet.pe.kr/3/0/1523

TLS 통신 관련해서 좀 더 깊게 살펴보게 되는군요. 이 글에서는 클라이언트 측의 암호화 프로토콜 지정에 관해서만 다뤄보겠습니다.

SQL 서버로의 DB 연결 문자열에 Encrypt 속성을 주면,

string db = "TrustServerCertificate=true;Encrypt=true;Password=testuser2008;Persist Security Info=True;User ID=testuser;Initial Catalog=TestDB;Data Source=192.168.0.23";

SqlConnection cn = new SqlConnection(db);
cn.Open();

cn.Close();

이제 SQL 서버와의 통신을 암호화하게 됩니다. 그런데 애석하게도, 연결 문자열에는 구체적인 암호화 프로토콜을 지정할 수 있는 방법이 없습니다. 대신 TDS 프로토콜이 의존하는 SCHANNEL에서는 가능합니다. (2008 R2 이상의) 윈도우 설치 시 기본 상태에서는 SCHANNEL에 SSL 2.0을 제외하고는 SSL 3.0/TLS 1.0/TLS 1.1/TLS 1.2가 활성화되어 있습니다. 또한 프로토콜 간의 우선 순위는 기본적으로 TLS 1.0, SSL 3.0 순입니다.

이 때문에 아무런 설정 없이 SqlConnection 보안 연결을 하게 되면 TLS 1.0 프로토콜로 먼저 시도하게 됩니다. 이를 알 수 있는 방법은 Network Monitor 같은 도구를 이용해 패킷을 캡쳐해야 합니다. 그런데, 만약 SQL 서버 측에서 TLS 1.0을 막아놨다면 어떻게 될까요? 이 때의 네트워크 패킷을 가로채 보면, SQL 클라이언트 측에서 TLS 1.0 버전으로 handshake를 시도하고,

  Frame: Number = 56892, Captured Frame Length = 193, MediaType = ETHERNET
+ Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[00-15-5D-00-05-04],SourceAddress:[00-26-66-86-98-F8]
+ Ipv4: Src = 192.168.0.95, Dest = 192.168.0.23, Next Protocol = TCP, Packet ID = 27873, Total IP Length = 179
+ Tcp: Flags=...AP..., SrcPort=14543, DstPort=1433, PayloadLen=139, Seq=2992396582 - 2992396721, Ack=3722507225, Win=260 (scale factor 0x8) = 66560
+ Tds: Prelogin, Version = 7.300000(No version information available, using the default version), SPID = 0, PacketID = 0, Flags=...AP..., SrcPort=14543, DstPort=1433, PayloadLen=139, Seq=2992396582 - 2992396721, Ack=3722507225, Win=66560
  TLSSSLData: Transport Layer Security (TLS) Payload Data
- TLS: TLS Rec Layer-1 HandShake: Client Hello.
  - TlsRecordLayer: TLS Rec Layer-1 HandShake:
     ContentType: HandShake:
   - Version: TLS 1.0
      Major: 3 (0x3)
      Minor: 1 (0x1)
     Length: 126 (0x7E)
   - SSLHandshake: SSL HandShake ClientHello(0x01)
      HandShakeType: ClientHello(0x01)
      Length: 122 (0x7A)
    + ClientHello: TLS 1.0

SQL 서버 측에는 TLS 1.0 프로토콜 대신 SSL 3.0 지원을 하도록 한 경우이므로 이에 대한 응답으로 다음과 같이 SSL 3.0 통신을 명시하게 됩니다.

  Frame: Number = 56893, Captured Frame Length = 1535, MediaType = ETHERNET
+ Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[00-26-66-86-98-F8],SourceAddress:[00-15-5D-00-05-04]
+ Ipv4: Src = 192.168.0.23, Dest = 192.168.0.95, Next Protocol = TCP, Packet ID = 1599, Total IP Length = 0
+ Tcp: Flags=...AP..., SrcPort=1433, DstPort=14543, PayloadLen=1481, Seq=3722507225 - 3722508706, Ack=2992396721, Win=514 (scale factor 0x8) = 131584
+ Tds: Prelogin, Version = 7.300000(No version information available, using the default version), SPID = 0, PacketID = 0, Flags=...AP..., SrcPort=1433, DstPort=14543, PayloadLen=1481, Seq=3722507225 - 3722508706, Ack=2992396721, Win=131584
  TLSSSLData: Secure Sockets Layer (SSL) Payload Data
- SSL:  SSLv3 Rec Layer-1 HandShake: Server Hello. Certificate. Server Hello Done.
  - SslV3RecordLayer: SSLv3 Rec Layer-1 HandShake:
     ContentType: HandShake:
   + Version: SSL 3.0
     Length: 1468 (0x5BC)
   - SSLHandshake: SSL HandShake Server Hello Done(0x0E)
      HandShakeType: ServerHello(0x02)
      Length: 77 (0x4D)
    + ServerHello: 0x1
      HandShakeType: Certificate(0x0B)
      Length: 1379 (0x563)
    + Cert: 0x1
      HandShakeType: Server Hello Done(0x0E)
      Length: 0 (0x0)

이후 SQL 서버와 클라이언트는 SSL 3.0 통신을 하게 됩니다.




보시는 바와 같이 SqlConnection 개체는 Open을 하면 그 하부 단에서 우선 TLS 1.0 프로토콜로 시작하게 됩니다. 그렇다면, 이 상태에서 클라이언트 측의 TLS 1.0 프로토콜을 막아버리면 어떻게 될까요? (참고로, 레지스트리 변경 후 EXE 프로세스만 재시작하면 반영됩니다.)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

그럼, 클라이언트는 처음부터 SSL 3.0 프로토콜을 이용해 HandShake 절차를 밟게 됩니다.

  Frame: Number = 413, Captured Frame Length = 120, MediaType = ETHERNET
+ Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[00-15-5D-00-05-04],SourceAddress:[00-26-66-86-98-F8]
+ Ipv4: Src = 192.168.0.95, Dest = 192.168.0.23, Next Protocol = TCP, Packet ID = 4335, Total IP Length = 106
+ Tcp: Flags=...AP..., SrcPort=2841, DstPort=1433, PayloadLen=66, Seq=1547634953 - 1547635019, Ack=3464005589, Win=260 (scale factor 0x8) = 66560
- Tds: Prelogin, Version = 7.300000(No version information available, using the default version), SPID = 0, PacketID = 0, Flags=...AP..., SrcPort=2841, DstPort=1433, PayloadLen=66, Seq=1547634953 - 1547635019, Ack=3464005589, Win=66560
  - PacketHeader: SPID = 0, Size = 66, PacketID = 0, Window = 0
     PacketType: Prelogin, 18(0x12)
     Status: End of message true, ignore event false, reset connection false
     Length: 66 (0x42)
     SPID: 0 (0x0)
     PacketID: 0 (0x0)
     Window: 0 (0x0)
    PreLoginPacketData: 
  TLSSSLData: Secure Sockets Layer (SSL) Payload Data
- SSL:  SSLv3 Rec Layer-1 HandShake: Client Hello.
  - SslV3RecordLayer: SSLv3 Rec Layer-1 HandShake:
     ContentType: HandShake:
   + Version: SSL 3.0
     Length: 53 (0x35)
   + SSLHandshake: SSL HandShake ClientHello(0x01)

나아가서, 다음의 레지스트리 키를 등록해 SSL 3.0도 비활성화하면 어떻게 될까요?

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000001

이후부터는 TDS:Prelogin, TDS:Response 패킷 정도만 보이고 더 이상 암호화 통신이 불가능하게 되어 이런 패킷 순서를 보이게 됩니다.

0x0	736	오후 2:40:30 2015-01-03	11.9265788	System	TESTCLN 	SQLSVRR2 	TCP	TCP:Flags=......S., SrcPort=2347, DstPort=1433, PayloadLen=0, Seq=3846412218, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192	{TCP:10, IPv4:1}
0x0	737	오후 2:40:30 2015-01-03	11.9266810	System	SQLSVRR2 	TESTCLN 	TCP	TCP:Flags=...A..S., SrcPort=1433, DstPort=2347, PayloadLen=0, Seq=1189447900, Ack=3846412219, Win=8192 ( Negotiated scale factor 0x8 ) = 2097152	{TCP:10, IPv4:1}
0x0	738	오후 2:40:30 2015-01-03	11.9316325	System	TESTCLN 	SQLSVRR2 	TCP	TCP:Flags=...A...., SrcPort=2347, DstPort=1433, PayloadLen=0, Seq=3846412219, Ack=1189447901, Win=260 (scale factor 0x8) = 66560	{TCP:10, IPv4:1}
0x0	739	오후 2:40:30 2015-01-03	11.9324884	System	TESTCLN 	SQLSVRR2 	TDS	TDS:Prelogin, Version = 7.300000(No version information available, using the default version), SPID = 0, PacketID = 1, Flags=...AP..., SrcPort=2347, DstPort=1433, PayloadLen=88, Seq=3846412219 - 3846412307, Ack=1189447901, Win=66560	{TDS:11, TCP:10, IPv4:1}
0x0	740	오후 2:40:30 2015-01-03	11.9326110	System	SQLSVRR2 	TESTCLN 	TDS	TDS:Response, Version = 7.300000(No version information available, using the default version), SPID = 0, PacketID = 1, Flags=...AP..., SrcPort=1433, DstPort=2347, PayloadLen=43, Seq=1189447901 - 1189447944, Ack=3846412307, Win=131840	{TDS:11, TCP:10, IPv4:1}
0x0	741	오후 2:40:30 2015-01-03	11.9333909	System	SQLSVRR2 	TESTCLN 	TCP	TCP:Flags=...A...F, SrcPort=1433, DstPort=2347, PayloadLen=0, Seq=1189447944, Ack=3846412307, Win=515 (scale factor 0x8) = 131840	{TCP:10, IPv4:1}
0x0	742	오후 2:40:30 2015-01-03	11.9385460	System	TESTCLN 	SQLSVRR2 	TCP	TCP:Flags=...A...., SrcPort=2347, DstPort=1433, PayloadLen=0, Seq=3846412307, Ack=1189447945, Win=260 (scale factor 0x8) = 66560	{TCP:10, IPv4:1}
0x0	743	오후 2:40:30 2015-01-03	11.9393830	System	TESTCLN 	SQLSVRR2 	TCP	TCP:Flags=...A...F, SrcPort=2347, DstPort=1433, PayloadLen=0, Seq=3846412307, Ack=1189447945, Win=260 (scale factor 0x8) = 66560	{TCP:10, IPv4:1}
0x0	744	오후 2:40:30 2015-01-03	11.9394074	System	SQLSVRR2 	TESTCLN 	TCP	TCP:Flags=...A...., SrcPort=1433, DstPort=2347, PayloadLen=0, Seq=1189447945, Ack=3846412308, Win=515 (scale factor 0x8) = 131840	{TCP:10, IPv4:1}

그와 함께, SqlConnection.Open 호출 단계에서 다음과 같은 예외 메시지가 떨어집니다.

The instance of SQL Server you attempted to connect to requires encryption but this machine does not support it.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.Data.SqlClient.SqlException: The instance of SQL Server you attempted to connect to requires encryption but this machine does not support it.


즉, SQL 서버 측에서 다른 보안 프로토콜을 지원한다고 해도 클라이언트 측에서 이미 SSL 3.0, TLS 1.0만 지원하므로 더 이상 통신이 안되는 것입니다.

혹시, 클라이언트 측에서 SSL 3.0/TLS 1.0 이외의 프로토콜로 접속하는 방법을 아시는 분은 덧글 부탁드립니다. ^^




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]






[최초 등록일: ]
[최종 수정일: 7/17/2021]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 



2016-11-23 02시42분
TDS Protocol Documentation
; http://www.freetds.org/tds.html
정성태
2016-11-23 03시59분
[ryujh] 안녕하세요.

SQL 접속은 아닌데 httprequest 로 https 웹서비스 접속시 인증서발리데이션 무시하는 코드입니다.

생성자나 main, page_load 에서 한 번 실행해주면 됩니다.
  
        ServicePointManager.ServerCertificateValidationCallback = delegate(
        Object obj,
        X509Certificate certificate,
        X509Chain chain,
        SslPolicyErrors errors)
        {
            // Validate the certificate and return true or false as appropriate.
            // Note that it not a good practice to always return true because not
            // all certificates should be trusted.
            return true;
        };

SQL 에서 인증서 무시하고 접속하는 방법을 찾아야 할 것 같습니다. (찾으면 다시 알려드리겠습니다.)
[guest]
2016-11-23 08시11분
@ryujh 님, 해당 코드는 인증서의 유효성을 검사하는 단계에서 닷넷이 기본 제공하는 코드를 생략하고 무조건 true(인증서가 유효함)라고 반환하는 것입니다. (즉, 인증서를 무시하는 것이 아니고, 제시된 인증서가 여전히 CA에 의해 유효한지 등의 검증을 생략하는 것입니다.)

제가 쓴 글은, '인증서' 수준의 문제가 아니고 보안 암호화 프로토콜인 TLS 1.1과 1.2가 SqlClient 라이브러리 수준에서 지원되지 않는다는 것입니다. 따라서, "SQL에서 인증서 (무시는 아니고) 유효성을 생략하는 방법"을 찾는다 해도 해결될 일이 아닙니다.
정성태

[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
13917정성태4/30/202548VS.NET IDE: 199. Directory.Build.props에 정의한 속성에 대해 Condition 제약으로 값을 변경하는 방법
13916정성태4/23/2025446디버깅 기술: 221. WinDbg 분석 사례 - ASP.NET HttpCookieCollection을 다중 스레드에서 사용할 경우 무한 루프 현상 - 두 번째 이야기
13915정성태4/13/20251671닷넷: 2331. C# - 실행 시에 메서드 가로채기 (.NET 9)파일 다운로드1
13914정성태4/11/20251978디버깅 기술: 220. windbg 분석 사례 - x86 ASP.NET 웹 응용 프로그램의 CPU 100% 현상 (4)
13913정성태4/10/20251204오류 유형: 950. Process Explorer - 64비트 윈도우에서 32비트 프로세스의 덤프를 뜰 때 "Error writing dump file: Access is denied." 오류
13912정성태4/9/2025864닷넷: 2330. C# - 실행 시에 메서드 가로채기 (.NET 5 ~ .NET 8)파일 다운로드1
13911정성태4/8/20251104오류 유형: 949. WinDbg - .NET Core/5+ 응용 프로그램 디버깅 시 sos 확장을 자동으로 로드하지 못하는 문제
13910정성태4/8/20251257디버깅 기술: 219. WinDbg - 명령어 내에서 환경 변수 사용법
13909정성태4/7/20251740닷넷: 2329. C# - 실행 시에 메서드 가로채기 (.NET Framework 4.8)파일 다운로드1
13908정성태4/2/20252138닷넷: 2328. C# - MailKit: SMTP, POP3, IMAP 지원 라이브러리
13907정성태3/29/20251942VS.NET IDE: 198. (OneDrive, Dropbox 등의 공유 디렉터리에 있는) C# 프로젝트의 출력 경로 변경하기
13906정성태3/27/20252213닷넷: 2327. C# - 초기화되지 않은 메모리에 접근하는 버그?파일 다운로드1
13905정성태3/26/20252246Windows: 281. C++ - Windows / Critical Section의 안정화를 위해 도입된 "Keyed Event"파일 다운로드1
13904정성태3/25/20251905디버깅 기술: 218. Windbg로 살펴보는 Win32 Critical Section파일 다운로드1
13903정성태3/24/20251522VS.NET IDE: 197. (OneDrive, Dropbox 등의 공유 디렉터리에 있는) C++ 프로젝트의 출력 경로 변경하기
13902정성태3/24/20251737개발 환경 구성: 742. Oracle - 테스트용 hr 계정 및 데이터 생성파일 다운로드1
13901정성태3/9/20252127Windows: 280. Hyper-V의 3가지 Thread Scheduler (Classic, Core, Root)
13900정성태3/8/20252346스크립트: 72. 파이썬 - SQLAlchemy + oracledb 연동
13899정성태3/7/20251821스크립트: 71. 파이썬 - asyncio의 ContextVar 전달
13898정성태3/5/20252139오류 유형: 948. Visual Studio - Proxy Authentication Required: dotnetfeed.blob.core.windows.net
13897정성태3/5/20252369닷넷: 2326. C# - PowerShell과 연동하는 방법 (두 번째 이야기)파일 다운로드1
13896정성태3/5/20252192Windows: 279. Hyper-V Manager - VM 목록의 CPU Usage 항목이 항상 0%로 나오는 문제
13895정성태3/4/20252234Linux: 117. eBPF / bpf2go - Map에 추가된 요소의 개수를 확인하는 방법
13894정성태2/28/20252266Linux: 116. eBPF / bpf2go - BTF Style Maps 정의 구문과 데이터 정렬 문제
13893정성태2/27/20252211Linux: 115. eBPF (bpf2go) - ARRAY / HASH map 기본 사용법
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...