Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
.NET Framework: 490. System.Data.SqlClient는 SSL 3.0/TLS 1.0만 지원하는 듯! [링크 복사], [링크+제목 복사],
조회: 20302
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
http://www.sysnet.pe.kr
첨부 파일
 
(연관된 글이 1개 있습니다.)
(시리즈 글이 6개 있습니다.)
.NET Framework: 490. System.Data.SqlClient는 SSL 3.0/TLS 1.0만 지원하는 듯!
; https://www.sysnet.pe.kr/2/0/1833

개발 환경 구성: 254. SQL 서버 역시 SSL 3.0/TLS 1.0만을 지원하는 듯!
; https://www.sysnet.pe.kr/2/0/1835

.NET Framework: 2127. C# - Ubuntu + Microsoft.Data.SqlClient + SQL Server 2008 R2 연결 방법
; https://www.sysnet.pe.kr/2/0/13364

개발 환경 구성: 678. openssl로 생성한 인증서를 SQL Server의 암호화 인증서로 설정하는 방법
; https://www.sysnet.pe.kr/2/0/13368

개발 환경 구성: 680. C# - Ubuntu + Microsoft.Data.SqlClient + SQL Server 2008 R2 연결 방법 - TLS 1.2 지원
; https://www.sysnet.pe.kr/2/0/13370

개발 환경 구성: 682. SQL Server TLS 통신을 위해 사용되는 키 길이 확인 방법
; https://www.sysnet.pe.kr/2/0/13372



System.Data.SqlClient는 SSL 3.0/TLS 1.0만 지원하는 듯!

이 질문 덕분에,

windows 2008 r2에서 ms-sql 2008 서버사용시 tls문제점
; https://www.sysnet.pe.kr/3/0/1523

TLS 통신 관련해서 좀 더 깊게 살펴보게 되는군요. 이 글에서는 클라이언트 측의 암호화 프로토콜 지정에 관해서만 다뤄보겠습니다.

SQL 서버로의 DB 연결 문자열에 Encrypt 속성을 주면,

string db = "TrustServerCertificate=true;Encrypt=true;Password=testuser2008;Persist Security Info=True;User ID=testuser;Initial Catalog=TestDB;Data Source=192.168.0.23";

SqlConnection cn = new SqlConnection(db);
cn.Open();

cn.Close();

이제 SQL 서버와의 통신을 암호화하게 됩니다. 그런데 애석하게도, 연결 문자열에는 구체적인 암호화 프로토콜을 지정할 수 있는 방법이 없습니다. 대신 TDS 프로토콜이 의존하는 SCHANNEL에서는 가능합니다. (2008 R2 이상의) 윈도우 설치 시 기본 상태에서는 SCHANNEL에 SSL 2.0을 제외하고는 SSL 3.0/TLS 1.0/TLS 1.1/TLS 1.2가 활성화되어 있습니다. 또한 프로토콜 간의 우선 순위는 기본적으로 TLS 1.0, SSL 3.0 순입니다.

이 때문에 아무런 설정 없이 SqlConnection 보안 연결을 하게 되면 TLS 1.0 프로토콜로 먼저 시도하게 됩니다. 이를 알 수 있는 방법은 Network Monitor 같은 도구를 이용해 패킷을 캡쳐해야 합니다. 그런데, 만약 SQL 서버 측에서 TLS 1.0을 막아놨다면 어떻게 될까요? 이 때의 네트워크 패킷을 가로채 보면, SQL 클라이언트 측에서 TLS 1.0 버전으로 handshake를 시도하고,

  Frame: Number = 56892, Captured Frame Length = 193, MediaType = ETHERNET
+ Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[00-15-5D-00-05-04],SourceAddress:[00-26-66-86-98-F8]
+ Ipv4: Src = 192.168.0.95, Dest = 192.168.0.23, Next Protocol = TCP, Packet ID = 27873, Total IP Length = 179
+ Tcp: Flags=...AP..., SrcPort=14543, DstPort=1433, PayloadLen=139, Seq=2992396582 - 2992396721, Ack=3722507225, Win=260 (scale factor 0x8) = 66560
+ Tds: Prelogin, Version = 7.300000(No version information available, using the default version), SPID = 0, PacketID = 0, Flags=...AP..., SrcPort=14543, DstPort=1433, PayloadLen=139, Seq=2992396582 - 2992396721, Ack=3722507225, Win=66560
  TLSSSLData: Transport Layer Security (TLS) Payload Data
- TLS: TLS Rec Layer-1 HandShake: Client Hello.
  - TlsRecordLayer: TLS Rec Layer-1 HandShake:
     ContentType: HandShake:
   - Version: TLS 1.0
      Major: 3 (0x3)
      Minor: 1 (0x1)
     Length: 126 (0x7E)
   - SSLHandshake: SSL HandShake ClientHello(0x01)
      HandShakeType: ClientHello(0x01)
      Length: 122 (0x7A)
    + ClientHello: TLS 1.0

SQL 서버 측에는 TLS 1.0 프로토콜 대신 SSL 3.0 지원을 하도록 한 경우이므로 이에 대한 응답으로 다음과 같이 SSL 3.0 통신을 명시하게 됩니다.

  Frame: Number = 56893, Captured Frame Length = 1535, MediaType = ETHERNET
+ Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[00-26-66-86-98-F8],SourceAddress:[00-15-5D-00-05-04]
+ Ipv4: Src = 192.168.0.23, Dest = 192.168.0.95, Next Protocol = TCP, Packet ID = 1599, Total IP Length = 0
+ Tcp: Flags=...AP..., SrcPort=1433, DstPort=14543, PayloadLen=1481, Seq=3722507225 - 3722508706, Ack=2992396721, Win=514 (scale factor 0x8) = 131584
+ Tds: Prelogin, Version = 7.300000(No version information available, using the default version), SPID = 0, PacketID = 0, Flags=...AP..., SrcPort=1433, DstPort=14543, PayloadLen=1481, Seq=3722507225 - 3722508706, Ack=2992396721, Win=131584
  TLSSSLData: Secure Sockets Layer (SSL) Payload Data
- SSL:  SSLv3 Rec Layer-1 HandShake: Server Hello. Certificate. Server Hello Done.
  - SslV3RecordLayer: SSLv3 Rec Layer-1 HandShake:
     ContentType: HandShake:
   + Version: SSL 3.0
     Length: 1468 (0x5BC)
   - SSLHandshake: SSL HandShake Server Hello Done(0x0E)
      HandShakeType: ServerHello(0x02)
      Length: 77 (0x4D)
    + ServerHello: 0x1
      HandShakeType: Certificate(0x0B)
      Length: 1379 (0x563)
    + Cert: 0x1
      HandShakeType: Server Hello Done(0x0E)
      Length: 0 (0x0)

이후 SQL 서버와 클라이언트는 SSL 3.0 통신을 하게 됩니다.



보시는 바와 같이 SqlConnection 개체는 Open을 하면 그 하부 단에서 우선 TLS 1.0 프로토콜로 시작하게 됩니다. 그렇다면, 이 상태에서 클라이언트 측의 TLS 1.0 프로토콜을 막아버리면 어떻게 될까요? (참고로, 레지스트리 변경 후 EXE 프로세스만 재시작하면 반영됩니다.)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

그럼, 클라이언트는 처음부터 SSL 3.0 프로토콜을 이용해 HandShake 절차를 밟게 됩니다.

  Frame: Number = 413, Captured Frame Length = 120, MediaType = ETHERNET
+ Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[00-15-5D-00-05-04],SourceAddress:[00-26-66-86-98-F8]
+ Ipv4: Src = 192.168.0.95, Dest = 192.168.0.23, Next Protocol = TCP, Packet ID = 4335, Total IP Length = 106
+ Tcp: Flags=...AP..., SrcPort=2841, DstPort=1433, PayloadLen=66, Seq=1547634953 - 1547635019, Ack=3464005589, Win=260 (scale factor 0x8) = 66560
- Tds: Prelogin, Version = 7.300000(No version information available, using the default version), SPID = 0, PacketID = 0, Flags=...AP..., SrcPort=2841, DstPort=1433, PayloadLen=66, Seq=1547634953 - 1547635019, Ack=3464005589, Win=66560
  - PacketHeader: SPID = 0, Size = 66, PacketID = 0, Window = 0
     PacketType: Prelogin, 18(0x12)
     Status: End of message true, ignore event false, reset connection false
     Length: 66 (0x42)
     SPID: 0 (0x0)
     PacketID: 0 (0x0)
     Window: 0 (0x0)
    PreLoginPacketData: 
  TLSSSLData: Secure Sockets Layer (SSL) Payload Data
- SSL:  SSLv3 Rec Layer-1 HandShake: Client Hello.
  - SslV3RecordLayer: SSLv3 Rec Layer-1 HandShake:
     ContentType: HandShake:
   + Version: SSL 3.0
     Length: 53 (0x35)
   + SSLHandshake: SSL HandShake ClientHello(0x01)

나아가서, 다음의 레지스트리 키를 등록해 SSL 3.0도 비활성화하면 어떻게 될까요?

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000001

이후부터는 TDS:Prelogin, TDS:Response 패킷 정도만 보이고 더 이상 암호화 통신이 불가능하게 되어 이런 패킷 순서를 보이게 됩니다.

0x0	736	오후 2:40:30 2015-01-03	11.9265788	System	TESTCLN 	SQLSVRR2 	TCP	TCP:Flags=......S., SrcPort=2347, DstPort=1433, PayloadLen=0, Seq=3846412218, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192	{TCP:10, IPv4:1}
0x0	737	오후 2:40:30 2015-01-03	11.9266810	System	SQLSVRR2 	TESTCLN 	TCP	TCP:Flags=...A..S., SrcPort=1433, DstPort=2347, PayloadLen=0, Seq=1189447900, Ack=3846412219, Win=8192 ( Negotiated scale factor 0x8 ) = 2097152	{TCP:10, IPv4:1}
0x0	738	오후 2:40:30 2015-01-03	11.9316325	System	TESTCLN 	SQLSVRR2 	TCP	TCP:Flags=...A...., SrcPort=2347, DstPort=1433, PayloadLen=0, Seq=3846412219, Ack=1189447901, Win=260 (scale factor 0x8) = 66560	{TCP:10, IPv4:1}
0x0	739	오후 2:40:30 2015-01-03	11.9324884	System	TESTCLN 	SQLSVRR2 	TDS	TDS:Prelogin, Version = 7.300000(No version information available, using the default version), SPID = 0, PacketID = 1, Flags=...AP..., SrcPort=2347, DstPort=1433, PayloadLen=88, Seq=3846412219 - 3846412307, Ack=1189447901, Win=66560	{TDS:11, TCP:10, IPv4:1}
0x0	740	오후 2:40:30 2015-01-03	11.9326110	System	SQLSVRR2 	TESTCLN 	TDS	TDS:Response, Version = 7.300000(No version information available, using the default version), SPID = 0, PacketID = 1, Flags=...AP..., SrcPort=1433, DstPort=2347, PayloadLen=43, Seq=1189447901 - 1189447944, Ack=3846412307, Win=131840	{TDS:11, TCP:10, IPv4:1}
0x0	741	오후 2:40:30 2015-01-03	11.9333909	System	SQLSVRR2 	TESTCLN 	TCP	TCP:Flags=...A...F, SrcPort=1433, DstPort=2347, PayloadLen=0, Seq=1189447944, Ack=3846412307, Win=515 (scale factor 0x8) = 131840	{TCP:10, IPv4:1}
0x0	742	오후 2:40:30 2015-01-03	11.9385460	System	TESTCLN 	SQLSVRR2 	TCP	TCP:Flags=...A...., SrcPort=2347, DstPort=1433, PayloadLen=0, Seq=3846412307, Ack=1189447945, Win=260 (scale factor 0x8) = 66560	{TCP:10, IPv4:1}
0x0	743	오후 2:40:30 2015-01-03	11.9393830	System	TESTCLN 	SQLSVRR2 	TCP	TCP:Flags=...A...F, SrcPort=2347, DstPort=1433, PayloadLen=0, Seq=3846412307, Ack=1189447945, Win=260 (scale factor 0x8) = 66560	{TCP:10, IPv4:1}
0x0	744	오후 2:40:30 2015-01-03	11.9394074	System	SQLSVRR2 	TESTCLN 	TCP	TCP:Flags=...A...., SrcPort=1433, DstPort=2347, PayloadLen=0, Seq=1189447945, Ack=3846412308, Win=515 (scale factor 0x8) = 131840	{TCP:10, IPv4:1}

그와 함께, SqlConnection.Open 호출 단계에서 다음과 같은 예외 메시지가 떨어집니다.

The instance of SQL Server you attempted to connect to requires encryption but this machine does not support it.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.Data.SqlClient.SqlException: The instance of SQL Server you attempted to connect to requires encryption but this machine does not support it.


즉, SQL 서버 측에서 다른 보안 프로토콜을 지원한다고 해도 클라이언트 측에서 이미 SSL 3.0, TLS 1.0만 지원하므로 더 이상 통신이 안되는 것입니다.

혹시, 클라이언트 측에서 SSL 3.0/TLS 1.0 이외의 프로토콜로 접속하는 방법을 아시는 분은 덧글 부탁드립니다. ^^



[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]
[연관 글]





[최초 등록일: ]
[최종 수정일: 7/17/2021]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com
비밀번호
댓글 작성자
 


2016-11-23 02시42분
TDS Protocol Documentation
; http://www.freetds.org/tds.html
정성태
2016-11-23 03시59분
[ryujh] 안녕하세요.

SQL 접속은 아닌데 httprequest 로 https 웹서비스 접속시 인증서발리데이션 무시하는 코드입니다.

생성자나 main, page_load 에서 한 번 실행해주면 됩니다.
  
        ServicePointManager.ServerCertificateValidationCallback = delegate(
        Object obj,
        X509Certificate certificate,
        X509Chain chain,
        SslPolicyErrors errors)
        {
            // Validate the certificate and return true or false as appropriate.
            // Note that it not a good practice to always return true because not
            // all certificates should be trusted.
            return true;
        };

SQL 에서 인증서 무시하고 접속하는 방법을 찾아야 할 것 같습니다. (찾으면 다시 알려드리겠습니다.)
[guest]
2016-11-23 08시11분
@ryujh 님, 해당 코드는 인증서의 유효성을 검사하는 단계에서 닷넷이 기본 제공하는 코드를 생략하고 무조건 true(인증서가 유효함)라고 반환하는 것입니다. (즉, 인증서를 무시하는 것이 아니고, 제시된 인증서가 여전히 CA에 의해 유효한지 등의 검증을 생략하는 것입니다.)

제가 쓴 글은, '인증서' 수준의 문제가 아니고 보안 암호화 프로토콜인 TLS 1.1과 1.2가 SqlClient 라이브러리 수준에서 지원되지 않는다는 것입니다. 따라서, "SQL에서 인증서 (무시는 아니고) 유효성을 생략하는 방법"을 찾는다 해도 해결될 일이 아닙니다.
정성태
... 16  17  18  19  20  21  [22]  23  24  25  26  27  28  29  30  ...
NoWriterDateCnt.TitleFile(s)
13104정성태7/23/202211068Linux: 51. WSL - init에서 systemd로 전환하는 방법
13103정성태7/22/20227540오류 유형: 818. WSL - systemd-genie와 관련한 2가지(systemd-remount-fs.service, multipathd.socket) 에러
13102정성태7/19/20227035.NET Framework: 2033. .NET Core/5+에서는 구할 수 없는 HttpRuntime.AppDomainAppId
13101정성태7/15/202216104도서: 시작하세요! C# 10 프로그래밍
13100정성태7/15/20228446.NET Framework: 2032. C# 11 - shift 연산자 재정의에 대한 제약 완화 (Relaxing Shift Operator)
13099정성태7/14/20228377.NET Framework: 2031. C# 11 - 사용자 정의 checked 연산자파일 다운로드1
13098정성태7/13/20226542개발 환경 구성: 647. Azure - scale-out 상태의 App Service에서 특정 인스턴스에 요청을 보내는 방법 [1]
13097정성태7/12/20225920오류 유형: 817. Golang - binary.Read: invalid type int32
13096정성태7/8/20228845.NET Framework: 2030. C# 11 - UTF-8 문자열 리터럴
13095정성태7/7/20226861Windows: 208. AD 도메인에 참여하지 않은 컴퓨터에서 Kerberos 인증을 사용하는 방법
13094정성태7/6/20226624오류 유형: 816. Golang - "short write" 오류 원인
13093정성태7/5/20227478.NET Framework: 2029. C# - HttpWebRequest로 localhost 접속 시 2초 이상 지연
13092정성태7/3/20228451.NET Framework: 2028. C# - HttpWebRequest의 POST 동작 방식파일 다운로드1
13091정성태7/3/20227413.NET Framework: 2027. C# - IPv4, IPv6를 모두 지원하는 서버 소켓 생성 방법
13090정성태6/29/20226429오류 유형: 815. PyPI에 업로드한 패키지가 반영이 안 되는 경우
13089정성태6/28/20226907개발 환경 구성: 646. HOSTS 파일 변경 시 Edge 브라우저에 반영하는 방법
13088정성태6/27/20225848개발 환경 구성: 645. "Developer Command Prompt for VS 2022" 명령행 환경의 폰트를 바꾸는 방법
13087정성태6/23/20228965스크립트: 41. 파이썬 - FastAPI / uvicorn 호스팅 환경에서 asyncio 사용하는 방법 [1]
13086정성태6/22/20228426.NET Framework: 2026. C# 11 - 문자열 보간 개선 2가지파일 다운로드1
13085정성태6/22/20228533.NET Framework: 2025. C# 11 - 원시 문자열 리터럴(raw string literals)파일 다운로드1
13084정성태6/21/20226942개발 환경 구성: 644. Windows - 파이썬 2.7을 msi 설치 없이 구성하는 방법
13083정성태6/20/20227576.NET Framework: 2024. .NET 7에 도입된 GC의 메모리 해제에 대한 segment와 region의 차이점 [2]
13082정성태6/19/20226635.NET Framework: 2023. C# - Process의 I/O 사용량을 보여주는 GetProcessIoCounters Win32 API파일 다운로드1
13081정성태6/17/20226590.NET Framework: 2022. C# - .NET 7 Preview 5 신규 기능 - System.IO.Stream ReadExactly / ReadAtLeast파일 다운로드1
13080정성태6/17/20227306개발 환경 구성: 643. Visual Studio 2022 17.2 버전에서 C# 11 또는 .NET 7.0 preview 적용
13079정성태6/17/20224891오류 유형: 814. 파이썬 - Error: The file/path provided (...) does not appear to exist
... 16  17  18  19  20  21  [22]  23  24  25  26  27  28  29  30  ...