Kaba zorlamaya çalışan birinin SQL Server 'sa' hesabımıza giriş yapmaya çalışması için ne yapmalıyım?

Birisi ya da bir şey 'sa' hesabı ile üretim SQL Server örneğimizde oturum açma kaba bir kuvvet denemesi çalışıyor gibi görünüyor. 'Sa' hesabımız devre dışı olduğundan başarılı olmadılar, ancak işlerin güvenli olduğundan emin olmak için hangi adımları atmalıyım?

SQL sunucunuzun İnternet'te herkese açık olması gerekiyor mu? Bu genellikle böyle değildir. Kesinlikle bu şekilde olması gerekiyorsa, IP adresine göre erişimi kısıtlayabilir veya bir VPN ayarlayabilirsiniz. Açıkçası, sa parolasını düşünülemez hale getirin veya bir oturum açma konumlarını yalnızca LAN ip adreslerinizden kısıtlama hakkında bilgi edinin. Lütfen başkalarının size daha iyi çözümler sunabilmesi için daha fazla ayrıntı sağlayın.

Yapabileceğiniz ilk şey, bu IP adresini kara listeye alarak ve güvenlik duvarınızdaki IP'lerinden gelen HERHANGİ bir trafiği açıkça reddederek başlamaktır. Tabii ki, sadece IP'leri değiştirebilirler, ancak en azından sunucunuzu trafik ve günlüklerle bombalamalarını engelleyecektir.

Güvenlik duvarından bu bağlantı noktasını devre dışı bırakın (MySQL 3306; SQL Server'ın bağlantı noktasını, belki 118?) Hatırlamayın. Sonra kimse erişemez.
SQL'e dışarıdan erişim gerekiyorsa, 53535 gibi yüksek numaralı bir bağlantı noktasına yeniden eşleyin. Herhangi biri bu bağlantı noktasının açık olduğunu anlarsa, önemini tahmin etmek zor olacaktır.

Oturum açma, bazı kötü amaçlı kodlar ekleme girişiminde bulunmaya çalışır. Sunucunun güvenlik duvarı yazılımını veya üçüncü taraf harici güvenlik duvarını kullanarak bu etkinliği kalıcı bir kara listeyle engellemenizi öneririz.

Ayrıca, izinsiz giriş yapan kişinin IP adresini otomatik olarak engelleyeceğinden, izin verilen oturum açma hatası sayısını azaltın.

Yukarıdakiler bunu en aza indirecektir.

Muhtemelen bir tarayıcı çalıştıran ve peşinde koşmaya değer olmayan bazı script kiddie. Veritabanınızın internetten erişilebilir olmamasına bakarım.

• Mümkünse, SQL Kimlik Doğrulaması olmadan yalnızca Windows Kimlik Doğrulamasını etkinleştirmek değil, tüm SQL hesap erişimini devre dışı bırakın.
• Ağ erişimini (güvenlik duvarı veya kutuda en azından IP kısıtlamaları yoluyla) yalnızca erişim gerektiren sunucularla kısıtlayın. Herkese açık kullanıcıların doğrudan erişime ihtiyacı yoktur, değil mi?
• Muhtemelen yerel Yönetici kullanıcısına kaba kuvvet uygulamayı deneyeceğini dikkate alın. Yöneticinin izinlerini gerçekten kaldıramasanız da, belirli bir role bırakabilir ve erişimi açıkça engelleyebilirsiniz.
• Yapabiliyorsanız, SQL Server Tarayıcı hizmetini devre dışı bırakın. Bunu kolaylaştırmak için bir neden yok ...
• Veritabanındaki kullanıcıların, izinlerin ve parolaların tam bir analizini yapın - büyük olasılıkla bir sonraki kullanıcıları deneyeceklerdir.
• Daha fazla bilgi için bunu ITSecurity.SE'de tekrar sormayı deneyin :)

SQL Server'ınızın netowrk dışında erişilebilir olması gerekiyorsa, erişilmesi gereken dış IP adreslerini beyaz listeye alabilirsiniz. VPN'ler daha iyi bir çözümdür (ancak her zaman mevcut değildir) ve en iyi çözüm dış erişime sahip değildir.

Beyaz liste daha fazla yönetim gerektirir, ancak bu sersemliği ortadan kaldırır. Birisinin erişime ihtiyacı varsa ve sık sık değişen bir IP'si varsa, RDP üzerinden farklı bir sisteme giriş yapabilir ve oradan SQL Server'a bağlanabilir.

Sa hesabını yeniden adlandırın, sahte bir sa hesabı oluşturun ve devre dışı bırakın.

Tüm SQL Server Kullanıcı Hesapları için izinleri denetleyin ve bir şifre güncellemesini tetikleyin; belki şifre gücü gereksinimlerini artırmak.

SQL Server IP dinleme bağlantı noktasını yeniden numaralandırın. Bu, istemci yapılandırmalarının veya uygulama yapılandırma dosyalarının güncellenmesi anlamına gelir.

Muhtemel bir sonraki saldırı vektörleri ile ilgili diğer posterleri kabul ediyorum ve bu muhtemelen bir senaryo çalıştıran biri.

IPSEC ilkesini, filtreleri vb. Oluşturacak ve olay günlüğünü otomatik olarak tarayacak ve engelleme listesine IP'ler ekleyecek bir program arayan herkes için, bunu yapan küçük bir program yazdım.

Olay günlüğüm 'sa' giriş ile MSSQL örneğime giriş yapmaya çalışan bilgisayar korsanları için binlerce giriş ile dolu nerede bu sorun vardı. Çok fazla arama yaptıktan sonra, kendi programımı yazmaya, gerekli IPSEC öğelerini oluşturmasına ve ardından olay günlüğünü her 60 saniyede bir yeni IP adreslerinden gelen saldırılar için taramaya karar verdim. Daha sonra IP adresini IPSEC filtresine ekler ve IP'ye gelen ve IP'den gelen tüm trafiği engeller. Bunu sadece Windows Server 2008 üzerinde test ettim, ancak diğer sürümlerde de çalışacağına inanıyorum.

Aşağıdaki bağlantıyı kullanarak programı indirmekten çekinmeyin. Bağışlar, görev yöneticisi simgesinin sağ tıklama menüsündeki bağlantı kullanılarak her zaman takdir edilir.

http://www.cgdesign.net/programs/AutoBlockIp.zip

Bunun yalnızca 'sa' girişini kullanarak SQL girişimi girişimleri için çalıştığını, ancak diğer günlük olayları için de çalışabileceğini unutmayın. Ayrıca, engellenen IP'leri görüntüleyebilirsiniz, ancak program yalnızca 60 saniyede bir çalıştığından, olay günlüğünde bazı öğeleri görmeye devam edersiniz. Bunun nedeni, tek bir olay günlüğü girdisini silememesidir ve tüm günlüğü silmenin iyi bir fikir olacağını düşünmüyordum.

REDDİ - indirmek ve yukarıda belirtilen programı yükleyerek, herhangi bir hasar için zararsız veriler, yolsuzluk veya söz konusu yazılımın kullanımından kaynaklanan herhangi bir diğer işlevler sorunları kaybını tut beni kabul edersiniz. Programı en iyi şekilde test ettim ve şu anda 2 sunucuda çalıştırıyorum, ancak kendi sorumluluğunuzda olduğu konusunda uyarıldınız.

Herhangi bir sorunuz veya yorumunuz, www.cgdesign.net adresindeki web sitemdeki iletişim formunu kullanarak benimle iletişime geçmekten çekinmeyin.

-Chris

Giriş denemelerini kısıtlamanız gerekir, bu nedenle aynı kullanıcı 5 kereden fazla giriş yapmaya çalışırsa, birkaç saat veya bir gün boyunca başka girişimlerden engellenir. En azından o zaman bir milyon denemeden sonra bir girişe kaba kuvvet uygulayamazlar.

Diğerlerinin söylediği gibi, gerekli değilse, genel erişime izin vermeyin. Bazı kişilerin dışarıdan erişime ihtiyacı varsa, bilinen bir dizi IP'ye erişimi kısıtlayabilirsiniz.