Що мені робити з тим, хто намагається вчинити жорстоку спробу входу в акаунт нашого SQL Server?

Схоже, хтось або щось намагається спробувати грубу силу увійти в наш виробничий екземпляр SQL Server за допомогою облікового запису 'sa'. Вони не досягли успіху, оскільки наш обліковий запис вимкнено, але які дії я повинен зробити, щоб забезпечити безпеку?

Чи повинен ваш SQL-сервер бути відкритим для Інтернету? Зазвичай це не так. Якщо це абсолютно так, ви можете обмежити доступ за IP-адресою або, можливо, встановити VPN. Очевидно, зробіть пароль sa непридатним або погляньте на обмеження місцеположення для входу в систему лише з IP-адрес вашої локальної мережі. Надайте більше деталей, щоб інші могли допомогти вам у кращих рішеннях.

Перше, що ви можете зробити, це почати з чорного списку цієї IP-адреси та відмовити прямо від будь-якого трафіку від їх IP-адреси у вашому брандмауері. Звичайно, вони можуть просто змінювати IP-адреси, але принаймні це не дозволить їм бомбардувати ваш сервер трафіком та журналами.

Вимкніть цей порт (MySQL 3306; не згадуйте порт SQL Server, можливо 118?) Через брандмауер. Тоді ніхто не може отримати до нього доступ.
Якщо потрібен зовнішній доступ до SQL, переставте його до порту з великим номером, наприклад 53535. Якщо хтось з'ясує, що порт відкритий, важко буде здогадатися про його значення.

Логін намагається включити спроби ввести якийсь шкідливий код. Я рекомендую заблокувати цю діяльність постійним чорним списком, використовуючи або брандмауер сервера, або сторонній зовнішній брандмауер.

Також зменшіть кількість дозволених відмов входу, оскільки це автоматично заблокує IP-адресу зловмисника.

Вище це мінімізує це.

Це, мабуть, просто якийсь малюк сценарію, який працює зі сканером і не вартий свого часу. Я хотів би не мати доступ до вашої бази даних з Інтернету.

• Якщо ви можете, вимкніть весь доступ до облікових записів SQL, а не лише sa - тобто ввімкніть лише автентифікацію Windows, без автентифікації SQL.
• Обмежте доступ до мережі - через брандмауер або принаймні обмеження IP-адреси на тій сервері, що потребує лише доступу. Громадським користувачам не потрібен прямий доступ, правда?
• Візьміть до уваги, що він, ймовірно, спробує жорстоко примусити місцевого користувача Адміністратора, наступного. Хоча ви не можете дійсно видалити дозволи адміністратора, ви можете передати їх конкретній ролі та явно заблокувати доступ.
• Якщо можете, відключіть службу браузера SQL Server. Немає підстав для полегшення ...
• Проведіть повний аналіз користувачів, дозволів та паролів у базі даних - вони, ймовірно, спробують інших користувачів далі.
• Спробуйте запитати це ще раз на ITSecurity.SE для отримання додаткової інформації :)

Якщо ваш SQL-сервер повинен бути доступний за межами вашої мережі, ви можете дозволити зовнішні IP-адреси, які потребують доступу. VPN є кращим рішенням (але не завжди доступним), а найкращим рішенням є відсутність зовнішнього доступу.

Білі списки вимагають більше управління, але це усуває цю дурість. Якщо комусь потрібен доступ і у них часто змінюється IP, то він може увійти до іншої системи через RDP та звідти підключитися до SQL Server.

Перейменуйте обліковий запис sa, створіть неправдивий обліковий запис sa та вимкніть його.

Перевірити дозволи та запустити оновлення пароля для всіх облікових записів користувачів SQL Server; можливо збільшити вимоги до надійності пароля.

Перенумеруйте порт прослуховування IP-адрес SQL Server. Це означає оновлення конфігурацій клієнта або файлів конфігурації програми.

Я погоджуюся з іншими плакатами щодо ймовірних наступних векторів нападу, і це, мабуть, хтось, хто працює із сценарієм.

Для тих, хто шукає програму, яка створить політику IPSEC, фільтри тощо і автоматично сканує журнал подій і додасть IP-адреси до списку блоків, я написав невелику програму, яка робить саме це.

У мене також була ця проблема, коли мій журнал подій був заповнений тисячами записів для хакерів, які намагаються увійти в мій екземпляр MSSQL з логіном 'sa'. Після багатого пошуку я вирішив написати власну програму, запропонувати їй створити необхідні елементи IPSEC, а потім перевіряти журнал подій кожні 60 секунд на наявність атак з нових IP-адрес. Потім він додає IP-адресу до фільтра IPSEC і блокує весь трафік до та з IP-адреси. Я протестував це лише на Windows Server 2008, але вважаю, що він буде працювати і в інших версіях.

Не соромтеся завантажувати програму за посиланням нижче. Пожертвування завжди цінується за посиланням у меню правої кнопки миші піктограми диспетчера завдань.

http://www.cgdesign.net/programs/AutoBlockIp.zip

Зверніть увагу, що це працює лише для спроб входу в SQL, використовуючи логін 'sa', але я можу змінити його, щоб він працював і для інших подій журналу. Крім того, ви можете переглянути IP-адреси, які були заблоковані, але ви продовжуєте бачити деякі елементи в журналі подій, оскільки програма працює лише кожні 60 секунд. Це пов’язано з тим, що не вдалося видалити одну запис журналу подій, і я не вважав, що видалення всього журналу було б хорошою ідеєю.

ВІДМОВА ВІДПОВІДАЛЬНІСТЬ - Завантажуючи та встановлюючи вищезазначену програму, ви погоджуєтесь вважати мене нешкідливим за будь-які пошкодження, втрату даних, пошкодження чи будь-які інші проблеми з функціональністю внаслідок використання зазначеного програмного забезпечення. Я протестував програму якнайкраще, і зараз я працюю на двох серверах, але вас попередили використовувати на свій страх і ризик.

Будь-які запитання чи коментарі, будь ласка, зв'яжіться зі мною, використовуючи контактну форму на моєму веб-сайті за адресою www.cgdesign.net

-Кріс

Вам слід обмежити спроби входу, тому якщо один і той же користувач намагається увійти більше 5 разів, він буде заблокований від будь-яких подальших спроб на кілька годин або на день. Принаймні, тоді вони не можуть жорстоко примусити ввійти після мільйона спроб.

І, як інші казали, не дозволяйте публічному доступу, якщо це не потрібно. Ви можете обмежити доступ до набору відомих IP-адрес, якщо деяким людям потрібен зовнішній доступ.