MSSQL 2005 на порте 1433 получает DOS от зараженных серверов
Я видел След на LAN, рекламируемый на платах NIC PCI путь назад, когда Ethernet 100 МБ был довольно новым в рабочем столе. Тогда, карты интегральной сети еще не были стандартными (но становящийся так). Тем не менее WoL для неинтегрированных компонентов является функцией поддержки BIOS. Это должно сохранить достаточно, включают периферийную шину, независимо от того, что Вы используете и должны позволить устройствам на той шине выпускать события пробуждения. Это может быть сделано, но я не уверен, как общая поддержка BIOS в эти дни.
Вы имеете установку в основном худший вариант развития событий и по-видимому полны решимости придерживаться его.
Помещение сервера, публично доступного из Интернета, просто напрашивается на неприятности, как Вы узнали. Правильное решение состоит в том, чтобы установить VPN и использование это. Мне любопытно, почему Вы не хотите. Это добавляет одноэтапное к процессу соединения с сервером и обеспечивает главный уровень безопасности к среде, поскольку люди не могут получить доступ к Вашему SQL Server непосредственно.
В то время как намного легче, просто получают доступ к Вашим серверам из общедоступного Интернета, в котором намного более опасно только сохранить себя шаг VPNing.
И кто должен сказать, что другой ошибки как эта, которые позволяют Тюрьме SQL уничтожить SQL Server по всей сети, не произойдет снова с Вашим SQL Server в опасности.
В ответе на Ваш вопрос нет нет никакого способа сказать SQL Server игнорировать эти запросы на установление соединения, поскольку они - законные запросы на установление соединения.
-
1+1 для прояснения, что любое обходное решение только хорошо, пока следующая ошибка не приходит, который уничтожает его SQL-сервер – Kevin Kuphal 5 August 2009 в 00:44
-
2Who' s, чтобы сказать, что другая ошибка won' t позволяют кому-то прорываться через VPN или удаленно использовать программное обеспечение/встроенное микропрограммное обеспечение брандмауэра? Microsoft' s патчи обеспечивали достаточный уровень безопасности от известного использования в течение прошлых 10 лет I' ve имел этот вид установки. MSFTP и сервисы W3SVC проверяются с помощью ping-запросов 100x чаще попытками использования, и не покажите знаки замедления. – richardtallent 5 August 2009 в 00:49
-
3Ни один не говорит, что этого не произошло бы, но смыслом большинства веб-сервисов должны быть услуги общего пользования, и в той точке Вы не можете скрыть его вообще. Ваш экземпляр SQL Server абсолютно потребность , чтобы быть услугами общего пользования? Что-либо это doesn' t имеет , чтобы быть доступным прямым блокируемым соединениям от непромытых масс, не должен действительно слушать непосредственно на открытом интерфейсе в эти счастливые взломом времена. – David Spillett 5 August 2009 в 01:24
-
4There' s никакая гарантия, что сервисы VPN won' t подвергнуться нападению. Но взламывание сервиса VPN требует слома через учетную запись домена. Учетные записи домена блокировкой по умолчанию вниз после нескольких плохих попыток. sa считают однако, можно попробовать каждую возможную комбинацию и учетная запись won' t когда-либо блокируют. It' s невоспитанность на хакере для удара сервера так часто, что база данных понижается. Если они делали там задание правильно you' d никогда не видят проблемы, если Вы не регистрировали отказавшие попытки входа в систему. – mrdenny 5 August 2009 в 05:08
-
5Не говоря уже о том, что соединения VPN шифруются, где Соединение SQL isn' t. Да на веб-серверы нападают все время. That' s, почему они должны быть в демилитаризованной зоне, защитив остальную часть систем от них. Так, чтобы, когда веб-серверы являются поставленной под угрозу остальной частью систем, был not' t. – mrdenny 5 August 2009 в 05:10
Так как Вы устранили вероятные "лучшие" решения в своем вопросе, одно предложение, которое я мог придумать, будет состоять в том, чтобы выходить на сервер с основанным на Linux брандмауэром и использовать некоторый метод для входа этих отказов к месту, где fail2ban мог взять их и затем заблокировать их в брандмауэре. Это в основном автоматизировало бы процесс, который Вы делаете вручную теперь. Я не уверен точно, как у Вас был бы свой журнал SQL-сервера этими отказами так, чтобы fail2ban мог использовать их все же.
Другая опция состояла бы в том, чтобы посмотреть на системы, любят Фырканье, которое могло обнаружить нападение и соглашение с ним.
Каково использование сервера? Я полагаю, что Вы соединяетесь с ним для чего-то, управляя им или использования его? Другие серверы и/или пользователи также соединяются с ним, где они расположены и что они делают с ним?
Обычно никогда не помещайте серверы приложений, незащищенные в Интернете как этот.
Как Kevin говорит, в худшем случае случай, выходите на него с чем-то интеллектуальным - как Microsoft ISA или TMG, возможно, поскольку это - приложение Microsoft для начала. Но что-либо, что может обнаружить и обработать нападения автоматически, сделает...
... иначе - установление стандартного зашифрованного канала является определенно лучшим способом пойти. У Вас должен быть туннель точка-точка между SQL Server и Вашей внутренней сетью - я не вижу, как, делая его правильный путь добавил бы любые головные боли. Получить удаленный доступ, в то время как на дороге, Вы соединяетесь со своей сетью с помощью любой VPN, подходит Вам лучшее, и затем пробегитесь через туннель. Все платформы ОС имеют эти встроенные вещи.
Если у Вас действительно действительно должен быть он стоящий посреди Интернета, но только необходимо соединиться с ним, по крайней мере, настроить ipsec, чтобы иметь его только принятие трафика от определенных машин в определенном домене окон.
Вы говорите, что добавление дополнительного сервиса защиты от угроз увеличило бы Ваши затраты Колорадо, но оно не имеет к. Вы могли выполнить те сервисы на ту же машину, если бы она имеет достаточно umpf, который не использовал бы дополнительного пространства стойки. Вы могли даже выполнить те сервисы в VMs, в то время как тихая попытка быть перед основной ОС с точки зрения пользователей (и зомби) соединяющийся в - поместила SQL на локально-единственную обязанность и передает порт 1433 с открытого интерфейса (интерфейсов) на детектор проникновения (быть, сервис на основной хост или в VM), и имейте его соединения передачи до основных сервисов, как это считает целесообразным.
Сколько адресов должно соединиться с Вашим сервером, и насколько динамичный они? Разве поддержание некоторое время не перечислило бы также быть более эффективным, чем использование только черного списка? Unemerating польза намного более практичен, чем перечисление плохого. Клиент каждый соединяется от двух мест с фиксированным адресом?, позвольте те адреса конкретно. Клиент 2 подключения от ISP, который раздает динамические адреса?, позвольте им пул IP ISP через и позвольте своего рода автоматизированному черному списку (fail2ban или такой), попытка ловит плохие хосты, которые находятся также в том диапазоне.
Даже при том, что Вам нужен доступ, когда "на дороге" Вы не испытываете необходимость в доступе от каждого IP-адреса там. И если это - просто Вы (Вы не заявили размер и характер своей базы пользователей), который должен соединить это открыто, своего рода пробивающее порт решение работало бы? Хотя, после того как Вы начинаете говорить в том направлении надлежащая VPN это, вероятно, столь же легкий установить.
Обе этих опции, очевидно, добавляют дополнительную сложность, таким образом, необходимо было бы помешать затем опасности решить, имеет ли что-нибудь как они смысл. Но IMO, опасность очень высока - на следующий нулевой день использование, мог поразить Вас, прежде чем это поразит новости, таким образом, Вы не имели бы никакого предупреждения и должны будете просто полагаться на Ваши резервные копии и MS, выпускающий текущие исправления очень очень быстро - настолько делающий, ничто не было бы эффективным решением в моей книге. Я знаю, что Вы не хотите слышать его, но я - один из людей, которые пели бы "VPN, VPN, VPN" в этом виде ситуации...
Denny прав... НО если Вы полны решимости вперед любить, это пытается настроить IPSEC и только позволяет зашифрованные соединения IPSEC на TCP/1433.