SQL Server User Log...
 
Bildirimler
Hepsini Temizle

SQL Server User Login Denemeleri (Saldırı)  

  RSS
Ahmet YURUK
(@AhmetYURUK)
Üye

Merhaba ;

 SQL Server 2008 R2 kullanıyorum. SQL loglarını incelerken çok sık login hatası gözlemledim. 

18456 Sate 5 ve 8 hataları çoğunlukta... Log satır sayısı 1 milyon'u geçmiş durumda..

Şifreleme olarak güçlü bir yapı kullanıyoruz.. SQL attackları için firewall kullanıyorum fakat 1433 nolu portun dışarıya açık olmasından kaynaklanıyor olabilir diye düşündüm..

Portu şimdilik kapatamıyorum fakat bu saldırıları engellemem gerekiyor.

 Bilgi ve fikirlerinizi bekliyorum...

 Örnek log dosyasını we transfere upload ettim... Aşağıdaki linkten indirebilirsiniz..

  http://we.tl/ys52PACoje  

Alıntı
Gönderildi : 15/12/2014 13:44
oldmember
(@yavuzfilizlibay)
Üye

Merhaba

Sql portunu değiştirin. Sql dışarıya açık ise ssl vpn ile bağlantıya geçin. Sql e dışardan bağlanan pc ler sabit değil mi? Herkese açık olması demek,her zaman bu saldırıları alabilirsiniz demektir.

Sa kullanıcısını devre dışı bırakın.

Sql authentication mixed mode da ise, Sql authentication açık ise brute force saldırılarına daha açık oluyor. Windows authentication da brute force ları account lockout policy ile engeleyebilme ihtimaliniz daha fazla  

Firewall tarafında da sql server a login ler için bir kural yazılabilir, belli bir limiti aşınca blok koyulabilir. 

CevapAlıntı
Gönderildi : 15/12/2014 14:30
Ahmet YURUK
(@AhmetYURUK)
Üye

Yavuz bey merhaba ;

 Client'ların yarısı sabit yarısı ise hareketli durumda... 

1433 portunu değiştirsem bile port scannerlar ile tespit edilebilir galiba. sa kullanıcısını devre dışı bırakamıyorum çünkü bir çok ekstra uygulama default olarak bu kullanıcıyı istiyor. 

 

Firewall tarafında sadece sql server login için kural yazılamıyor malesef.

SSL Vpn olayından biraz daha detaylı bahsedebilir misiniz? Bunun için modem mi gerekli ? Yoksa yazılımsal bir işlem mi uygulamalıyım.

 Teşekkürler.. 

 

CevapAlıntı
Gönderildi : 15/12/2014 16:34
oldmember
(@yavuzfilizlibay)
Üye

Firewallun desteklemesi lazım ssl vpn i, client tarafına programını kurup, vpn güvenli bağlantı oluşturuyor, bunun dışındaki bağlantılara izin vermiyor.

Forum da aratabilirisiniz.

CevapAlıntı
Gönderildi : 15/12/2014 16:51
Ahmet YURUK
(@AhmetYURUK)
Üye

Yavuz bey teşekkür ederim..

Forumda SSL VPN olarak araştırdım ama hiç bir bilgiye rastlayamadım.

Kullandığımız güvenlik duvarının SSL VPN desteği var fakat client tarafında manuel olarak bağlanılması gerekiyor.

 

CevapAlıntı
Gönderildi : 15/12/2014 17:00
Barış İNCEİŞÇİ
(@barisinceisci)
Üye

[quote user="Ahmet YURUK"]

Yavuz bey teşekkür ederim..

Forumda SSL VPN olarak araştırdım ama hiç bir bilgiye rastlayamadım.

Kullandığımız güvenlik duvarının SSL VPN desteği var fakat client tarafında manuel olarak bağlanılması gerekiyor.

 

[/quote]

 

Merhaba,

Windows Server 2012 ile Direct Access kullanabilirsiniz. Sirket disina ciktiginizda otomatik olarak sirket icine baglanabilirsiniz.

Selamlar,

Inceisci. 

CevapAlıntı
Gönderildi : 17/12/2014 01:01
Ahmet YURUK
(@AhmetYURUK)
Üye

Direct Access'i biraz inceledim fakat uzun iş gibi görünüyor 🙂

Sanırım SSL VPN bağlantı şeklini tercih edeceğim..

Teşekkürler... 

CevapAlıntı
Gönderildi : 17/12/2014 12:05
Paylaş: