Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
982183
Member

Откуда: VL
Сообщений: 3387
Стоит MS SQL 2008 R2
К нему по интернету обращаются пользователи.
Встала задача:
Либо сделать список "белых" IP, с которых разрешен доступ к базе
Либо сделать список "черных" IP, с которых запрещен доступ к базе

Где это можно сделать силами самого MS SQL?
10 сен 14, 05:17    [16557259]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
aleks2
Guest
982183
Стоит MS SQL 2008 R2
К нему по интернету обращаются пользователи.
Встала задача:
Либо сделать список "белых" IP, с которых разрешен доступ к базе
Либо сделать список "черных" IP, с которых запрещен доступ к базе

Где это можно сделать силами самого MS SQL?


Силами MS SQL - нет.
Силами ОС Windows на которой установлен MS SQL - да. См. службу "Маршрутизация и удаленный доступ" или Политики IPSec.
10 сен 14, 06:22    [16557282]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
aleks2
Guest
Ах да, самое правильное забыл: рассмотри VPN доступ.
Это решение "правильнее".
10 сен 14, 06:24    [16557283]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
invm
Member

Откуда: Москва
Сообщений: 9913
aleks2
Силами MS SQL - нет.
Можно. Ты не знаешь или забыл как.
aleks2
Силами ОС Windows на которой установлен MS SQL - да. См. службу "Маршрутизация и удаленный доступ" или Политики IPSec.
С каких пор эти компоненты стали выполнять функции Firewall'а?
aleks2
Ах да, самое правильное забыл: рассмотри VPN доступ.
Это решение "правильнее".
К сожалению, не всегда оно "правильнее".
10 сен 14, 11:12    [16558038]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
SQL2008
Member

Откуда: Москва
Сообщений: 4539
982183
Либо сделать список "белых" IP, с которых разрешен доступ к базе

Этот вариант лучше.

982183
Где это можно сделать силами самого MS SQL?

Это не его "головная боль".
Пусть каждый занимается своими делами.
Пропишите правила в Windows Firewall для входящих соединений и все.
10 сен 14, 12:54    [16558755]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
aleks2
Guest
Хотя грешно бросать убогих..

К сообщению приложен файл. Размер - 73Kb
10 сен 14, 13:10    [16558844]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
Гавриленко Сергей Алексеевич
Member

Откуда:
Сообщений: 37254
Модератор: Для invm, aleks2: дальнейшие посты со срачем взаимной пикировкой буду сносить даже если они содержат полезную информацию.


Сообщение было отредактировано: 10 сен 14, 13:22
10 сен 14, 13:22    [16558914]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
Jovanny
Member

Откуда:
Сообщений: 1196
Интересно, а что проще?
aleks2
См. службу "Маршрутизация и удаленный доступ" или Политики IPSec.
aleks2
Ах да, самое правильное забыл: рассмотри VPN доступ.
SQL2008
Пропишите правила в Windows Firewall для входящих соединений и все.
10 сен 14, 13:32    [16558988]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
invm
Member

Откуда: Москва
Сообщений: 9913
aleks2
Хотя грешно бросать убогих..
Зачем поднимать RRAS, когда уже есть штатный firewall?
10 сен 14, 13:35    [16559006]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
aleks2
Guest
invm
aleks2
Хотя грешно бросать убогих..
Зачем поднимать RRAS, когда уже есть штатный firewall?

Затем, что штатные возможности RRAS на порядок превосходят возможности штатного firewall.
10 сен 14, 14:49    [16559552]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
invm
Member

Откуда: Москва
Сообщений: 9913
aleks2
Затем, что штатные возможности RRAS на порядок превосходят возможности штатного firewall.
Типа поднять VPN и сразу фильтровать трафик?
Ну это если все переделать в нормальный вид. Тем более не известно что там за ОС.

В текущей ситуации ТС'а устроит штатный firewall. Или logon-триггер.
10 сен 14, 15:18    [16559775]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
982183
Member

Откуда: VL
Сообщений: 3387
firewall уже не помогает.
IP атакующего компьютера оперативно меняются
11 сен 14, 04:59    [16562099]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
aleks2
Guest
982183
firewall уже не помогает.
IP атакующего компьютера оперативно меняются

Тибе ж сразу сказали: VPN и авторизация спасут отца русской дерьмократии.

PS. Хотя, если у тя атака типо DDoS - VPN тоже не спасет.
11 сен 14, 05:01    [16562101]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
982183
Member

Откуда: VL
Сообщений: 3387
Про logon-триггер не знаю не сталкивался.
Попробую почитать документацию.

В идеале конечно хотелось бы автоматическое блокирование IP после нескольких неудачных попыток входа
11 сен 14, 05:03    [16562102]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
982183
Member

Откуда: VL
Сообщений: 3387
VPN штука конечна хорошая, но известные мне технологии подразумевают установку некого клиентского софта на пользовательский компьютер.
В данном же случае это невозможно.
11 сен 14, 05:57    [16562125]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
aleks2
Guest
982183
VPN штука конечна хорошая, но известные мне технологии подразумевают установку некого клиентского софта на пользовательский компьютер.
В данном же случае это невозможно.


RRAS штатно включен во все серверные версии Windows.
11 сен 14, 06:18    [16562141]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
aleks2
Guest
Ну и клиенты, естественно, ни в чем не нуждаются.
В Windows есть все.
11 сен 14, 06:19    [16562143]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
Matroskin
Member

Откуда: Жатай->Подольск
Сообщений: 137
982183,

Установка клиентского софта не требуется, видовс вроде как умеет подключаться к VPN.
Выставлять сервис для всего мира, не очень хорошо - это мнение админа.
Так что VPN в данном случае было бы очень правильным решением.
11 сен 14, 11:46    [16562999]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
982183
Member

Откуда: VL
Сообщений: 3387
Ну так пользователи разбросаны по всему миру.
Причем заходят зачастую не со своего компьютера, а с интернет кафе.
11 сен 14, 14:28    [16564013]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
nscl
Guest
Со всего мира, из интернет-кафе - и сразу в БД ? Сурово, сурово...
Только вот чего-то вы недоговариваете о протоколах доступа.
В интернет-кафе или онлайн-киосках вам никто никаких впн и ипсеков настраивать не даст. Там ваша система может быть работоспособна только при наличии веб-интерфейса, но это, насколько я понял, не про вас, да и в этом случае на сервере БД ничего менять бы не пришлось.
На своих компах - в любом случае какой-то бинарный клиент, а уж будет его траффик ходить через впн или напрямую - для настроек клиентской части и сервера не суть важно.
Зато очень важно для защиты. По моему опыту 99,9% бинарных клиентов, напрямую коннектящихся к мсскл, не используют каких-либо средств шифрования, а протокол TDS передает логин и пароль к БД открытым текстом. Wireshark поможет вам в этом убедиться.
Так что о впн, или даже о написании веб-морды к системе (с последующим внедрением авторизации клиентскими ссл-сертификатами) я очень советую задуматься. Особенно в вашем случае.

Если у вас реально мсскл в инеты светит, и валидный коннект может придти с любого адреса, то никакие белые и черные списки вам не подойдут, вам нужен fail2ban или его аналог, если они есть под виндовс.

Насчёт ДДоС - рано вам пока об этом думать, у вас более насущные задачи не решены.
11 сен 14, 21:11    [16565943]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
982183
Member

Откуда: VL
Сообщений: 3387
nscl
Со всего мира, из интернет-кафе - и сразу в БД ? Сурово, сурово...

Что ж тут сурового?
Всё стандартно и банально.
nscl
Только вот чего-то вы недоговариваете о протоколах доступа.

А что именно о них надо сказать?
nscl
В интернет-кафе или онлайн-киосках вам никто никаких впн и ипсеков настраивать не даст.

Вот я и говорю, что с установкой VPN есть проблемы.

nscl
На своих компах - в любом случае какой-то бинарный клиент,

Именно так.
12 сен 14, 03:04    [16566545]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
aleks2
Guest
С тредстартером фсе ясно - "кремлевский мечтатель".
В духе: "хочу шоб у меня все было и мне за это ничего не было".
12 сен 14, 05:27    [16566578]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
982183
Member

Откуда: VL
Сообщений: 3387
О! вы оказывается знаток человеческих душ.
Рад общению со столь разносторонней личностью.

О обсуждаемой теме:
перевел шлюз в жесткий режим.
Разрешаю только правильные IP.
Пользователи по мере необходимости звонят в техподдержку - им открывают.
Защита полная. но неправильно всё это.
В фаере средств автоматизации нет.
Да и не узнает он никак - правильный пароль к SA ввели или нет.
Всё же хочется сделать что-то средствами MS SQL

Упомянутый logon-триггер наверное поможет.
Пока разбираюсь .
13 сен 14, 12:34    [16571644]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
SQL2008
Member

Откуда: Москва
Сообщений: 4539
982183
перевел шлюз в жесткий режим.
Разрешаю только правильные IP.
Пользователи по мере необходимости звонят в техподдержку - им открывают.
Защита полная. но неправильно всё это.

В чём же тут неправильность?
В том, что "ключ от дома выдают только жильцам"?
Или "замок на двери" должен сам распознавать кого пускать, а кого нет?
13 сен 14, 12:49    [16571686]     Ответить | Цитировать Сообщить модератору
 Re: Ограничить доступ к MS SQL 2008 R2 с внешних IP адресов  [new]
982183
Member

Откуда: VL
Сообщений: 3387
Человек не должен присутствовать в данном процессе.
Всё должна делать машина.
13 сен 14, 13:25    [16571776]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить