Добро пожаловать в форум, Guest >> Войти | Регистрация | Поиск | Правила | | В избранное | Подписаться | ||
Все форумы / Microsoft SQL Server |
![]() ![]() |
Топик располагается на нескольких страницах: [1] 2 вперед Ctrl→ все |
982183 Member Откуда: VL Сообщений: 3374 |
Стоит MS SQL 2008 R2 К нему по интернету обращаются пользователи. Встала задача: Либо сделать список "белых" IP, с которых разрешен доступ к базе Либо сделать список "черных" IP, с которых запрещен доступ к базе Где это можно сделать силами самого MS SQL? |
10 сен 14, 05:17 [16557259] Ответить | Цитировать Сообщить модератору |
aleks2
Guest |
Силами MS SQL - нет. Силами ОС Windows на которой установлен MS SQL - да. См. службу "Маршрутизация и удаленный доступ" или Политики IPSec. |
||
10 сен 14, 06:22 [16557282] Ответить | Цитировать Сообщить модератору |
aleks2
Guest |
Ах да, самое правильное забыл: рассмотри VPN доступ. Это решение "правильнее". |
10 сен 14, 06:24 [16557283] Ответить | Цитировать Сообщить модератору |
invm Member Откуда: Москва Сообщений: 9633 |
|
||||||
10 сен 14, 11:12 [16558038] Ответить | Цитировать Сообщить модератору |
SQL2008 Member Откуда: Москва Сообщений: 4392 |
Этот вариант лучше.
Это не его "головная боль". Пусть каждый занимается своими делами. Пропишите правила в Windows Firewall для входящих соединений и все. |
||||
10 сен 14, 12:54 [16558755] Ответить | Цитировать Сообщить модератору |
aleks2
Guest |
Хотя грешно бросать убогих.. К сообщению приложен файл. Размер - 73Kb |
10 сен 14, 13:10 [16558844] Ответить | Цитировать Сообщить модератору |
Гавриленко Сергей Алексеевич Member Откуда: Moscow Сообщений: 37143 |
Сообщение было отредактировано: 10 сен 14, 13:22 |
|
10 сен 14, 13:22 [16558914] Ответить | Цитировать Сообщить модератору |
Jovanny Member Откуда: Сообщений: 1196 |
Интересно, а что проще?
|
||||||
10 сен 14, 13:32 [16558988] Ответить | Цитировать Сообщить модератору |
invm Member Откуда: Москва Сообщений: 9633 |
|
||
10 сен 14, 13:35 [16559006] Ответить | Цитировать Сообщить модератору |
aleks2
Guest |
Затем, что штатные возможности RRAS на порядок превосходят возможности штатного firewall. |
||||
10 сен 14, 14:49 [16559552] Ответить | Цитировать Сообщить модератору |
invm Member Откуда: Москва Сообщений: 9633 |
Ну это если все переделать в нормальный вид. Тем более не известно что там за ОС. В текущей ситуации ТС'а устроит штатный firewall. Или logon-триггер. |
||
10 сен 14, 15:18 [16559775] Ответить | Цитировать Сообщить модератору |
982183 Member Откуда: VL Сообщений: 3374 |
firewall уже не помогает. IP атакующего компьютера оперативно меняются |
11 сен 14, 04:59 [16562099] Ответить | Цитировать Сообщить модератору |
aleks2
Guest |
Тибе ж сразу сказали: VPN и авторизация спасут отца русской дерьмократии. PS. Хотя, если у тя атака типо DDoS - VPN тоже не спасет. |
||
11 сен 14, 05:01 [16562101] Ответить | Цитировать Сообщить модератору |
982183 Member Откуда: VL Сообщений: 3374 |
Про logon-триггер не знаю не сталкивался. Попробую почитать документацию. В идеале конечно хотелось бы автоматическое блокирование IP после нескольких неудачных попыток входа |
11 сен 14, 05:03 [16562102] Ответить | Цитировать Сообщить модератору |
982183 Member Откуда: VL Сообщений: 3374 |
VPN штука конечна хорошая, но известные мне технологии подразумевают установку некого клиентского софта на пользовательский компьютер. В данном же случае это невозможно. |
11 сен 14, 05:57 [16562125] Ответить | Цитировать Сообщить модератору |
aleks2
Guest |
RRAS штатно включен во все серверные версии Windows. |
||
11 сен 14, 06:18 [16562141] Ответить | Цитировать Сообщить модератору |
aleks2
Guest |
Ну и клиенты, естественно, ни в чем не нуждаются. В Windows есть все. |
11 сен 14, 06:19 [16562143] Ответить | Цитировать Сообщить модератору |
Matroskin Member Откуда: Жатай->Подольск Сообщений: 137 |
982183, Установка клиентского софта не требуется, видовс вроде как умеет подключаться к VPN. Выставлять сервис для всего мира, не очень хорошо - это мнение админа. Так что VPN в данном случае было бы очень правильным решением. |
11 сен 14, 11:46 [16562999] Ответить | Цитировать Сообщить модератору |
982183 Member Откуда: VL Сообщений: 3374 |
Ну так пользователи разбросаны по всему миру. Причем заходят зачастую не со своего компьютера, а с интернет кафе. |
11 сен 14, 14:28 [16564013] Ответить | Цитировать Сообщить модератору |
nscl
Guest |
Со всего мира, из интернет-кафе - и сразу в БД ? Сурово, сурово... Только вот чего-то вы недоговариваете о протоколах доступа. В интернет-кафе или онлайн-киосках вам никто никаких впн и ипсеков настраивать не даст. Там ваша система может быть работоспособна только при наличии веб-интерфейса, но это, насколько я понял, не про вас, да и в этом случае на сервере БД ничего менять бы не пришлось. На своих компах - в любом случае какой-то бинарный клиент, а уж будет его траффик ходить через впн или напрямую - для настроек клиентской части и сервера не суть важно. Зато очень важно для защиты. По моему опыту 99,9% бинарных клиентов, напрямую коннектящихся к мсскл, не используют каких-либо средств шифрования, а протокол TDS передает логин и пароль к БД открытым текстом. Wireshark поможет вам в этом убедиться. Так что о впн, или даже о написании веб-морды к системе (с последующим внедрением авторизации клиентскими ссл-сертификатами) я очень советую задуматься. Особенно в вашем случае. Если у вас реально мсскл в инеты светит, и валидный коннект может придти с любого адреса, то никакие белые и черные списки вам не подойдут, вам нужен fail2ban или его аналог, если они есть под виндовс. Насчёт ДДоС - рано вам пока об этом думать, у вас более насущные задачи не решены. |
11 сен 14, 21:11 [16565943] Ответить | Цитировать Сообщить модератору |
982183 Member Откуда: VL Сообщений: 3374 |
Что ж тут сурового? Всё стандартно и банально.
А что именно о них надо сказать?
Вот я и говорю, что с установкой VPN есть проблемы.
Именно так. |
||||||||
12 сен 14, 03:04 [16566545] Ответить | Цитировать Сообщить модератору |
aleks2
Guest |
С тредстартером фсе ясно - "кремлевский мечтатель". В духе: "хочу шоб у меня все было и мне за это ничего не было". |
12 сен 14, 05:27 [16566578] Ответить | Цитировать Сообщить модератору |
982183 Member Откуда: VL Сообщений: 3374 |
О! вы оказывается знаток человеческих душ. Рад общению со столь разносторонней личностью. О обсуждаемой теме: перевел шлюз в жесткий режим. Разрешаю только правильные IP. Пользователи по мере необходимости звонят в техподдержку - им открывают. Защита полная. но неправильно всё это. В фаере средств автоматизации нет. Да и не узнает он никак - правильный пароль к SA ввели или нет. Всё же хочется сделать что-то средствами MS SQL Упомянутый logon-триггер наверное поможет. Пока разбираюсь . |
13 сен 14, 12:34 [16571644] Ответить | Цитировать Сообщить модератору |
SQL2008 Member Откуда: Москва Сообщений: 4392 |
В чём же тут неправильность? В том, что "ключ от дома выдают только жильцам"? Или "замок на двери" должен сам распознавать кого пускать, а кого нет? |
||
13 сен 14, 12:49 [16571686] Ответить | Цитировать Сообщить модератору |
982183 Member Откуда: VL Сообщений: 3374 |
Человек не должен присутствовать в данном процессе. Всё должна делать машина. |
13 сен 14, 13:25 [16571776] Ответить | Цитировать Сообщить модератору |
Топик располагается на нескольких страницах: [1] 2 вперед Ctrl→ все |
Все форумы / Microsoft SQL Server | ![]() |