Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Таймаут повторной неудачной аутентификации  [new]
gr1047
Member

Откуда:
Сообщений: 31
Всем привет.
Есть ли возможность установить таймаут повторной аутентификации пользователя после неудачной аутентификации?
Либо, есть ли возможность установить задержку по времени на аутентификацию пользователя?
По другому.
Попытался пользователь соединиться с сервером и вбил неверный пароль. После этого, в следующий раз ему можно будет аутентифицироваться через например 10 сек.
Или просто , после ввода пароля, аутентификация проходила бы через 10 сек.

Для его мне это нужно.
Пришлось опубликовать сервер в интернете.
И пологам вижу что его активно ломают.
Будь у меня механизм либо блокировки IP по времени, чтобы он пароль смог подбирать раз в 20 сек, либо чтобы любой пользователь смог зайти через 20 сек после ввода пароля.

Немного сумбурно написал.
26 сен 19, 20:25    [21980282]     Ответить | Цитировать Сообщить модератору
 Re: Таймаут повторной неудачной аутентификации  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 36501
gr1047
Пришлось опубликовать сервер в интернете.
А вы смелый. Sql-аутентификация сама по себе является очень не рекомендуемым способом, а вы ее еще и в сеть выставили.
автор
Будь у меня механизм либо блокировки IP по времени, чтобы он пароль смог подбирать раз в 20 сек, либо чтобы любой пользователь смог зайти через 20 сек после ввода пароля.
Будь MSSQL сетевым экраном, он бы плохо выбирал данные. Поэтому он не сетевой экран, а СУБД. И кофе варить тоже не умеет.

В общем, думайте над архитектурой вашего решения.

Сообщение было отредактировано: 26 сен 19, 20:49
26 сен 19, 20:47    [21980293]     Ответить | Цитировать Сообщить модератору
 Re: Таймаут повторной неудачной аутентификации  [new]
gr1047
Member

Откуда:
Сообщений: 31
Спасибо, за ответ.
Однако у меня на текущий момент выбор не богатый.
1. Приложение уже есть и написано на Delphi с работой через ADO.
2. Ранее вся база крутилась в пределах локальной сети. Сейчас понадобилось вынести в другие офисы, за пределами локальной сети.

Исходя из этого, может посоветуете какую архитектуру лучше использовать в таком случае?
Но без использования VPN, это требование заказчика.

Заранее спасибо за конструктив.
27 сен 19, 14:42    [21980946]     Ответить | Цитировать Сообщить модератору
 Re: Таймаут повторной неудачной аутентификации  [new]
msLex
Member

Откуда:
Сообщений: 6979
gr1047
Спасибо, за ответ.
Однако у меня на текущий момент выбор не богатый.
1. Приложение уже есть и написано на Delphi с работой через ADO.
2. Ранее вся база крутилась в пределах локальной сети. Сейчас понадобилось вынести в другие офисы, за пределами локальной сети.

Исходя из этого, может посоветуете какую архитектуру лучше использовать в таком случае?
Но без использования VPN, это требование заказчика.

Заранее спасибо за конструктив.

В данном случае (когда VPN точно никак) более-менее стандартной, является создание WEB сервеса с набором API, который уже и будет общаться с вашей DB.
27 сен 19, 14:54    [21980960]     Ответить | Цитировать Сообщить модератору
 Re: Таймаут повторной неудачной аутентификации  [new]
Minamoto
Member

Откуда: Москва
Сообщений: 1114
gr1047
Спасибо, за ответ.
Однако у меня на текущий момент выбор не богатый.
1. Приложение уже есть и написано на Delphi с работой через ADO.
2. Ранее вся база крутилась в пределах локальной сети. Сейчас понадобилось вынести в другие офисы, за пределами локальной сети.

Исходя из этого, может посоветуете какую архитектуру лучше использовать в таком случае?
Но без использования VPN, это требование заказчика.

Заранее спасибо за конструктив.

Настроить сетевой экран так, чтобы принимать коннекты только с ip-адресов других офисов. Если есть выделенные сетевики - то поручить им эту задачу.
27 сен 19, 15:14    [21980986]     Ответить | Цитировать Сообщить модератору
 Re: Таймаут повторной неудачной аутентификации  [new]
PaulWist
Member

Откуда:
Сообщений: 2188
gr1047,

Сменить дефолтный порт.
27 сен 19, 15:18    [21980990]     Ответить | Цитировать Сообщить модератору
 Re: Таймаут повторной неудачной аутентификации  [new]
invm
Member

Откуда: Москва
Сообщений: 8843
gr1047
Пришлось опубликовать сервер в интернете.
И пологам вижу что его активно ломают.
Как минимум, не выставляйте сервер по стандартному или динамическому порту. И запретите логин sa. А еще лучше вообще запретить SQL Server-аутентификацию.
gr1047
Есть ли возможность установить таймаут повторной аутентификации пользователя после неудачной аутентификации?
Есть возможность извращенным способом запретить определенный входящий трафик с конкретного IP - 19454187
gr1047
Но без использования VPN, это требование заказчика.
Ну значит заказчик ССЗБ.
Можете предложить ему принудительное шифрование соединения - https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/enable-encrypted-connections-to-the-database-engine?view=sql-server-2017
27 сен 19, 15:21    [21980999]     Ответить | Цитировать Сообщить модератору
 Re: Таймаут повторной неудачной аутентификации  [new]
gr1047
Member

Откуда:
Сообщений: 31
PaulWist, а это мысль!!!
27 сен 19, 18:54    [21981237]     Ответить | Цитировать Сообщить модератору
 Re: Таймаут повторной неудачной аутентификации  [new]
gr1047
Member

Откуда:
Сообщений: 31
PaulWist
gr1047,

Сменить дефолтный порт.


Сменил. И пока всё тихо!
Думаю на этом варианте пока и остановиться. А дальше будем смотреть.
Насчёт WEB приложения, всё верно. Именно этот вариант я заказчику и предложил.
Так что огромное спасибо всем ответившим!
27 сен 19, 19:24    [21981267]     Ответить | Цитировать Сообщить модератору
 Re: Таймаут повторной неудачной аутентификации  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 29575
gr1047
PaulWist
Сменить дефолтный порт.


Сменил. И пока всё тихо!
Думаю на этом варианте пока и остановиться. А дальше будем смотреть.
Если использовать шифрованное соединение, и настроить файрвол, то будет безопасно.

Смена порта, всё таки, слишком поверхностная защита.
Бутфорсить вас перестали, но все запросы, и ответы сервера, может посмотреть любой желающий, находящийся в сети между сервером и клиентом.
27 сен 19, 20:05    [21981295]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить