Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3 4   вперед  Ctrl      все
 Re: Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
Я даже добавлю, я еше не видел не ОДНОЙ программы с обновлением через интернет, где бы меня просили прислать мой IP.
6 ноя 07, 18:14    [4881586]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3141
Crazy_Driver
ИМХО, можно поднять VPN-сервер и написать пользователям инструкцию по подключению. В итоге наружу будет торчать только порт VPN и авторизовать пользователей Windows-авторизацией. И SQL Server не будет торчать наружу и данные будут бегать в зашифрованном виде.
Почему TDS не стоит гонять через VPN
6 ноя 07, 18:15    [4881591]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Glory
Member

Откуда:
Сообщений: 104764
Пашок
Glory
Пашок

А если у него динамический IP, а если он не знает вообще, что такое IP !

А вы тоже не знаете, что такое IP и как на файерволе логировать запросы доступа ?


ЧТо такое IP, я знаю, а как смотреть IP на файерволе я не знаю.

Я могу такие примеры привести, сервер обновлений майкрософт, сервер обновлений любого антивируса, сервер любого провайдера. Там никто не просит вас дать свой IP. Но ведь работают!

Ну так и у вас все работает. А попробуйте поломать сервер обновлений майкрософт, так вас и не будут спрашивать про IP - просто спишутся с вашим провайдером и он вас подвергнет санкциям
6 ноя 07, 18:15    [4881593]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Изопропил
Member

Откуда:
Сообщений: 31444
Firewall ставьте, который понимает MSSQL TDS протокол (например Cisco IPS)
6 ноя 07, 18:17    [4881617]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3141
Пашок
Я могу такие примеры привести, сервер обновлений майкрософт, сервер обновлений любого антивируса, сервер любого провайдера. Там никто не просит вас дать свой IP. Но ведь работают!
Ни в одном из перечисленных Вами случаев не используется MS SQL Server, открытый для нефильтрованного анонимного доступа; сравнение некорректно.
6 ноя 07, 18:17    [4881618]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
Glory
Пашок
Glory
Пашок

А если у него динамический IP, а если он не знает вообще, что такое IP !

А вы тоже не знаете, что такое IP и как на файерволе логировать запросы доступа ?


ЧТо такое IP, я знаю, а как смотреть IP на файерволе я не знаю.

Я могу такие примеры привести, сервер обновлений майкрософт, сервер обновлений любого антивируса, сервер любого провайдера. Там никто не просит вас дать свой IP. Но ведь работают!

Ну так и у вас все работает. А попробуйте поломать сервер обновлений майкрософт, так вас и не будут спрашивать про IP - просто спишутся с вашим провайдером и он вас подвергнет санкциям


Унизит ?
6 ноя 07, 18:18    [4881619]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62926
Пашок
Я могу такие примеры привести, сервер обновлений майкрософт, сервер обновлений любого антивируса, сервер любого провайдера. Там никто не просит вас дать свой IP. Но ведь работают!

Кто из выше приведеных, выставил MS SQL наружу?
6 ноя 07, 18:19    [4881628]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Glory
Member

Откуда:
Сообщений: 104764
Пашок
Glory
Пашок
Glory
Пашок

А если у него динамический IP, а если он не знает вообще, что такое IP !

А вы тоже не знаете, что такое IP и как на файерволе логировать запросы доступа ?


ЧТо такое IP, я знаю, а как смотреть IP на файерволе я не знаю.

Я могу такие примеры привести, сервер обновлений майкрософт, сервер обновлений любого антивируса, сервер любого провайдера. Там никто не просит вас дать свой IP. Но ведь работают!

Ну так и у вас все работает. А попробуйте поломать сервер обновлений майкрософт, так вас и не будут спрашивать про IP - просто спишутся с вашим провайдером и он вас подвергнет санкциям


Унизит ?

Отключит
6 ноя 07, 18:19    [4881634]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Изопропил
Member

Откуда:
Сообщений: 31444
Ennor Tiegael
Crazy_Driver
ИМХО, можно поднять VPN-сервер и написать пользователям инструкцию по подключению. В итоге наружу будет торчать только порт VPN и авторизовать пользователей Windows-авторизацией. И SQL Server не будет торчать наружу и данные будут бегать в зашифрованном виде.
Почему TDS не стоит гонять через VPN


там не сказано, чей VPN использовался. Да и два года прошло уже.
6 ноя 07, 18:20    [4881638]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3141
Изопропил
Ennor Tiegael
Crazy_Driver
ИМХО, можно поднять VPN-сервер и написать пользователям инструкцию по подключению. В итоге наружу будет торчать только порт VPN и авторизовать пользователей Windows-авторизацией. И SQL Server не будет торчать наружу и данные будут бегать в зашифрованном виде.
Почему TDS не стоит гонять через VPN


там не сказано, чей VPN использовался. Да и два года прошло уже.
Astaro Security Linux - сначала четверка, потом шестерка; точнее не скажу, т.к. в линухе полный ноль. Не спорю, возможно, он был как-то причастен к проблеме, но мониторинг на нем показывал, что пакеты уже приходили на него с установленным запретом на фрагментацию.
6 ноя 07, 18:23    [4881669]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Crazy_Driver
Member

Откуда: α2000 = 14ч39м36с,5, δ2000 = -60°50'02"
Сообщений: 876
Ennor Tiegael
Crazy_Driver
ИМХО, можно поднять VPN-сервер и написать пользователям инструкцию по подключению. В итоге наружу будет торчать только порт VPN и авторизовать пользователей Windows-авторизацией. И SQL Server не будет торчать наружу и данные будут бегать в зашифрованном виде.
Почему TDS не стоит гонять через VPN


А кто ж разрешит огромным пакетам бегать через кучи маршрутизаторов??? В подавляющем большинстве MTU=1500, а бывает и меньше. Так что при выставленном флаге DF пакеты в интернет не пролезут: ping -l 1500 -f на любой хост в интернете явный пример тому.
6 ноя 07, 19:07    [4881928]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3141
Crazy_Driver
А кто ж разрешит огромным пакетам бегать через кучи маршрутизаторов??? В подавляющем большинстве MTU=1500, а бывает и меньше. Так что при выставленном флаге DF пакеты в интернет не пролезут: ping -l 1500 -f на любой хост в интернете явный пример тому.
Да уж, спасибо, открыли глаза.

Судя по всему, вы просто не поняли, в чем именно там заключалась проблема.
6 ноя 07, 19:17    [4881965]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Crazy_Driver
Member

Откуда: α2000 = 14ч39м36с,5, δ2000 = -60°50'02"
Сообщений: 876
Ennor Tiegael
Crazy_Driver
А кто ж разрешит огромным пакетам бегать через кучи маршрутизаторов??? В подавляющем большинстве MTU=1500, а бывает и меньше. Так что при выставленном флаге DF пакеты в интернет не пролезут: ping -l 1500 -f на любой хост в интернете явный пример тому.
Да уж, спасибо, открыли глаза.

Судя по всему, вы просто не поняли, в чем именно там заключалась проблема.

Я понял. Только при отсутствии VPN при прохождении пакетов через роутер в роли ограничителя размера нефрагментируемого пакета выступит именно роутер. У автора пакеты благополучно через интернет ходят. А значит, с вероятностью 99% все будет работать черех VPN.
6 ноя 07, 19:22    [4881983]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3141
Crazy_Driver
Я понял. Только при отсутствии VPN при прохождении пакетов через роутер в роли ограничителя размера нефрагментируемого пакета выступит именно роутер. У автора пакеты благополучно через интернет ходят. А значит, с вероятностью 99% все будет работать черех VPN.
Бу-га-га.
Вы действительно считаете, что проблема находится в маршрутизации как таковой?
Следуя вашей логике, когда сиквелу сносило крышу и он начинал ставить DF где надо и не надо, первый же интернет-роутер должен был начисто блокировать весь его трафик. В результате все клиенты оказывались фактически отрезанными от сервера. Но на практике-то отваливались только VPN-щики, остальные работали нормально!
Или вы хотите сказать, что через интернет можно проложить маршрут Дюссельдорф-Новосибирск, на котором не будет ни одного роутера?

В данном случае проблема могла быть в линуксовом гейте. А могла и не быть. Энивей, предлагаю закрыть здесь этот оффтопик, тем более что тот вопрос для меня более не актуален.
6 ноя 07, 19:48    [4882039]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Crazy_Driver
Member

Откуда: α2000 = 14ч39м36с,5, δ2000 = -60°50'02"
Сообщений: 876
Ennor Tiegael
Бу-га-га.
Вы действительно считаете, что проблема находится в маршрутизации как таковой?
Следуя вашей логике, когда сиквелу сносило крышу и он начинал ставить DF где надо и не надо, первый же интернет-роутер должен был начисто блокировать весь его трафик. В результате все клиенты оказывались фактически отрезанными от сервера. Но на практике-то отваливались только VPN-щики, остальные работали нормально!
Или вы хотите сказать, что через интернет можно проложить маршрут Дюссельдорф-Новосибирск, на котором не будет ни одного роутера?

В данном случае проблема могла быть в линуксовом гейте. А могла и не быть. Энивей, предлагаю закрыть здесь этот оффтопик, тем более что тот вопрос для меня более не актуален.


У меня на днях погорел телепатический модуль (проклятое статическое электричество), потому в Вами приведенном сообщении не увидел, что имеются клиенты, работающие через интернет, но без VPN. Обещали заменить сразу, как только окажутся в пределах Солнечной системы. А пока приходится читать то, что написано. Вы уж извините.

Да, кстати, дефолтный MTU для Ethernet 1518 можно уменьшить до необходимого размера, чтобы пакеты без дефрагментации пролезали и через VPN.
6 ноя 07, 19:59    [4882059]     Ответить | Цитировать Сообщить модератору
Между сообщениями интервал более 1 года.
 Re: Кто-то подбирает пароль к sa  [new]
vdo89
Member

Откуда:
Сообщений: 2
Пашок

4) ваще-то, при 3х кратном неудачном логоне / вызове sp_password надо блокировать как минимум IP, а то и всю подсеть как минимум на полчаса...


Можно ли это сделать силами SQL Server?
3 июн 11, 15:56    [10759966]     Ответить | Цитировать Сообщить модератору
Между сообщениями интервал более 1 года.
 Re: Кто-то подбирает пароль к sa  [new]
BoykoSlava
Member

Откуда: Санкт-Петербург
Сообщений: 36
Вот сколько времени бьюсь с похожей задачей... читаю... гуглю... и большую часть приходится читать советы и негодования по поводу "..опой наружу".
Если не знаете способ - не пишите :)
Есть ли реально у кого то совет как защитить MS SQL от таких внешних атак? Самое простое - блокировка IP адреса при неудачной попытке авторизации MSSQL-пользователя более N раз? Прога (юникосвые не подходят), скрипт, стандартные средства?

Я нашел прогу, но та только винду защищает (блокирует на n-минут IP адрес, если пароль\логин винды введен неверно). ts_block - программка... Но на MSSQL ее не настроить.
25 июл 16, 18:50    [19453483]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
aleks2
Guest
BoykoSlava
Вот сколько времени бьюсь с похожей задачей... читаю... гуглю... и большую часть приходится читать советы и негодования по поводу "..опой наружу".
Если не знаете способ - не пишите :)
Есть ли реально у кого то совет как защитить MS SQL от таких внешних атак? Самое простое - блокировка IP адреса при неудачной попытке авторизации MSSQL-пользователя более N раз? Прога (юникосвые не подходят), скрипт, стандартные средства?

Я нашел прогу, но та только винду защищает (блокирует на n-минут IP адрес, если пароль\логин винды введен неверно). ts_block - программка... Но на MSSQL ее не настроить.


Ишо один любитель бубнов?

1. Функция блокировки учетной записи при n неудачных попытках логона - штатная функция Windows ишо, не соврать бы, с NT 4.0. Т.е. с 1998 году.
2. Для авторизации и защиты удаленного доступа давным-давно придумали VPN.

ЗЫ. Вольное те придумывать непромокаемый порох.
25 июл 16, 19:30    [19453618]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
BoykoSlava
Member

Откуда: Санкт-Петербург
Сообщений: 36
Ишо один любитель негодований? :)

1. Читаем внимательно. :) Вопрос не в Винде, а в MSSQL SERVER. И блокировка не учетной записи, а IP.
2. На будущее, для других негодований:
VPN - не подходит,
танцы с портами - не подходят,
юникс-программы - не подходят,
есть вариант поставить перед SQL сервером юникс-машинку с этой задачей файровола, можете не предлагать, этот вариант оставлен как крайний, про него знаем. Но тут это связано с фин.затратами (пусть и небольшими).

Если пишу "не подходит", значит знаем, рассматривали, есть объективные причины так говорить. Предлагаю не терять время и байты :)
25 июл 16, 20:20    [19453733]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 36686
BoykoSlava
Ишо один любитель негодований? :)

1. Читаем внимательно. :) Вопрос не в Винде, а в MSSQL SERVER. И блокировка не учетной записи, а IP.
2. На будущее, для других негодований:
VPN - не подходит,
танцы с портами - не подходят,
юникс-программы - не подходят,
есть вариант поставить перед SQL сервером юникс-машинку с этой задачей файровола, можете не предлагать, этот вариант оставлен как крайний, про него знаем. Но тут это связано с фин.затратами (пусть и небольшими).

Если пишу "не подходит", значит знаем, рассматривали, есть объективные причины так говорить. Предлагаю не терять время и байты :)
Выключить sql-аутентификацию и читать пункты заново.
25 июл 16, 20:26    [19453753]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 36686
И вообще, когда надоест "бесплатно" изобретать веловипеды, курите мануал: https://msdn.microsoft.com/en-us/library/bb283235.aspx
25 июл 16, 21:25    [19453998]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
invm
Member

Откуда: Москва
Сообщений: 9114
BoykoSlava
И блокировка не учетной записи, а IP.
Ну если очень хочется поизвращаться на стороне SQL Server, то:
1. Создаете серверный event notification на событие login failed.
2. В процедуре активации очереди вытаскиваете из сообщения client_host и далее рулите правилами фаервола любым понравившемся способом.
25 июл 16, 22:28    [19454187]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 30702
BoykoSlava
Есть ли реально у кого то совет как защитить MS SQL от таких внешних атак? Самое простое - блокировка IP адреса при неудачной попытке авторизации MSSQL-пользователя более N раз? Прога (юникосвые не подходят), скрипт, стандартные средства?
Наверное, ничего лучше установки сложного пароля не придумать...
Можно самому намутить что то, добавлять правило в файрволл, если появились записи о нескольких неудачных попытках логина с одного адреса.
25 июл 16, 22:35    [19454211]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
BoykoSlava
Member

Откуда: Санкт-Петербург
Сообщений: 36
Гавриленко Сергей Алексеевич
BoykoSlava
Ишо один любитель негодований? :)

1. Читаем внимательно. :) Вопрос не в Винде, а в MSSQL SERVER. И блокировка не учетной записи, а IP.
2. На будущее, для других негодований:
VPN - не подходит,
танцы с портами - не подходят,
юникс-программы - не подходят,
есть вариант поставить перед SQL сервером юникс-машинку с этой задачей файровола, можете не предлагать, этот вариант оставлен как крайний, про него знаем. Но тут это связано с фин.затратами (пусть и небольшими).

Если пишу "не подходит", значит знаем, рассматривали, есть объективные причины так говорить. Предлагаю не терять время и байты :)
Выключить sql-аутентификацию и читать пункты заново.


Низзя, клиент работает через sql-аутентификацию...
26 июл 16, 11:42    [19455819]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
BoykoSlava
Member

Откуда: Санкт-Петербург
Сообщений: 36
invm
BoykoSlava
И блокировка не учетной записи, а IP.
Ну если очень хочется поизвращаться на стороне SQL Server, то:
1. Создаете серверный event notification на событие login failed.
2. В процедуре активации очереди вытаскиваете из сообщения client_host и далее рулите правилами фаервола любым понравившемся способом.


А вот это интересно. Можно подробнее? Куда именно идти, что именно создавать? Я по этому пути пытался идти, но не нашел дверей.
26 июл 16, 11:45    [19455836]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3 4   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить