Forum

SQL için IP kı...
 
Bildirimler
Hepsini Temizle

SQL için IP kısıtlama

12 Yazılar
5 Üyeler
0 Reactions
1,006 Görüntüleme
(@HarunAydemir)
Gönderiler: 154
Estimable Member
Konu başlatıcı
 

Merhaba arkadaşlar...


Fortinet 60B cihazımının arkasında çalıştırdığım SQL sunucumda şöyle bir sıkıntım var. Dünyanın değişik bölglerinden çeşitli IP'ler SQL'in kullanıcı bilgilerini bulmaya çalışlıyor. Daha doğrusu kullandıkları bir program aracılığıyla sürekli kullanıcı bilgilerini bulmak için deneme yapıyorlar. Bunu Fortinet cihazımla nasıl engelleyebilirim?

 
Gönderildi : 16/05/2009 23:07

(@GokhanDOGAN)
Gönderiler: 780
Prominent Member
 

Merhaba

bazı programlar ile sürekli dene yanıl tarzı şifre bulma tekniğine kaba kuvvet "brute of attack" tekniği denir ki  zaten fortigate de ıds sistemi bağlantıları dinleyip böyle bi işlem varsa keser ve size loglarda görebilirsiniz. Eğer sql server portunuz dışarı açık değilse sorun yok.

 
Gönderildi : 19/05/2009 01:06

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

Selam

Bu senaryodaki asıl problem şu: SQL server neden direkt olarak internet ortamına açık?

 
Gönderildi : 19/05/2009 03:16

(@HarunAydemir)
Gönderiler: 154
Estimable Member
Konu başlatıcı
 

Web uygulamalarım için kulandığım sql sunucumun portu bu makinayı kullanan diğer kullanıcılardan dolayı sql portu mecburen dışarı açmak zorundayım.


Kullandığım  Fortigate 60B modelli cihazın saldırı tespit ve durdurma gibi etkin bir özelliğinin olduğunu biliyorum. Ancak bu kısımla ilgili doküman ve örnek senaryolar oldukça az. "Intrusion Protection" menüsü altından "IPS Sensor" kısmında sql,http,https,ftp v.s. portaları içeren yeni bir rol belirledim. Ancak bu rollerin altına herhangi bir imza atamadım.Şu an için loglarda "IPS 0 attacks detected" olduğunu görüyorum. Buradaki logların durumuna göre de imza atayacağım.

 
Gönderildi : 19/05/2009 13:35

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

SQL için gelen IP'ler static ise, Fortigate üzerinde SQL'e erişimde sadece bu IP'lere izin verebilirsiniz.

IPS kısmı ise uzamnlık alanım olmadığı için şu an birşey söylemem zor. Uzman arkadaşlar fikir verecektir.

 
Gönderildi : 19/05/2009 14:05

(@HarunAydemir)
Gönderiler: 154
Estimable Member
Konu başlatıcı
 

Böyle bir kısıtlama yapmam oldukça zor. Çünkü sql de hesabı olan kişilerin hangi ortamlardan sql e ulaşacaklarını bilemem.

 
Gönderildi : 19/05/2009 14:35

(@HarunAydemir)
Gönderiler: 154
Estimable Member
Konu başlatıcı
 

 

 
Gönderildi : 19/05/2009 18:03

(@HarunAydemir)
Gönderiler: 154
Estimable Member
Konu başlatıcı
 

Fortinet'de hata tespit ve durdurma için izlenebilecek ve bu kısımların nasıl konfigüre edildiğini açıklayan dokümanlar var mı elinizde?

 
Gönderildi : 19/05/2009 18:03

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

SQL için gelen IP'ler static ise, Fortigate üzerinde SQL'e erişimde sadece bu IP'lere izin verebilirsiniz.

IPS kısmı ise uzamnlık alanım olmadığı için şu an birşey söylemem zor. Uzman arkadaşlar fikir verecektir.

merhaba;
Serhat Hocamızın dediklerine ek olarak
öncelikle elinizdeki cihaz vpn yapmanızıda sağlayan bir cihaz.dolayısı ile sql portunu internete açmak yerine kullanıcılarınızı ofis dışından vpnle bağlayıp dışarda olmalarına karşın içerdeymiş gibi sql servera bağlanmaları en doğrusudur.Lakin ben vpnle uğraşamam sqli açıcam dünyaya diyorsanız yapmanız gerekenler.
sql in servis pack ve update lerini lütfen yapınız.
sql in database permission ayarlarını yapınız.
güvenlik ayarlarınızı tekrar gözden geçirdikten sonra
sql e dışarıdan 1433 portu yerine uyduruk bir portu yönlendirin programınızın clientı izin veriyorsa örnek 51423 ü 1433 e natlayın mesela

bunun dışında özel bir profile yazıp
sql için sessionları dinleyip atackları engelleyebilirsiniz.
selamlar

 
Gönderildi : 19/05/2009 19:20

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

policyde log allowed trafiğe işaret koyunuz lütfen

 
Gönderildi : 19/05/2009 19:21

(@HarunAydemir)
Gönderiler: 154
Estimable Member
Konu başlatıcı
 

SQL için IP kısıtlamak ve kullanıcı bilgilerini tespit etmeye yönelik işlemler için, SQL'in portunu Savaş Bey'in de belirttiği gibi farklı bir port yaptık. Ancak bu durumda uzaktan sql serverdaki hesabına ulaşmak isteyen kullanıcılar, sql serverın statik IP'sinin yanında "virgül" (örn. 78.120.100.0,14330) koyarak eski bilgileriyle giriş yapabilirler. Burada amaç portu özelliştirerek saldırılara azaltmak.


 

 
Gönderildi : 19/05/2009 21:53

(@ozgurmazlum)
Gönderiler: 2208
Illustrious Member
 

Aynı sorunu bende daha önceden yaşamıştım. Sa kullanıcısını disable ederek yerine yeni bir kullanıcı açıp kullanabilirsiniz. Benim sunucumda sadece sa kullanıcısına deneme yapılıyordu disable edince sunucuda rahatlamış oldu. Bir deneme yapmanızda fayda var diye düşünüyorum.

 
Gönderildi : 07/07/2010 22:01

Paylaş: