Forum
Merhaba arkadaşlar...
Fortinet 60B cihazımının arkasında çalıştırdığım SQL sunucumda şöyle bir sıkıntım var. Dünyanın değişik bölglerinden çeşitli IP'ler SQL'in kullanıcı bilgilerini bulmaya çalışlıyor. Daha doğrusu kullandıkları bir program aracılığıyla sürekli kullanıcı bilgilerini bulmak için deneme yapıyorlar. Bunu Fortinet cihazımla nasıl engelleyebilirim?
Merhaba
bazı programlar ile sürekli dene yanıl tarzı şifre bulma tekniğine kaba kuvvet "brute of attack" tekniği denir ki zaten fortigate de ıds sistemi bağlantıları dinleyip böyle bi işlem varsa keser ve size loglarda görebilirsiniz. Eğer sql server portunuz dışarı açık değilse sorun yok.
Selam
Bu senaryodaki asıl problem şu: SQL server neden direkt olarak internet ortamına açık?
Web uygulamalarım için kulandığım sql sunucumun portu bu makinayı kullanan diğer kullanıcılardan dolayı sql portu mecburen dışarı açmak zorundayım.
Kullandığım Fortigate 60B modelli cihazın saldırı tespit ve durdurma gibi etkin bir özelliğinin olduğunu biliyorum. Ancak bu kısımla ilgili doküman ve örnek senaryolar oldukça az. "Intrusion Protection" menüsü altından "IPS Sensor" kısmında sql,http,https,ftp v.s. portaları içeren yeni bir rol belirledim. Ancak bu rollerin altına herhangi bir imza atamadım.Şu an için loglarda "IPS 0 attacks detected" olduğunu görüyorum. Buradaki logların durumuna göre de imza atayacağım.
SQL için gelen IP'ler static ise, Fortigate üzerinde SQL'e erişimde sadece bu IP'lere izin verebilirsiniz.
IPS kısmı ise uzamnlık alanım olmadığı için şu an birşey söylemem zor. Uzman arkadaşlar fikir verecektir.
Böyle bir kısıtlama yapmam oldukça zor. Çünkü sql de hesabı olan kişilerin hangi ortamlardan sql e ulaşacaklarını bilemem.
Fortinet'de hata tespit ve durdurma için izlenebilecek ve bu kısımların nasıl konfigüre edildiğini açıklayan dokümanlar var mı elinizde?
SQL için gelen IP'ler static ise, Fortigate üzerinde SQL'e erişimde sadece bu IP'lere izin verebilirsiniz.
IPS kısmı ise uzamnlık alanım olmadığı için şu an birşey söylemem zor. Uzman arkadaşlar fikir verecektir.
merhaba;
Serhat Hocamızın dediklerine ek olarak
öncelikle elinizdeki cihaz vpn yapmanızıda sağlayan bir cihaz.dolayısı ile sql portunu internete açmak yerine kullanıcılarınızı ofis dışından vpnle bağlayıp dışarda olmalarına karşın içerdeymiş gibi sql servera bağlanmaları en doğrusudur.Lakin ben vpnle uğraşamam sqli açıcam dünyaya diyorsanız yapmanız gerekenler.
sql in servis pack ve update lerini lütfen yapınız.
sql in database permission ayarlarını yapınız.
güvenlik ayarlarınızı tekrar gözden geçirdikten sonra
sql e dışarıdan 1433 portu yerine uyduruk bir portu yönlendirin programınızın clientı izin veriyorsa örnek 51423 ü 1433 e natlayın mesela
bunun dışında özel bir profile yazıp
sql için sessionları dinleyip atackları engelleyebilirsiniz.
selamlar
policyde log allowed trafiğe işaret koyunuz lütfen
SQL için IP kısıtlamak ve kullanıcı bilgilerini tespit etmeye yönelik işlemler için, SQL'in portunu Savaş Bey'in de belirttiği gibi farklı bir port yaptık. Ancak bu durumda uzaktan sql serverdaki hesabına ulaşmak isteyen kullanıcılar, sql serverın statik IP'sinin yanında "virgül" (örn. 78.120.100.0,14330) koyarak eski bilgileriyle giriş yapabilirler. Burada amaç portu özelliştirerek saldırılara azaltmak.
Aynı sorunu bende daha önceden yaşamıştım. Sa kullanıcısını disable ederek yerine yeni bir kullanıcı açıp kullanabilirsiniz. Benim sunucumda sadece sa kullanıcısına deneme yapılıyordu disable edince sunucuda rahatlamış oldu. Bir deneme yapmanızda fayda var diye düşünüyorum.