ATTACCO SU PORTA SQL

di il
12 risposte

ATTACCO SU PORTA SQL

Ciao a tutti! 
 Controllando i log di SQL ho riscontrato numerosi tentativi di accesso con utente sa con messaggi tipo: 

Login failed for user 'sa'. Motivo: password non corrispondente a quella dell'account di accesso specificato. [CLIENT: xxx.xxx.xxx.xxx]

e in alcuni casi trovo anche il servizio sql bloccato e sono costretto a riavviarlo.

Ho notato che questi tentativi di accesso provengono sempre da ip pubblici e non ho nessuna necessità di collegamenti dall'esterno. Ho già chiesto al gestore di cambiare l'indirizzo ip pubblico e di bloccare tutte le porte non necessarie oltre la navigazione dall'esterno. Ma al momento i tentativi di accesso rimangono…(non so cosa abbiano fatto i tecnici, non posso accedere al router)

Mi suggerite come posso proteggermi da questi attacchi? Pensavo di creare una regola specifica sul firewall di windows, bloccando e bannando almeno sulla porta 1433 di sql tutti i tentativi di accesso dall'esterno, ma mantendo gli accessi da ip locali. Eventualmente mi date qualche dritta su come fare…

Grazie mille in anticipo!!

12 Risposte

  • Re: ATTACCO SU PORTA SQL

    Attivail firewall di windows e blocca tutto tranne gli IP privati che utilizzi.

    Mi pare di capire che il sistema che ospita il tuo dbms sia aperto a Intenet … pessima scelta

    Controlla anche attacchi a windows, all'account administrator o simili

  • Re: ATTACCO SU PORTA SQL

    18/09/2024 - oregon ha scritto:


    Attivail firewall di windows e blocca tutto tranne gli IP privati che utilizzi.

    Grazie Oregon, perdonami… come faccio a bloccare solo gli indirizzi pubblici ? 
    Non ho mai gestito questo tipo di regole sul firewall di windows…

  • Re: ATTACCO SU PORTA SQL

    L'ip del PC come inizia?

  • Re: ATTACCO SU PORTA SQL

    Il server in questione ha 2 classi di indirizzi IP al momento… 192.168.1.xxx e 10.90.113.xxx

  • Re: ATTACCO SU PORTA SQL

    Infatti

    192.168.x.x

    10.x.x.x

    sono indirizzi privati.

    Nega l'accesso a tutti gli IP tranne quelli indicati

  • Re: ATTACCO SU PORTA SQL

    Perdonami l'estrema ignoranza… 

    Come devo procedere sul firewall?? 

    Di solito abilito qualche eccezione al volo per una porta… Ma in questo caso non saprei da dove iniziare… 

    Ho avuto a che fare con un firewall hardware tempo fa… e mi ricordo che dovevo prima negare tutto e poi concedere le eccezioni… Vale anche in questo caso? 

  • Re: ATTACCO SU PORTA SQL

    Questa macchina è un web server in hosting?

  • Re: ATTACCO SU PORTA SQL

    No è un semplice server aziendale locale con Windows server 2019. Ma non posso accedere al router. 

  • Re: ATTACCO SU PORTA SQL

    Il router evidentemente non è configurato bene altrimenti non avresti avuto accessi dall'esterno. Tutto quello che è sotto quel router è a rischio.

  • Re: ATTACCO SU PORTA SQL

    Mi sembra una situazione strana. Una azienda con i server completamente esposti senza protezione da accessi esterni… hai un settore IT a cui rivolgerti?

    Comunque nega tutto e abilitato solamente il traffico con le sottoreti 192.168.0.0 e 10.0.0.0

  • Re: ATTACCO SU PORTA SQL

    Altra cosa banale da fare, CAMBIA la porta usata da SQL Server (1433)/Oracle (1521) o quello che e'.

    Se non altro devono impegnarsi di piu' per trovarla. E se usano qualche tool stupido che prova SOLO quella di default, ti risolvi il problema

    OVVIAMENTE cambia password, se e' una di quelle stupidine che si usano di solito, con qualcosa di decisamente “complicato”.

    Anche questo aiuta. 

    Ricorda che ci sono database da MILIARDI di password gia' pronte che possono tentare, quindi usa una password LUNGA 

  • Re: ATTACCO SU PORTA SQL

    Si per quello che è possibile in questo ambito ho già fatto apportare alcune modifiche, tra cui cambio password, ip pubblico ecc.. procederò anche al cambio della porta SQL…

    Ritornando al firewall vi chiedo aiuto, perchè appena provo a creare le due regole ottengo il risultato di bloccare tutti gli accessi…
    Vi spiego cosa ho provato a fare e mi correggete dove sbaglio…

    Ho creato una regola personalizzata senza lasciando tutto di default (senza specificare porte, programmi, ecc..) che blocca tutto
    Ho creato una seconda regola personalizzata che accetta solo l'intervallo ip locale che mi server.

    Ho simulato la situazione con 2 pc prima di applicarla al server, ma appena applico le due regole blocca tutto in entrata… Come si fa a gestire una sorta di priorità o correlazione tra le 2 regole da applicare?

Devi accedere o registrarti per scrivere nel forum
12 risposte