امن سازی SQL سرور 2019 – بخش سیزدهم

اطمینان از تنظیم SQL Server برای استفاده از پورت‌های غیر استاندارد (Automated)

Profile Applicability

• Level 1 – Database Engine
• Level 1 – AWS RDS

Description

در صورت نصب، یک SQL Server یک پورت پیش‌فرض مربوط به TCP:1433 برای ارتباطات TCP/IP را assign می‌کند.

Administrator‌ها همچنین می‌توانند instance‌ های نامگذاری شده را به صورت دستی تنظیم نمایند که از TCP: 1433 برای ارتباطات استفاده شود. TCP: 1433 یک پورت SQL Server است که به طور گسترده‌ای شناخته شده است و این انتساب پورت باید تغییر کند.

مستند امن سازی SQL Server 2019 – بخش دوازدهم

در یک سناریوی multi-instance، به هر instance باید پورت اختصاصی TCP / IP اختصاص داده شود.

Rationale

استفاده از پورت غیر پیش‌فرض به محافظت از دیتابیس در برابر حملاتی که به پورت پیش‌فرض مربوط می‌شود کمک می‌نماید.

Audit

اسکریپت T-SQL زیر را اجرا کنید:

این Query نباید هیچ ردیفی برگرداند.

Remediation

  1. در SQL Server Configuration Manager، در پنجره console، SQL Server Network Configuration را باز کنید، پروتکل‌ها را برای باز کنید و سپس بر روی پروتکل TCP / IP دوبار کلیک کنید.
  2. در کادر محاوره‌ای TCP / IP Properties، در تب IP Addresses، چندین آدرس IP در قالب IP1 ، IP2 تا IPAll ظاهر می‌شوند. یکی از این موارد برای آدرس IP loopback adapter، 127.0.0.0.1 است. آدرس‌های IP اضافی برای هر آدرس IP در رایانه ظاهر می‌شوند.
  3. در بخش IPAll، قسمت TCP Port را از 1433 به یک پورت غیر استاندارد تغییر دهید یا قسمت TCP Port را خالی بگذارید و مقدار TCP Dynamic Ports را روی 0 تنظیم کنید تا assignment داینامیک فعال شود و سپس بر روی OK کلیک کنید.
  4. در پنجره کنسول، روی SQL Server Services کلیک کنید.
  5. در پنجره details، بر روی SQL Server () راست کلیک کرده و سپس روی Restart کلیک کنید، تا SQL Server متوقف و دوباره راه اندازی شود.

Impact

تغییر پورت پیش‌فرض، DAC (Dedicated Administrator Connection) را مجبور به listen کردن روی یک پورت تصادفی می‌کند. همچنین، ممکن است برنامه‌هایی مانند برنامه‌های فایروال، به پیکربندی ویژه‌ای نیاز داشته باشند.

به طور کلی، به جای استفاده از پورت‌های داینامیکی که به طور تصادفی در هر راه اندازی SQL Server انتخاب می‌شوند، باید یک پورت استاتیک برای استفاده مداوم توسط برنامه‌ها، از جمله فایروال‌ها تنظیم کنید.

Default Value

به طور پیش‌فرض، instance‌ های پیش‌فرض SQL Server به‌ ترافیک TCP / IP در پورت TCP 1433 گوش می‌دهند و named instance‌ ها از پورت‌های dynamic استفاده می‌کنند.

نکته

در مورد AWS RDS، این موضوع فقط در مراحل ساخت قابل تنظیم است.

مطالب این بخش برگرفته از مستند امن سازی SQL سرور 2019 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید