我在数据中心的防火墙外托管了一台 SQL Server 2005 服务器。它在补丁等方面是完全最新的。
有一些旧的 MSSQL 蠕虫(Slammer?)仍然感染全球数千台服务器,它们会寻找要感染的服务器。当他们找到服务器时,他们开始进行数十次连接尝试,这使 SQL Server 陷入瘫痪,即使感染尝试不成功。
在过去 5 年左右的时间里,这种情况一直在发生(平均大约每几个月一次),我刚刚使用本地安全策略阻止了每个受感染的 IP 地址。
但这开始变老了……
是否有配置选项,可选的修补程序,甚至会阻止它监听这些连接尝试?
我已经考虑过的三个解决方案:
- 除了来自 IP 的“白名单”之外,阻止1433 上的所有传入连接不是一种选择。我在路上、在家等时需要访问权限。
- 在 WAN 上阻止 1433,然后使用 VPN 访问它不是一种选择。处理此类事情会比偶尔阻止流氓服务器更令人头疼。
- 从端口 1433 更改为其他端口不是一种选择——它需要我与 IT 地牢打交道才能从办公室获得另一个出站端口异常,我很幸运能够说服他们允许 1433 出站。
对提出的问题的回答:
- 我们的预算为零。我正在寻找一种解决方案来修复 MSSQL 明显易受这些感染尝试置于 DOS 状态的漏洞。如果微软的回答是阻止端口,我不认为这是一个解决方案。
- 我意识到大多数人宁愿将服务器的软肋隐藏在防火墙后面,也不愿真正加固它。
- 我不在“Windows 域”上——我连接数据库相关任务的一半时间来自 OS X 机器,无论是在家还是在路上。
- 在现场使用另一个盒子作为防火墙/入侵检测将使我的托管费用翻倍。不实用。
- 请相信我 w/r/t VPN ......这在我的情况下是不切实际的。
如果没有可接受的解决方案,我将接受现状。