Come crittografare il traffico di SQL Server con IPSEC?


4

Ho trovato tutti i tipi di documentazione su cosa sia IPSEC e su come configurarlo (in modi molto non specifici), ma non riesco a configurare una regola di Windows Firewall con sicurezza avanzata che sia A che richiede tutto il traffico di SQL Server essere crittografato e B) funziona.

Come esercizio, ho creato una regola in entrata che consente a tutto il traffico il servizio MSSQLSERVER predefinito quando è connesso al dominio e ho verificato che posso connettermi all'istanza di SQL Server con quella regola.

Quando cambio l'azione da "Consenti la connessione" a "Consenti la connessione se è sicura", utilizzando l'opzione "Richiedi le connessioni da crittografare", non riesco più a stabilire una connessione. Non riesco a trovare alcuna informazione su come istruire il client a utilizzare quella connessione crittografata o se ci sono altri prerequisiti che devono essere soddisfatti. Inoltre, non riesco a trovare molto sull'utilizzo di IPSEC con SQL Server in generale.

So come crittografare le connessioni di SQL Server tramite SSL, ma l'applicazione primaria che utilizza questo server non si connetterà tramite SSL fino a qualche versione futura.

Come posso connettere il sistema operativo client tramite IPSEC da Windows Firewall con le impostazioni di sicurezza avanzata in Windows 7?


È un sacco di spese generali, perché ne hai bisogno? Il tuo SQL Server non dovrebbe essere in un posto dove è comunque accessibile dalla rete.
JohnThePro,

Obbligo contrattuale, purtroppo.
Sean,

@johnthepro L'utilizzo di IPSEC per crittografare tutto il traffico di Windows è stata una procedura consigliata da Windows 2000
Jim B,

Jim - Onestamente non ho visto nessuna società in cui questo è stato effettivamente fatto (per l'intero ambiente, comunque.)
mfinni

Best practice, ma .... Non lo so, lavoro con molti ambienti SMB e questo viene implementato raramente.
JohnThePro,

Risposte:


3

Ecco i 2 documenti che devi leggere per determinare il percorso migliore da percorrere per crittografare il traffico del tuo server. La prima route è l' isolamento del server , che sta impostando comunicazioni sicure tra host di dominio specifici. Il secondo è l' isolamento del dominio che è leggermente più rilassato in quanto l'unico vero requisito per le comunicazioni è che tutti gli host siano membri del dominio (si noti che si tratta di spiegazioni semplificate). Tutti questi documenti sembrano essere stati scritti per il periodo di vista / 2008, ma i concetti si applicano ancora. Per accedere alle impostazioni utilizzare il pannello di controllo del firewall di Windows e selezionare le regole di sicurezza di conenction -> nuova regola. Guarda qui per maggiori dettagli sulle regole di sicurezza della connessione .


Grazie Jim. Avevo letto il documento sulle regole di sicurezza della connessione, ma non mi sono reso conto che questo era il pezzo che mi mancava fino a quando non ho visto questo tutorial su come fare la stessa cosa per telnet ( technet.microsoft.com/en-us/edge/Video/ff711601 ). Una volta impostato un CSR sia sul server che sul client, le regole del firewall che avevo configurato hanno iniziato a funzionare per crittografare il traffico. Problema risolto!
Sean,

0

Non IPSEC è una strategia di crittografia a livello di rete gestita dal sistema operativo. Non è specifico per un'applicazione, ad esempio SQL.

Crittografia delle connessioni a SQL Server
http://technet.microsoft.com/en-us/library/ms189067.aspx

"... I dati di SQL Server possono essere crittografati durante la trasmissione utilizzando IPSec. IPSec è fornito dai sistemi operativi client e server e non richiede alcuna configurazione di SQL Server. Per informazioni su IPSec, consultare la documentazione di Windows o di rete."


1
Sono consapevole che il sistema operativo lo gestisce. Semplicemente non so come istruire il sistema operativo sul lato client a farlo.
Sean,

È necessario disporre di una connessione VPN IPSEC alla rete su cui si trova il server SQL. Se questo è all'interno della stessa rete, non sono sicuro di come faresti senza farlo causare mal di testa - penso che affrontare quella situazione potrebbe diventare molto brutto e confondere molto velocemente. Questo articolo è vecchio, ma potrebbe essere pertinente: microsoft.com/download/en/details.aspx?id=18254 . Anche rilevante? support.microsoft.com/kb/816514
fencepost

fencepost - non corretto. IPSec non funziona solo come o tramite tunnel.
mfinni,

Vedere pagina 31 del primo documento collegato: "Windows IPSec supporta sia la modalità tunnel IPSec sia la modalità di trasporto IPSec come opzione nella regola. La configurazione della regola della modalità tunnel IPSec è molto diversa dalla configurazione della regola della modalità di trasporto IPSec. ... Perché lo scenario in questo documento descrive solo la modalità di trasporto IPSec, i filtri in questo documento sono denominati filtri della modalità di trasporto IPSec. "
mfinni,

0

IP Sec deve essere configurato sia sul client che sul server. L'uso di SSL richiede solo la configurazione di SQL Server.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.