9.2 Защита SQL Server от перехвата данных по сети

Защита сетевого трафика SQL Server 2000, пакеты TDS (Tabular Data Stream), применение SSL на SQL Server 2000, применение сетевой библиотеки Multiprotocol

Одна из проблем при работе SQL Server заключается в том, что данные передаются по сети в пакетах TDS в полностью открытом виде. Любой пользователь, который сможет перехватить эти пакеты, сможет прочитать как текст запроса, так и возвращаемые сервером данные. В этом легко убедиться на практике при помощи, к примеру, стандартного средства Microsoft для перехвата сетевого трафика - Network Monitor или средств третьих фирм (общее название средств для прослушивания сети - Sniffer).

Защиту от перехвата данных по сети можно реализовать разными способами и на разных уровнях:

·        использовать в качестве элементов сетевой инфраструктуры свитчи вместо хабов - поскольку при использовании свитчей между передающими компьютерами создается виртуальный канал и другие пользователи прослушать передаваемую по нему информацию не смогут. Проблемы: свитчи намного дороже хабов, защита, предлагаемая свитчами, легко обходится при помощи специальных утилит;

·        использовать стандартные средства шифрования сетевого трафика в Windows (например, IPSec). Проблемы: по IPSec не умеют работать старые клиенты, шифроваться будет не только трафик SQL Server, но и любой другой, что может привести к проблемам с производительностью при передаче данных по сети;

·        использовать средство, которое применялось в предыдущих версиях SQL Server (начиная с 6.0) - встроенное шифрование сетевой библиотеки Multiprotocol. Проблемы: средство устарело и не будет поддерживаться в следующих версиях SQL Server;

·        использовать шифрование при помощи SSL. Наиболее рекомендованное средство, которое и будет рассмотрено в этом модуле.

Для использования шифрования средствами SSL необходимо вначале получить сертификат от Certificate Services - специального программного компонента Windows, который по умолчанию не устанавливается и его необходимо доустановить вручную. Установка производится стандартными способами через Control Panel -> Add/Remove Programs -> Add/Remove Windows Components. Рекомендуется при установке выбрать режим Stand-Alone Root Certificate Authority. Устанавливать Certificate Services можно как на компьютер, на котором работает SQL Server, так и на другой компьютер, но в этом случае SQL Server должен иметь возможность постоянно обращаться к этому компьютеру.

Затем вам необходимо определиться с типом шифрования, которое будет использовано для вашей системы - будет ли шифрование реализовано на сервере или оно будет реализовано на клиенте. Если оно будет реализовано на сервере, то:

·        будет шифроваться трафик от всех клиентов, обращающихся на этот сервер, без исключения;

·        никакие дополнительные настройки на клиентах производить будет не нужно.

Если шифрование будет реализовано на клиенте, то:

·        будет шифроваться трафик, передаваемый на сервер, только с этого клиента;

·        потребуется установить сертификаты и произвести дополнительные настройки как на сервере, так и на клиентах;

·        необходимо будет обеспечить возможность обращения к Certificate Authority как сервера, так и клиентов.

С точки зрения производительности применение SSL будет заметно только при обмене между клиентом и сервером большими объемами данных. При обычной работе применение шифрование практически не скажется на загрузке сервера, поэтому обычно рекомендуется применять шифрование на сервере.

Настройка шифрования по SSL на сервере выглядит так:

1) войти локально от имени учетной записи, от имени которой работает SQL Server. Это должна быть именно доменная учетная запись (или обычная локальная) - локальная системная не подойдет;

2) запросить, получить и установить сертификат  типа Server Authentication Certificate с Certificate Services (если Certificate Services находятся на одном компьютере с SQL Server, то необходимо установить на SQL Server SP1 минимум);

3) если установленных сертификатов типа Server Authentication Certificate на компьютере несколько, то необходимо также выбрать нужный сертификат путем правки реестра. Подробно - в статье Knowledge Base 276553 (находится на компакт-диске, прилагаемом к курсу);

4) в Server Network Utility установить флажок Force protocol encryption и перезапустить сервер. Если с сертификатом возникли какие-то проблемы, то сервер просто не запустится.

Настройка шифрования на клиенте - сложнее, описана в той же самой статье Knowledge Base 276553.

Проверить, применяется ли шифрование, можно только при помощи Network Monitor или аналогичных средств.

Получить учебные материалы по этому курсу