9. Некоторые вопросы безопасности при работе с SQL Server

Лабораторная работа 9.1 Шифрование трафика SQL Server при помощи SSL

Защита сетевого трафика SQL Server 2000 при помощи сертификатов и технологии SSL

Примечание:

Эта лабораторная работа выполняется в паре. Договоритесь с партнером по лабораторной и при необходимости попросите его выполнить запрос на ваш компьютер.

Задание:

1) перехватите при помощи Network Monitor запросы, которые отправлены на ваш сервер, и ответы вашего сервера на них и убедитесь, что обмен информацией с SQL Server по умолчанию проходит открытым текстом;

2) настройте шифрование при помощи SSL на вашем сервере;

3) еще раз перехватите трафик обмена информацией с вашим SQL-сервером и убедитесь, что вся передача информации теперь происходит в зашифрованном виде.

Примечание:

если SQL Server и Certificate Services будут стоять на одном компьютере, убедитесь перед началом выполнения лабораторной, что на SQL Server установлен как минимум SP1.

Решение:

1) Установите Network Monitor на своем компьютере. Для этого откройте в Панели управления консоль Add/Remove Programs, откройте список Add/Remove Windows Components, зайдите в список компонентов Management and Monitoring Tools, установите флажок напротив Network Monitor Tools и нажмите OK. В случае появления приглашения введите путь к дистрибутиву Windows 2000 на компьютере преподавателя.

2) Запустите и настройте Network Monitor. Запустить Network Monitor можно из меню Start -> Programs -> Administrative Tools. В ответ на приглашение Select a network выполните в командной строке команду ipconfig /all, определите MAC-адрес для сетевого адаптера Local Area Connection и выберите адаптер с этим MAC-адресом в окне Network Monitor.

3) В окне Network Monitor в меню Capture дайте команду Start и постарайтесь сразу же после этого (чтобы не ловить лишний трафик) выполнить с другого компьютера запрос к вашему SQL Server (например, SELECT * FROM CUSTOMERS в базе данных Northwind). Просмотрите пакеты, которыми обменялись два компьютера, и убедитесь, что в коде пакетов можно прочитать сам запрос и ответ на него, возвращенный SQL Server.

4) Убедитесь, что SQL Server работает от доменной учетной записи. Если нет, то в этом случае при помощи Enterprise Manager или консоли Services выберите для него доменную учетную запись (например, ту, от которой вы работаете сами) и перезапустите SQL Server.

5) Установите Certificate Services. Для этого еще раз откройте в Панели управления консоль Add/Remove Programs, откройте список Add/Remove Windows Components, установите флажок напротив Certificate Services и нажмите OK. В случае появления приглашения введите путь к дистрибутиву Windows 2000 на компьютере преподавателя. На первом экране Windows Components Wizard выберите Stand-Alone Root SA, далее заполняйте поля в соответствии с указаниями мастера, другие значения оставляйте по умолчанию.

6) После установки Certificate Services войдите на компьютер локально от имени той учетной записи, от которой работает SQL Server, откройте Internet Explorer и перейдите на страницу http://localhost/certsrv. На странице Welcome убедитесь, что переключатель стоит в положении Request a certificate и нажмите Next.

7) На странице Choose Request Type переведите переключатель в положение Advanced Request и еще раз нажмите Next.

8) На странице Advanced Certificate Requests убедитесь, что переключатель стоит в положении Submit a certificate request using a form и нажмите Next.

9) На следующей странице в поле Name введите полное имя вашего компьютера в формате FQDN (например, vancouver.nwtraders.msft), в списке Intended Purpose выберите Server Authenification Certificate и нажмите Submit.

10) В меню Start->Programs->Administrative Tools откройте консоль Certification Authority, в нем раскройте узел для созданного вами Certification Authority, раскройте контейнер Pending Requests, правой кнопкой мыши щелкните по иконке запрошенного вами сертификата и в меню All Tasks выберите команду Issue. Убедитесь, что сертификат появился в контейнере Issued Certificates и закройте консоль Certificate Authority.

11) В окне Internet Explorer еще раз откройте страницу http://localhost/certsrv, переведите переключатель в положение Check on a pending certificate и нажмите Next. На следующем экране выберите запрошенный вами сертификат и еще раз нажмите Next. В окне Certificate Issued щелкните по ссылке Install this Certificate и нажмите Yes. После появления сообщения о том, что сертификат был успешно установлен, закройте окно Internet Explorer.

12) В меню Start -> Programs -> Microsoft SQL Server откройте Server Network Utility и установите флажок Force protocol encryption. Нажмите на кнопку OK и перезапустите SQL Server.

13) Еще раз выполните действия, описанные в п. 3, и убедитесь, что просмотреть текст запроса и возвращаемые данные теперь невозможно.

Получить учебные материалы по этому курсу