جلسه دوم دوره امنیت در SQL Server 2016 موقیت برگزار گردید. این جلسه با توافق دوستان راس سال ۰۹:۱۵ صبح شروع شده و تا ساعت ۱۲:۱۵ ادامه داشت. پس از آن از ساعت ۱۲:۱۵ الی ۱۲:۴۵ دو تمرین به شکل عملی با دوستان بررسی شد.
در این جلسه ما دو سناریو خیلی مهم و کاربردی را بررسی کردیم
۱- سناریو Encrypt کردن Sessionها
دادههای ارسالی به SQL Server و همچنین دادههای دریافتی از آن تحت نظارت پروتکل TDS (Tabular Data Stream) میباشند. این دادهها به طور کاملاً Plain بر روی بستر Network منتقل میشوند به طوریکه به راحتی میتوان Packetهای ارسال شده را با برنامههایی نظیر Network Monitor و Wireshark مورد تحلیل و آنالیز قرار داد.
اگر دیتا تصویر بالا را موشکافی کنید به عبارت زیر خواهید رسید
در طی دوره آنالیز Packetهای ارسالی و همچنین Encrypt کردن آنها شرح داده شد. لازم به ذکر است که طی روش بررسی شده نیاز به تغییر کد برنامه نداریم.
۲- سناریو Brute Force Attack
در این سناریو مفهوم این نوع Attack بررسی شد و راهکارهای جلوگیری از آن با استفاده از روشهایی مانند Password Policy و… شرح داده شد.
همچنین در طی این سناریو ابزار بسیار حرفه ای معرفی گردید که بوسیله این ابزار میتوانید پسوردهای Hash شده را Decode کرده و آنها استخراج کنید.
در طی کلاس و همچنین گروه تلگرامی مربوط به دوره بحث متنوعی در خصوص این ابزار و سناریوهای مربوط به آن انجام شد.
تمرین + فضای شاد و صمیمی
اما همانگونه که در ابتدای گزارش هم اشاره شد ما ۳۰ دقیقه تمرین کلاسی داشتیم که در آن دو سوال مطرح شده بود. برای حل سوال دانشجویان به گروههای چند نفره تقسیم شدند و سوالات مورد نظر را حل کردند.
فضای صمیمی و خوبی برای حل تمرین بوجود آمده بود. مخصوصاً اینکه هر گروهی زودتر تمرین را حل می کرد برنده بود یک جایزه به آن تعلق میگرفت.
اما در انتها لیست مباحثی که در این جلسه بررسی شد عبارتند از:
۱- آشنایی با نحوه استفاده از Windows Firewall و بررسی تنظیمات مربوط به SQL Server در فایروال
۲- بررسی SSL
۳- بررسی نحوه استفاده از SSL برای کار با SQL Server
۴- بررسی نحوه ساخت Self Sign SSL
۵- بررسی ارتباط Service Account و ارتباط آن با Backupگیری تحت شبکه
۶- بررسی مفهوم Login
۷- بررسی نحوه ساخت Login در SQL Server
۸- بررسی حمله Brute Force
۹- بررسی Password Policy در ویندوز و تاثیر آن بر SQL Server
۱۰- و…
برای کسب اطلاعات بیشتر در مورد امنیت، لطفا سرفصل های دوره امنیت در SQL Server 2016 را مشاهده کنید.
One Comment
مجتبی شهریور
سلام
گزارش دورتون عالی بود