گزارش جلسه سوم: دوره امنیت در SQL Server + تمرین

جلسه سوم دوره امنیت در SQL Server 2016 با موفقیت برگزار گردید. در این جلسه مباحث خوبی در خصوص امنیت Sessionها و همچنین مباحث مربوط به Login و Fixed Server Roleها و… بررسی گردید.

 
همانند جلسه قبل در طی این جلسه چندین سناریو مفید برای دوستان ارائه گردید که در ادامه به برخی از آنها اشاره شده است

 
۱- سناریو استفاده از IPSEC : در طی این سناریو با استفاده از این ویژگی Packetهای ارسالی به SQL Server و همچنین دریافتی از SQL Server به صورت Encrypt شده در می‌آیند به طوری که اگر یک هگر بخواهد با استفاده از ابزارهایی مانند Kali، Wireshak و… این Packetها را آنالیز کند با داده‌های Encrypt شده مواجه خواهد شد.

 
۲- سناریو غیر فعال شدن SA و نحوه دسترسی به SQL Server : معمولاً توصیه ما به DB Adminها این است که لاگین SA را غیر فعال + تغییر نام دهند تا هکرها نتوانند از آن سئو استفاده کنند. اما حالتی را در نظر بگیرید که شما هیچ راهی برای لاگین کردن به SQL Server ندارید. شاید راهی که به ذهن شما می‌رسد این باشد که SQL Server را از دوباره نصب کنیم اما در جواب باید گفت که راه حل دیگری هم وجود دارد. در طی این سناریو این راه‌حل به همراه چالش‌های مربوط به آن بررسی گردید.

 
۳- تعریف Fixed Server Roleها به صورت سفارشی : به طور خیلی ساده و ابتدایی Fixed Server Roleها یکسری نقش‌های ثابت هستند که از قبل در SQL Server ایجاد شده و دارای یکسری Permission هستند. ما با تعریف لاگین در SQL Server و عضویت آنها در Server Role می‌توانیم دسترسی‌هایی به ازای لاگین‌ها تخصیص دهیم. اما در مواردی می‌خواهیم دسترسی فراتر از دسترسی Fixed Server Role به لاگین‌هایمان تخصیص دهیم یکی از راه‌حل‌هایی که می‌توان از آن استفاده کرد تعریف Custom Fixed Server Role است. در طی این حالت می‌توانید مراحل زیر را انجام دهید.

۱- Server Role دلخواه خود را تعریف کرده
۲- تخصیص دسترسی‌های لازم به ازای Server Role جدید
۳- عضویت لاگین در Server Role جدید

 
چک لیست ها
ما در طی این دوره چک لیست‌هایی به دانشجویان بابت موضوع‌های مختلف ارائه می‌دهیم. در این چک لیست‌ها نحوه پیکربندی یک ویژگی و… به صورت گام به گام شرح داده شده است. در این جلسه ما Checklist نحوه پیکربندی IPSEC را به دانشجویان ارائه دادیم.

تمرین و مسابقه
در طی این جلسه هم ما ۳۰ دقیقه تمرین اضافی داشتیم. برای تمرین ما سه سوال برای دوستان تعریف کرده بودیم که یکی از گروه‌ها موفق به حل هر سه سوال گردیده و جایزه را به خود تخصیص داد.
حل این تمرین‌ها باعث می‌شود که دوستان با برخی از چالش‌ها در حوزه SQL Server آشنا شده و همچنین با سناریوهایی شبیه به دنیای واقعی آشنا شوند.

اما مباحثی که در این جلسه بررسی شد عبارتند از
۱-آشنایی با IPSEC
۲-آشنایی با نحوه پیکربندی IPSEC در ویندوز
۳-آشنایی با SA
۴-آشنایی با راه‌اندازی سرویس SQL Server به صورت Single User Mode
۵-بررسی Fixed Server Role
۶-بررسی جزئیات مربوط به Fixed Server Role در SQL Server
۷-آشنایی با نحوه تعریف Server Role به صورت سفارشی
۸-و…