Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击
原文:Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击
未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。
前一篇:http://blog.csdn.net/dba_huangzj/article/details/38332605
前言:
在客户端和服务器互访过程中,授权是会一直保持,通过验证,可以接受或拒绝连接。因为身份验证中包含了地址、密码等信息,如果攻击者拦截了这方面的信息,就会出现授权中继攻击(authentication relay attack),有两种方式可以实现这种攻击,第一种称为:引诱攻击(luring attack),客户端被引诱到攻击者设置的服务器中。第二种称为:欺诈攻击(spoofing attack),也叫中间人攻击,攻击者通过DNS重定向、IP路由等技术拦截客户端和SQL Server之间的信息。
在2009年,微软发布安全报告(Security Advisory 973811),提供了两个机制:service binding(服务绑定) 和 channel binding(通道绑定)。Service-Binding 要求客户端提供已签字的SPN到授权信息中。如果攻击者尝试使用从链接信息中获取的证书或者没有提供已签名的SPN,将不能连接到SQL Server,这个功能对性能影响很少。
Channel binding提供了更高的安全性,但是会有一定的性能影响。通过使用安全传输层协议(Transport Layer Security (TLS)),继承自SSL,可以确保客户端的授权,这种授权使用Channel Binding Token (CBT) ,并且加密。
实现:
1、打开SQL Server配置管理器,在SQL Server网络配置节点,右键实例对应的协议,打开【属性】窗口并选中【高级】标签:
2、如果客户端支持【扩展保护】,选择下图中的:【必须】,否则,选择【允许】:
3、如果SQL Server服务属于某些SPN,把这个名字添加到【接受的NTLM SPN】中,以分号分开:
4、如果想启用Channel Binding Protection,并且强制所有连接加密,可以到【标志】标签中,把【强制加密】设为【是】,如果加密不需要强制,仅Service Binding会开启。
原理:
当在SQL Server配置管理器中启用【扩展保护】,可以选择对支持这种功能的客户端启用,也可以强制所有连接使用,Win 7和Windows Server 2008 R2已经内置了【扩展保护】,要为其他客户端启用,需要安装一个补丁:http://support.microsoft.com/kb/968389 。
更多:
更详细的信息可以访问:http://msdn.microsoft.com/zh-cn/library/ff487261.aspx 和http://blogs.technet.com/b/srd/archive/2009/12/08/extended-protection-for-authentication.aspx
下一篇:http://blog.csdn.net/dba_huangzj/article/details/38398813
Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击的更多相关文章
- Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证
原文:Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证 原文出处:http://blog.csdn.net/dba_huan ...
- Chapter 1 Securing Your Server and Network(3):使用托管服务帐号
原文:Chapter 1 Securing Your Server and Network(3):使用托管服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...
- Chapter 1 Securing Your Server and Network(8):停止未使用的服务
原文:Chapter 1 Securing Your Server and Network(8):停止未使用的服务 原文出处:http://blog.csdn.net/dba_huangzj/arti ...
- Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse
原文:Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse 原文出处:http://blog.csdn.net/dba_h ...
- Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙
原文:Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙 原文出处:http://blog.csdn.net/dba_hu ...
- Chapter 1 Securing Your Server and Network(5):使用SSL加密会话
原文:Chapter 1 Securing Your Server and Network(5):使用SSL加密会话 原文出处:http://blog.csdn.net/dba_huangzj/art ...
- Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号
原文:Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...
- Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号
原文:Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号 原文出处:http://blog.csdn.net/dba_huan ...
- Chapter 1 Securing Your Server and Network(1):选择SQL Server业务经理
原版的:http://blog.csdn.net/dba_huangzj/article/details/37924127 ,专题文件夹:http://blog.csdn.net/dba_huang ...
随机推荐
- Replace - with an en dash character (–, –) ?
这个安卓开发过程中eclipse的提示,新浪网友给出这个解决方法:http://blog.sina.com.cn/s/blog_5ea8670101015dgk.html 太笨了. 看看stacko ...
- 自写jquery网页回到顶部效果,渐隐图标,引用js文件就可以
唔.进来开发需求,当网页内容草鸡多的时候,用户就须要有个button高速回到顶部,而不是自己去滚滑轮~ 原本以为比較难的说,由于上头要求所实用js来实现,哪个页面引用,哪个页面显示. 于是乎,本屌丝就 ...
- 静态网页VS动态网页
干<沙朗新闻发布系统>什么时候.我们已经建立的网页.html的,并且.aspx,第一次接触.我认为这些东西是一样的,因为它,在观看ASP.NET视频的时候.听见里面讲课的老师有提到了这两样 ...
- WPF自定义圆形按钮样式资源文件
<ResourceDictionary xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation" x ...
- 【翻译自mos文章】11gR2中的asm后台进程
11gR2中的asm后台进程 參考原文: ASM Background Processes in 11.2 (Doc ID 1641678.1) 适用于: Oracle Database - Ente ...
- TCP closing a connection
client closes socket: clientSocket.close(); step1 :client sends TCP FIN control segment to server st ...
- pygame系列_font游戏字体
在pygame游戏开发中,一个友好的UI中,漂亮的字体是少不了的 今天就给大伙带来有关pygame中字体的一些介绍说明 首先我们得判断一下我们的pygame中有没有font这个模块 1 if not ...
- codeforces 459D - Pashmak and Parmida's problem【离散化+处理+逆序对】
题目:codeforces 459D - Pashmak and Parmida's problem 题意:给出n个数ai.然后定义f(l, r, x) 为ak = x,且l<=k<=r, ...
- cocos2d-x3.0 实现HTTP请求GET、POST
HTTP请求实现 把以下代码拷贝到新创建的project中就能看到效果 HelloWorldScene.h #include "cocos2d.h" /*记得要引头文件*/ #in ...
- Qt 3D研究(九):尝试第二边缘检测方法
Qt 3D研究(九):尝试第二边缘检测方法 三维应用程序,通过FBO.将3D图像渲染成纹理,然后对渲染成的纹理进行图像处理,终于显示在屏幕上的.是风格化后的图案.上一次我使用了一种普通的图像处理方法: ...