Я помогаю клиенту с незащищенным SQL Server 2005. Он не сдвинется с места при использовании брандмауэра или решения VPN, а их журналы полны признаков атаки методом грубой силы.
Есть ли способ автоматически заблокировать IP-адрес после неудачного входа X в SQL Server 2005?
Нет, по крайней мере, не в SQL Server, потому что SQL Server не отслеживает на основе IP таким образом. IP-адрес отображается в EventData для триггера входа в систему (добавленного в SP2), но триггер входа в систему срабатывает только при успешном событии входа в систему. Неудачный вход в систему не приведет к срабатыванию триггера. Запуск трассировки, в которой вы проводите аудит событий безопасности «Неудачный вход», выявит имя хоста, но его можно подделать, и это не обязательно будет IP.
Не могли бы вы подойти к этому с точки зрения производительности? Каждое из этих неудачных совпадений приводит к тому, что SQL Server устанавливает соединение, что требует затрат ЦП и памяти. Поскольку нет внешнего сетевого устройства для фильтрации этих плохих подключений, сервер и SQL Server не получают той производительности, которую могли бы получить.
Не непосредственно в мире SQL Server. Как насчет изменения порта по умолчанию (1433) на другой номер порта?
Вы предлагали SmoothWall? Это бесплатно, не может быть ничего более экономичного, чем это!
Вам даже не понадобится бежевый ящик, так как вы можете приобрести устройство VMWare.