poniedziałek, 11 listopada 2013

Punkty końcowe TCP MSSQL 2008 cz.11

Podobnie jak w przypadku firewalla systemu podobne narzędzie posiada MS SQL, dzięki któremu możemy ustawić ograniczenia dostępu do instancji bazy.
Punkt końcowy składa się z 2 elementów:
1) Metody transportu - TCP,HTTP,
2) Ładunek -SOAP,TSQL,Service_Broker,Database_Mirroring

TCP przenosi TSQL,Service_Broker,Database_Mirroring. Natomiast HTTP tylko SOAP.
W ten sposób możemy blokować dostęp do instancji przy pomocy jednego protokołu a udostępniać dla drugiego. Jeżeli pozwolimy TCP dostarczać zapytania TSQL automatycznie blokujemy pozostałe.

Drugim zabezpieczeniem jest tryb działania punktu końcowego. Tak jak każdą inną usługę możemy zatrzymać, wystartować lub całkowicie wyłączyć:



1) Stopped - nasłuchuje czy nie są kierowane do niego połączenia jednak na nie, nie odpowiada.
2) Started - punkt końcowy aktywnie działa - nasłuchuje oraz odpowiada na zapytania,
3) Disabled - punkt końcowy jest całkowicie wyłączy, nie nasłuchuje zapytań o dostęp.

Punkt końcowy oparty o TCP posiada dwa parametry, jeden obowiązkowy jest nim LISTENER_PORT(domyślnym portem jest 1433) ,drugim opcjonalnym jest LISTENER_IP, dzięki czemu możemy ustalić na którym adresie nasza instancja ma nasłuchiwać żądań dla naszej instancji, domyślnie nasłuch ustawiony jest na wszystkie nasze interfejsy sieciowe.

Service_Broker oraz Database_Mirroring wprowadzają możliwość wprowadzenia uwierzytelniania oraz ustawienie szyfrowania. Możemy skorzystać z certyfikatów lub z uwierzytelniania Windows. Jeżeli chcemy skorzystać z uwierzytelnienia systemu Windows musimy wybrać jedną z opcji:

1) NTLM ,
2) Kerberos,
3) Negotiate - instancja sama decyduje jaki typ uwierzytelniania wybrać

Dodatkowo Database_Mirroring posiada 3 parametr ( tego typu punkt końcowy może być tylko 1):

1) Partner - dla głównej lub zdublowanej bazy,
2) Witness -świadek,
3) All - dowolna rola

Tworzenie punktu końcowego:

CREATE ENDPOINT [Mirroring]
AS TCP (LISTENER_PORT = 5022)
FOR DATA_MIRRORING (ROLE = PARNTER,  ENCRYPTION = REQUIRED)
ALTER ENDPOINT [Mirorring] STATE = STARTED;

Tworzony jest punkt końcowy na porcie 5022 dla wszystkich adresów IP, ustawienie opcji PARTNER pozwala jedynie bazom z danej instancji zezwalać na podłączenie z wykorzystaniem szyfrowania RC4.

Z poziomu SQL możemy wylistować informacje o naszych punktach końcowych:

SELECT * FROM sys.endpoints 
SELECT * FROM sys.tcp_endpoints
SELECT * FROM sys.http_endpoints
SELECT * FROM sys.database_mirroring_endpoints
SELECT * FROM sys.service_broker_endpoints



Brak komentarzy:

Prześlij komentarz