原文:Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38368737,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

前一篇:http://blog.csdn.net/dba_huangzj/article/details/38332605

前言:

在客户端和服务器互访过程中,授权是会一直保持,通过验证,可以接受或拒绝连接。因为身份验证中包含了地址、密码等信息,如果攻击者拦截了这方面的信息,就会出现授权中继攻击(authentication relay attack),有两种方式可以实现这种攻击,第一种称为:引诱攻击(luring attack),客户端被引诱到攻击者设置的服务器中。第二种称为:欺诈攻击(spoofing attack),也叫中间人攻击,攻击者通过DNS重定向、IP路由等技术拦截客户端和SQL Server之间的信息。

在2009年,微软发布安全报告(Security Advisory 973811),提供了两个机制:service binding(服务绑定) 和 channel binding(通道绑定)。Service-Binding 要求客户端提供已签字的SPN到授权信息中。如果攻击者尝试使用从链接信息中获取的证书或者没有提供已签名的SPN,将不能连接到SQL Server,这个功能对性能影响很少。

Channel binding提供了更高的安全性,但是会有一定的性能影响。通过使用安全传输层协议(Transport Layer Security (TLS)),继承自SSL,可以确保客户端的授权,这种授权使用Channel Binding Token (CBT) ,并且加密。

实现:

1、打开SQL Server配置管理器,在SQL Server网络配置节点,右键实例对应的协议,打开【属性】窗口并选中【高级】标签:

2、如果客户端支持【扩展保护】,选择下图中的:【必须】,否则,选择【允许】:

3、如果SQL Server服务属于某些SPN,把这个名字添加到【接受的NTLM SPN】中,以分号分开:

4、如果想启用Channel Binding Protection,并且强制所有连接加密,可以到【标志】标签中,把【强制加密】设为【是】,如果加密不需要强制,仅Service Binding会开启。

原理:

当在SQL Server配置管理器中启用【扩展保护】,可以选择对支持这种功能的客户端启用,也可以强制所有连接使用,Win 7和Windows Server 2008 R2已经内置了【扩展保护】,要为其他客户端启用,需要安装一个补丁:http://support.microsoft.com/kb/968389

更多:

更详细的信息可以访问:http://msdn.microsoft.com/zh-cn/library/ff487261.aspxhttp://blogs.technet.com/b/srd/archive/2009/12/08/extended-protection-for-authentication.aspx

下一篇:http://blog.csdn.net/dba_huangzj/article/details/38398813

Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击的更多相关文章

  1. Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证

    原文:Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证 原文出处:http://blog.csdn.net/dba_huan ...

  2. Chapter 1 Securing Your Server and Network(3):使用托管服务帐号

    原文:Chapter 1 Securing Your Server and Network(3):使用托管服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  3. Chapter 1 Securing Your Server and Network(8):停止未使用的服务

    原文:Chapter 1 Securing Your Server and Network(8):停止未使用的服务 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  4. Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse

    原文:Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse 原文出处:http://blog.csdn.net/dba_h ...

  5. Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙

    原文:Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙 原文出处:http://blog.csdn.net/dba_hu ...

  6. Chapter 1 Securing Your Server and Network(5):使用SSL加密会话

    原文:Chapter 1 Securing Your Server and Network(5):使用SSL加密会话 原文出处:http://blog.csdn.net/dba_huangzj/art ...

  7. Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号

    原文:Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  8. Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号

    原文:Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号 原文出处:http://blog.csdn.net/dba_huan ...

  9. Chapter 1 Securing Your Server and Network(1):选择SQL Server业务经理

    原版的:http://blog.csdn.net/dba_huangzj/article/details/37924127  ,专题文件夹:http://blog.csdn.net/dba_huang ...

随机推荐

  1. SVN的switch命令

    语法就不说了,文档有的是,主要是两个常用的用法: . 切换资源库(svn sw --relocate) [plain] view plaincopy svn sw --relocate <fro ...

  2. 用XAML做网页!!—页头

    原文:用XAML做网页!!-页头 接续上次进度,我们此次来制作页头. 首先要实现两侧边缘的美化,如下图所示: 在边缘处有一层朦胧的亮度反光效果,这也是通过简单的渐变实现的,而且我们在后面的每个区块中都 ...

  3. linuxserver启动过程

    随着Linux的应用日益广泛.特别是在网络应用方面,有大量的网络server使用Linux操作系统.因为Linux的桌面应用和Windows相比另一 定的差距.所以在企业应用中往往是Linux和Win ...

  4. jQuery上传插件Uploadify 3.2在.NET下的详细例子

    项目中要使用Uploadify 3.2来实现图片上传并生成缩略通的功能,特此记下来,以供各位参考! Uploadify下载地址:http://www.uploadify.com/download/ 下 ...

  5. SSL与TLS的区别以及介绍(转)

    SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层.SSL通过互相认证.使用数字签名确保完整性.使用加密确保私密性,以实现客户 ...

  6. 设计模式之迭代器模式(Iterator)摘录

    23种GOF设计模式一般分为三大类:创建型模式.结构型模式.行为模式. 创建型模式抽象了实例化过程,它们帮助一个系统独立于怎样创建.组合和表示它的那些对象.一个类创建型模式使用继承改变被实例化的类,而 ...

  7. sed中求公共前缀

    string1="test toast" string2="test test" printf "%s\n%s\n" "$stri ...

  8. cocos2d 创建一个黑白纹理

    @interface myGrayTexture : CCTexture2D // @param exposure 曝光 +(id) textureWithFile:(NSString*) file ...

  9. Visual Studio Tips: How to change project namespace

    /* Author: Jiangong SUN */ If you want to modify a project's namespace and its physical container na ...

  10. lucas定理解决大组合数取模

    LL MyPow(LL a, LL b) { LL ret = ; while (b) { ) ret = ret * a % MOD; a = a * a % MOD; b >>= ; ...