Einer unserer neuen Kunden verfügt über eine ältere Webanwendung auf Windows Server 2008 R2 und als wir mit der Diagnose der Ereignisprotokolle begannen, gab es mehrere IPs in China, die versuchten, sowohl auf ihr SA-SQL-Konto zuzugreifen als auch per RDP auf die Box zuzugreifen (alle 2 oder 3 Sekunden, über mehrere Tage hinweg).
Also eine kurze Klarstellung: 1) Die Webanwendung verwendet nicht das SA-Konto und das SA-Passwort ist sicher (und nicht trivial). 2) Der SQL-Server befindet sich (bis auf Weiteres) auf derselben Maschine wie die Webanwendung. 3) Wir haben bisher alle anstößigen IP-Adressen auf die schwarze Liste gesetzt, aber diese Typen werden damit einfach nicht aufhören und tatsächlich brauchen sie normalerweise nur ein paar Stunden, um eine neue IP zu bekommen.
Da ich Entwickler bin und wir normalerweise Azure verwenden, um einige dieser Infrastrukturprobleme zu vermeiden, ist einiges davon etwas neu für mich und ich wollte zunächst sehen, ob es einige offensichtliche Best Practices gibt, die wir übersehen.
Zweitens, und das ist der Kern des Titels, gibt es eine Möglichkeit, die IPSec-Regeln zu automatisieren? Da der einzige Grund, warum ein Hinweis auf einen ungültigen Anmeldeversuch beim SA-Konto vorliegen würde, ein Hackerangriff wäre, könnte ich etwas einrichten, das besagt: „Wenn im Ereignisprotokoll die Meldung ‚Es gab einen ungültigen Anmeldeversuch mit dem Benutzer ‚sa‘, dann handelt es sich um einen Hackerangriff und die betreffende IP-Adresse zur schwarzen Liste hinzufügen.“