У нашего нового клиента есть устаревшее веб-приложение на Win Server 2008 R2, и когда мы начали диагностировать журналы событий, то обнаружили, что несколько IP-адресов в Китае пытались подключиться как к его учетной записи sa sql, так и к RDP-серверу (каждые 2 или 3 секунды в течение нескольких дней подряд).
Итак, для краткого разъяснения: 1) Веб-приложение не использует учетную запись sa, а пароль sa безопасен (и не тривиален). 2) SQL-сервер находится на том же компьютере (в ближайшем будущем), что и веб-приложение. 3) Мы уже внесли в черный список все IP-адреса, вызывающие нарекания, но эти ребята уже не остановятся, и на самом деле им обычно требуется всего несколько часов, чтобы получить новый IP-адрес.
Поскольку я разработчик, а мы обычно используем Azure, чтобы избежать некоторых проблем с инфраструктурой, некоторые из этих вещей для меня немного в новинку, и я сначала хотел посмотреть, нет ли каких-то очевидных передовых практик, которые мы упускаем.
Во-вторых, и в самом центре заголовка, есть ли возможность автоматизировать правила IPSec? Поскольку единственной причиной, по которой может быть ссылка на недействительную попытку входа в учетную запись sa, будет попытка взлома, могу ли я настроить что-то, что скажет: «если вы видите сообщение в журнале событий с надписью «Была недействительная попытка входа с пользователем „sa“», то это попытка взлома, и добавьте нарушающий IP-адрес в черный список».