Microsoft SQL Server 2012 bezbednost i praktični primeri

Microsoft SQL Server 2012 security and practical examples

Apstrakt: U radu su prikazane mogućnosti Microsoft SQL Ako dođe do upada u servis, napadač stiče prava na sistemu
Server platforme u oblastima bezbednosti, kriptografije koja ima servis čime mu olakšavamo posao.
podataka, praćenja aktivnosti i automatizacije
administrativnih zadataka. Sve mogućnosti su
Prilikom instalacije SQL Servera automatski se nude novi
demonstrirane kroz primere TSQL koda.
različiti nalozi za svaki od njih, a sama instalaciona
Ključne reči: Microsoft SQL Server, bezbednost, procedura će napraviti naloge i podesiti minimalni set
kriptografija, administracija potrebnih prava kako bi servisi ispravno funkcionisali.
Da bi iskoristili ovu mogućnost instalacionog programa,
Abstract: This paper presents the capabilities of Microsoft moramo ga pokrenuti u bezbednosnom kontekstu lokalnog
SQL Server platform in the areas of security, ili domenskog administratora ako želimo da napravi
cryptography, monitoring activities and administrative
domenske naloge.
tasks automating. All features are demonstrated through
TSQL code examples.
U slučaju da ima potrebe da se nalozi ručno kreiraju i
Keywords: Microsoft SQL Server, security, cryptography, podese potrebna prava pre instalacije SQL Servera,
administration informacije o neophodnim pravima svakog naloga se
nalaze na MSDN sajtu „Configure Windows Service
1. UVOD Accounts and Permissions“ [link].
Rad je nastao kao rezultat više projekata instalacije,
Nalozi koje koriste servisi se mogu naknadno promeniti
administracije i održavanja Microsft SQL Servera, sa
preko “Sql Server Configuration Manager” alata koji
posebnim naglaskom na verziju 2012. Namena rada je da
dolazi uz SQL Server ili pomoću Services apleta u okviru
administratorima i programerima pruži uvid u mogućnosti
Administrative tools grupe na Windows računaru:
platforme i dobru praksu u oblastima bezbednosti servisa,
podataka i automatskih notifikacija.
Pre svega treba se upoznati sa ključnim MS SQL Server
Slika 1: Sql Server Configuration Manager
platformom i servisima koji je čine:

1. Database engine – osnovni servis koji predstavlja

relacionu bazu podataka
2. Analysis servis – servis koji služi za analitičko
procesiranje podataka, multidimensional upite i
analize.
3. Reporting servis – kreiranje izveštaja, integracija sa
SharePoint platformom.
4. Integration servis – ETL (Extract Transform & Load)
funkcionalnosti za razmenu i transformaciju podataka.
5. Ostali servisi i funkcionalsti: replikacija, full-text
pretraga, Data Quality servis i Master Data servis.

Većina servisa zahteva nalog pod kojim će se prijaviti na

sistem (lokalni kompjuter ili domen) gde se instalira.
Najčešće se koristi lokalni nalog koji pripada lokalnoj
Administrators grupi, a česte su situacije gde se koristi
nalog koji pripada Domain Admin grupi. Obe varijante
(posebno druga), su veoma opasne i treba ih izbegavati.
2. AUTENTIFIKACIJA I AUTORIZACIJA
Autentifikacija je proces predstavljanja/identifikacije
korisnika nekom sistemu na osnovu koga sistem
dozvoljava ili ne dozvoljava pristup svojim resursima.
Autorizacija je proces dodele prava autentifikovanom
korisniku. Određuje koje resurse može koristiti i na koji
način.
SQL Server poznaje dva načina autentifikacije:
1. SQL Server autentifikacija gde SQL Server vrši
autentifikaciju korisnika korišćenjem
name/password para. Mora se koristiti u mrežama bez
domena ili za pristup serveru koji je publikovan na
javnom Webu direktno preko TCP/IP protokola. Može
se naravno koristiti i u mrežama koje imaju domen ali
tada je bolje koristiti drugi način autentifikacije.
2. Windows autentifikacija (takođe od ranije poznata
po imenima Trusted i Integrated), gde autentifikaciju
vrši Windows domain. SQL server administrator
određuje koje domenske grupe i korisnici mogu da se
autentifikuju na SQL server, pa na taj način SQL
Server „veruje“ (trust) Windows sistemu
autentifikacije. Ovo je preporučljiv vid autentifikacije
na SQL Server jer se koriste napredni Windows
mehanizmi, smart kartice, domenske polise i slično.
Aktivni način autentifikacije, kao i opcije praćenja
logovanja se postavljaju preko Server properties dijaloga:
Slika 2: Server properties dialog – Security sekcija
Kod obe vrste autentifikacije korisnici se upisuju u
sistemsku tabelu čiji sadržaj možemo videti (ne i menjati),
preko view-a sys.syslogins koji enkapsulira podatke:
SELECT * FROM sys.syslogins
Kolona „password“ sadrži HASH passworda u slučaju
SQL Server naloga, odnosno NULL vrednost u slučaju
naloga koji koristi Windows autentifikaciju. U drugom
slučaju password se nalazi u Active Directory bazi, takođe
u HASH obliku.
Autorizacija, odnosno dodela prava autentifikovanim
korisnicima se kasnije odvija nezavisno od načina
autentifikacije i nije predmet ovog rada.
user Preporuke:
 Instalirati samo potrebne servise i time smanjiti
potencijalnu površinu za napad
 Posle instalacije zaustaviti servise koji se još uvek ne
koriste u produkciji
 Gde god je moguće koristiti Windows autentifikaciju
 Ako se mora koristiti SQL Server autentifikacija
postaviti polise za kompleksnost šifre
 Izbrisati ili onemogućiti (disable) guest korisnika u
svakoj bazi:
USE ImeBaze
REVOKE CONNECT FROM [guest]
 Voditi računa o ispravnom korišćenju Public role
 Izmeniti default TCP/IP port (1433)
 Uključiti praćenje logovanja/neuspešnog logovanja na
server
 Voditi računa o potencijalno opasnim naredbama i
mogućnostima: xp_cmdshell, CLR integracija,…
 Ukloniti zaostale logine iz razvojne faze…
 Onemogućiti SQL Server sa administratorski login;
ALTER LOGIN [sa] DISABLE
ili mu promeniti ime:
ALTER LOGIN sa WITH NAME = NovoIme
 Redovno primenjivati ažuriranja i servisne pakete –
manualno, nikako automatski.
 Sarađivati sa razvojnim timom i administratorima
mreže i domena
3. KRIPTOGRAFIJA

Sql Server poseduje sve potrebne opcije vezane za Slika 3: Rezultat poslednjeg HashByte primera gde se
kriptografiju koje su jednostavne za korišćenje. Takođe je prikazuje digest šifre korisnika u drugoj koloni
moguće proširiti postojeće mogućnosti korišćenjem
extended stored procedura pisanih u C++ programskom
jeziku, ali ova opcija će biti uklonjena u sledećim
verzijama Sql Servera. Najbolje je ovo uraditi pomoću
CLR (Common Language Runtime) integracije, odnosno
integracije sa .NET platformom i .NET programskim
jezicima.

Više o CLR integraciji [link]

HASH funkcija

HASH je inreverzibilna funkcija koja za isti ulaz različite

veličine vraća isti izlaz fiksne dužine. Na primer, ako se
uradi HASH email poruke, nezavisno od njene dužine
dobiće se rezultat fiksne dužine – hash (zove se i digest).
Ako primaocu pošaljemo poruku i njen kriptovan hash, on
može da ponovo uradi hash poruke i uporedi ga sa
poslatim. Ako su isti, poruka nije modifikovana. Takođe se
koristi za čuvanje šifara, pa se prilikom logovanja unesena
šifra hash-uje i onda poredi sa sačuvanim hash-om. Taj
sistem koristi SQL Server, Windows security sistem, a
takođe je široko korišćen kod developera prilikom
implementacije aplikativne bezbednosti.
Postoji više HASH funkcija [link], a Sql Server podržava
sve koji se standardno koriste.
TSQL programski jezik poseduje funkciju HashBytes
[link] koja implementira sve podržane HASH funkcije.
Ulazni parametri su tip hash funkcije i string koji treba
„heshovati“. Izlaz je tipa varbinary i predstavlja digest
zadatog stringa. Podržani HASH algoritmi su:
MD2, MD4, MD5, SHA, SHA1, SHA2_256 i SHA2_512
Sledi par primera upotrebe:
Transparent Data Encryption (TDE)
TDE je mehanizam gde Sql Server automatski vrši
enkripciju svih fajlova date baze podataka (data i log).
Služi kao zaštita od fizičke krađe fajlova koji predstavljaju
bazu podataka. Zaštićeni su sertifikatom koji se nalazi u
certificate skladištu domena ili Sql Servera.
Enkripcija se jednom podesi i posle toga je transparentna
za korisnika. Enkripcija se vrši u realnom vremenu i na
raspolaganju su AES_128, AES_192, AES_256 i 3DES
simetrični kripto algoritmi - koriste se simetrični algoritmi
zbog veće brzine u odnosu na asimetrične.
Ne povećava se značajno veličina fajlova koji se kriptuju,
ali se povećava opterećenje procesora zbog potrebe stalne
enkripcije i dekripcije blokova podataka prilikom čitanja,
izmene, dodavanja i brisanja podataka.

SELECT HashBytes ('MD5', 'SQL server 2012') Backup ovakve “TDE enabled” baze je takođe kriptovan i
GO ako želimo da uradimo njen Restore na drugom serveru
SELECT HashBytes ('SHA2_512', 'SQL server 2012') moramo preneti i sertifikat sa originalnog servera. Ako se
GO kreira Mirror TDE baze, on je takođe kriptovan. Isto važi
ukoliko se uspostavi Log Shipping TDE baze ka jednom ili
više target servera.
USE AdventureWorks2012
GO Na sledećem primeru je prikazan postupak postavljanja
SELECT Transparent Data Encryption mehanizma baze podataka
LoginID, AdventureWorks2012:
HashBytes ('SHA2_512', password) AS PwdHash
FROM
HumanResources.Employee
USE master
GO
-- kreiranje master ključa za enkripciju
CREATE MASTER KEY ENCRYPTION BY
PASSWORD = '<Ovde koristiti jaku šifru>'
GO
-- kreiranje sertifikata koga štiti master ključ
CREATE CERTIFICATE MyServerCert WITH
SUBJECT = 'My DEK Certificate'
GO
USE AdventureWorks2012
GO
-- kreira se database ključ za enkripciju
-- koga štiti sertifikat
CREATE DATABASE ENCRYPTION KEY WITH
ALGORITHM = AES_128 ENCRYPTION BY SERVER
CERTIFICATE MyServerCert
GO
-- postavlja se baza da koristi TDE
ALTER DATABASE AdventureWorks2012 SET
ENCRYPTION ON
GO
Kriptovanje pojedinačnih kolona (podataka) u tabeli
Ovaj mehanizam omogućava kriptovanje podataka na
nivou kolone u tabeli Sql Server baze podataka.
Fizički, podaci se skladište u kriptovanom obliku u data
fajlu baze podataka.
Mehanizam je procesno manje zahtevan od predhodnog
TDE jer se ne kriptuje cela baza (odnosno data i log fajlovi)
već tipično samo njen mali deo.
Izuzetno je korisno ako treba zaštiti samo određene
informacije – lične podatke, brojeve platnih kartica i tome
slično.
Postupak je malo složeniji u odnosu na TDE jer se podaci
moraju eksplicitno dekriptovati i enkriptovati –
respektivno funkcije ENCRYPTBYKEY [link] i
DECRYPTBYKEY [link].
Obe funkcije zbog potrebe za brzinom koriste simetrične
ključeve, odnosno algoritme: RC2, RC4, DES, 3DES,
DESX, AES_128, AES_192, AES_256
Kriptovani podatak se u tabeli čuva u varbinary formatu.
Sledi pseudo primer postavljanja i korišćenja ovog
mehanizma:
USE AdventureWorks2012
GO
-- ako ne postoji master ključ, kreirati ga
IF NOT EXISTS
(SELECT * FROM sys.symmetric_keys WHERE
symmetric_key_id = 101)
CREATE MASTER KEY ENCRYPTION BY
PASSWORD =
'23987hxJKL95QYV4369#ghf0%lekjg5k3fd117r$$#194
6kcj$n44ncjhdlj'
GO
-- kreiranje sertifikata za ovu namenu
CREATE CERTIFICATE Sales09
WITH SUBJECT = 'Customer Credit Card Numbers';
GO
-- kreiramo simetrični ključ koji se štiti prethodno
-- kreiranim sertifikatom
CREATE SYMMETRIC KEY CreditCards_Key11
WITH ALGORITHM = AES_256
ENCRYPTION BY CERTIFICATE Sales09;
GO
-- kreiramo varbinary kolonu za čuvanje kriptovanog
-- podatka u postojećoj tabeli Sales.CreditCard
ALTER TABLE Sales.CreditCard
ADD CardNumber_Encrypted varbinary(128);
GO
-- otvaramo simetrični ključ za kriptovanje podataka
OPEN SYMMETRIC KEY CreditCards_Key11
DECRYPTION BY CERTIFICATE Sales09;
-- enkriptujemo podatke u koloni CardNumber
-- korišćenjem ključa CreditCards_Key11
-- čuvamo rezultat u koloni CardNumber_Encrypted.
UPDATE Sales.CreditCard
SET CardNumber_Encrypted =
EncryptByKey(Key_GUID('CreditCards_Key11')
, CardNumber, 1, HashBytes ('SHA1',
CONVERT( varbinary, CreditCardID)));
GO
-- čitanje kriptovanih podataka
-- otvaramo simetrični ključ za dekriptovanje
OPEN SYMMETRIC KEY CreditCards_Key11
DECRYPTION BY CERTIFICATE Sales09;
GO
-- prikazujemo podatke
SELECT CardNumber, CardNumber_Encrypted
AS 'Encrypted card number', CONVERT(nvarchar,
DecryptByKey(CardNumber_Encrypted, 1 ,
HashBytes('SHA1', CONVERT(varbinary,
CreditCardID)))) AS 'Decrypted card number'
FROM Sales.CreditCard;
GO
4. SQL SERVER AUDIT

Sql Server poseduje više metoda za nadgledanje (audit) -- Kreiranje audit-a

aktivnosti i događaja koje se odvijaju na serveru. -- Folder D:\TestAudit mora da postoji
Mogu se pratiti aktivnosti na nivou kompletnog servera ili USE master
na nivou pojedinačnih baza podataka. Preporuka je da se GO
optimalno postave filteri koji sužavaju tipove aktivnosti i CREATE SERVER AUDIT TestAudit
objekata nad kojima se te aktivnosti prate. TO FILE
U suprotnom će biti generisana velika količina audit ( FILEPATH = 'D:\TestAudit'
informacija koja može biti praktično nemoguća za analizu. ,MAXSIZE = 0 MB
Upis audit aktivnosti se može vršiti u sistemski event log, ,MAX_ROLLOVER_FILES = 2147483647
u datoteku fajl sistema ili Sql Server tabelu. Preporuka je ,RESERVE_DISK_SPACE = OFF
ovo drugo ili treće, opet zbog mogućeg velikog obima )
generisanih podataka. WITH
Ako sigurnosne polise u kompaniji mandatorno zahtevaju ( QUEUE_DELAY = 1000
vođenje audit informacija, moguće je postaviti opciju da se ,ON_FAILURE = SHUTDOWN
u slučaju nedostatka audita SqlServer automatski ugasi: )
GO
ON_FAILURE=SHUTDOWN

Slika 4: Šema audit mehanizma -- Kreiranje server audit specifikacije za BACKUP &
-- RESTORE operacije na serveru
USE master
GO
CREATE SERVER AUDIT SPECIFICATION
ServerAuditSpecifikacija
FOR SERVER AUDIT TestAudit
ADD (BACKUP_RESTORE_GROUP)
GO

-- Kreiranje database audit specifikacije za Delete

-- naredbu nad tabelom Customers
USE Northwind
GO
CREATE DATABASE AUDIT SPECIFICATION
DatabaseAuditSpecifikacija
Sledi primer postavljanja dva audit mehanizma: FOR SERVER AUDIT TestAudit
ADD
1. Praćenje BACKUP i RESTORE operacija na nivou (DELETE ON OBJECT::[dbo].[Customers] BY [public])
Sql Server instance – odnosi se na sve baze podataka, GO
uključujući i sistemske.

2. Kreiranje audit mehanizma na nivou baze Northwind,

tabela Customers, prati se DELETE operacija za sve
korisnike (public rola Northwind baze).

Za oba audita se automatski kreiraju fajlovi u folderu

D:\TestAudit.
U slučaju da audit prestane da funkcioniše, izvršiće se
automatski SHUTDOWN Sql Server instance.
Ako dođe do takve situacije, neophodno je postaviti
parametar –m u komandnoj liniji koja pokreće Sql Server.
5. PRAĆENJE AKTIVNOSTI KORISNIKA
Za praćenje aktivnosti korisnika se na osnovnom nivou
koriste events i extended events mehanizmi. Oni se
postavljaju preko TSQL naredbi i slično audit sistemu
mogu događaje upisivati u datoteku, Sql tabelu ili sistemski
log.
Zarad lakše administracije i korišćenja postoji aplikacija
SQL Server Profiler koja nudi GUI jednostavan za
upotrebu, a oslanja se na pomenute mehanizme.
Profiler se postavlja između Sql Servera i klijenata koji mu
pristupaju. Kreira se trace u kome se definiše koji događaji
se prate i filteri. Na primer, želimo pratiti sve pozive stored
procedura nad određenom bazom pod uslovom da njihovo
izvršavanje traje više od 10 sekundi.
Zahvaljujući velikom broju ponuđenih događaja i filtera
moguće je precizno podesiti trace i dobiti potrebne
informacije vezane za performanse, bezbednost ili bilo šta
drugo što treba ispratiti na Sql Serveru.
Treba računati na dodatno opterećenje servera koga
pratimo, te je preporuka da informacije o praćenju ne
snimamo na njega već na neki drugi server u mreži, kao što
je prikazano na sledećoj slici:
Slika 5: Preporučena Sql Server Profiler šema
Slika 6: Pregled RPC (Remote Procedure Call) događaja u
Sql Server Profiler-u
6. AUTOMATSKE NOTIFIKACIJE
Automatskim notifikacijama upravlja servis Sql Server
Agent. Zadužen je za automatizaciju poslova, praćenje
događaja i notifikacije administratorima. Omogućava
proaktivnu administraciju, odnosno uočavanje
potencijalnih problema i pokušaja upada u sistem pre nego
što se zaista dogode.
Koristi Database mail sistem kako bi preko SMTP email
servera slao notifikacije. Notifikacije mogu biti rezultat
definisanih događaja na Sql Serveru ili rezultat izvršavanja
automatizovanih job-ova kao što su Backup, ETL i slični.
Konfiguracija i metapodaci ovog servisa se čuvaju u
sistemskoj bazi podataka MSDB.
Konfiguracija ovog servisa se može postaviti preko SQL
Server Management studija.
Slika 7: Konfiguracija Sql Server Agent servisa
Slika 8: Šema funkcionisanja Sql Server Agent servisa
7. ZAKLJUČAK - Osnovne akcije za obezbeđenje i
nadgledanje SQL Servera
 Koristiti posvećeni server (ili Virtualni Server)
za SQL instalaciju
 Prvo obezbediti operativni sistem, pa potom i
Sql Server
 Kontrolisati admin pristup serveru i bazama
podataka
 Kriptovati podatke između klijenta i SQL
servera ako to zahteva polisa firme
 Uvek kriptovati poverljive podatke u bazi
 Smanjiti potencijalnu površinu napada
isključivanjem servisa i opcija koje nisu
potrebne
 Koristititi Windows režim autentifikacije gde
god je moguće
 Raditi redovni audit servera i akcija koje se
sprovode nad podacima i objektima
 Postaviti automatske notifikacije za kritične
operacije
 Regularno primenjivati unapređenja i servisne
pakete
 Proveravati da li su desk top aplikacije, web i
mobilne aplikacije i ostale, koje koriste Sql
Server u skladu sa bezbednosnim polisama
REFERENCE
[1] MSDN: Sql Server accounts and permissions:
http://msdn.microsoft.com/en-
us/library/ms143504(v=sql.110).aspx
[2] SQL Server CLR Integration:
http://msdn.microsoft.com/en-
us/library/ms254498(v=vs.110).aspx
[3] Hash funkcije:
http://en.wikipedia.org/wiki/List_of_hash_functions
[4] HASHBYTES (Transact-SQL)
http://msdn.microsoft.com/en-
us/library/ms174415(v=sql.110).aspx
[5] ENCRYPTBYKEY (Transact-SQL)
http://msdn.microsoft.com/en-
us/library/ms174361(v=sql.110).aspx
[6] DECRYPTBYKEY (Transact-SQL)
http://msdn.microsoft.com/en-
us/library/ms181860(v=sql.110).aspx