제 11 회 sql 고급과정 세미나 sql server 보안 핵심만 알면 확 달라진다

제 11 회 SQL 고급과정 세미나 ] SQL Server 보안 핵심만 알면 확 달라진다

제제 1111 회 회 SQL SQL 고급과정 세미나고급과정 세미나 SQL Server SQL Server 보안 핵심만 알면 확 달라진다 보안 핵심만 알면 확 달라진다

차주언 차주언 : : 웹타임 웹타임 SQL SQL 전임강사전임강사MCT/MCDBA/MCSEMCT/MCDBA/MCSE


차례차례

보안은 어디서 부터 시작 해야할까요 보안은 어디서 부터 시작 해야할까요 ? ? - - 보안이란 무엇이며 왜 하는가보안이란 무엇이며 왜 하는가 ? ? - - 그 보안의 범위는 어디까지 일까그 보안의 범위는 어디까지 일까 ??- - 보안의 적용방법은 해결방안은보안의 적용방법은 해결방안은 ? ?

침입자는 어디에서 어떤 활동을 하고 있는가 침입자는 어디에서 어떤 활동을 하고 있는가 ? ? 감사로 알아보자감사로 알아보자 ! ! - SQL Server - SQL Server 인스턴스 레벨 감사인스턴스 레벨 감사- SQL Server - SQL Server 데이터베이스 레벨 감사 데이터베이스 레벨 감사

( 2:00 ~ 3:00 )( 2:00 ~ 3:00 )

Coffee BreakCoffee Break( 3:00 ~ 3:10 )( 3:00 ~ 3:10 )


차례 계속차례 계속

보안 레벨별로 보안을 적용해보자보안 레벨별로 보안을 적용해보자 . .

- - 운영체제 레벨운영체제 레벨- SQL SQL Server - SQL SQL Server 서버 인스턴스 레벨서버 인스턴스 레벨- SQL Server - SQL Server 데이터베이스 레벨데이터베이스 레벨- T-SQL - T-SQL 레벨 레벨

( 3:10 ~ 4:00 )( 3:10 ~ 4:00 )


보안은 어디서 부터 시작 해야할까요보안은 어디서 부터 시작 해야할까요 ??

[Session 1 - 02:00 ~ 03:00][Session 1 - 02:00 ~ 03:00]

보안을 책임지고 있는 사람은 약간의 편집적인 성향을 보안을 책임지고 있는 사람은 약간의 편집적인 성향을 가지고 매사를 꼼꼼하게 준비해야 합니다가지고 매사를 꼼꼼하게 준비해야 합니다 . . 불시 발생하는 일련의 사태에 항상 대비해야 합니다불시 발생하는 일련의 사태에 항상 대비해야 합니다 ..


보안이란보안이란 ? – ? – 보안의 목표보안의 목표

신용신용 안전성안전성 이용가능성이용가능성

SQL Server


보안이란보안이란 ? – ? – 기본 요소기본 요소

유일성유일성 - - 누가 누구인가누가 누구인가 ?? 암호암호 - - 각각의 사용자는 자신의 암호를 가진다각각의 사용자는 자신의 암호를 가진다 인증인증 - - 권한 없는 사용자는 억세스할 수 없다권한 없는 사용자는 억세스할 수 없다 신용신용 - - 오직 허가받은 사용자만 사용가능하다오직 허가받은 사용자만 사용가능하다 무결성무결성 - - 데이터는 변형되거나 분실되지 않는다데이터는 변형되거나 분실되지 않는다


보안이란보안이란 ? – ? – 위험 요소위험 요소

사람사람 - - 실수실수 SQL SQL 설정설정 ,, 관리관리 - - 시스템적인 미비시스템적인 미비 네트워크네트워크 - - 각종 결함각종 결함 ,, 기타 공격기타 공격 물리적환경물리적환경 - - 안전하지 못한 장소의 서버위치외안전하지 못한 장소의 서버위치외 재해재해 - - 화재화재 ,, 수재수재 ,, 테러등등테러등등


보안이란보안이란 ? – ? – 적용방법적용방법 (( 싸이클싸이클 ))

디자인디자인 테스트테스트 운영운영 협력협력 // 지원지원


데모 – 데모 – SQLSQL 서버 로그인 성공서버 로그인 성공 // 실패추적 실패추적 C2C2 감사모드 감사모드 : SQL: SQL 서버에 접속하는 사용자 추적서버에 접속하는 사용자 추적

sp_configure 'show advanced option', 1sp_configure 'show advanced option', 1reconfigurereconfigure

sp_configure 'c2 audit mode',1sp_configure 'c2 audit mode',1reconfigurereconfigure

Mssql\Data Mssql\Data 폴동 폴동 trctrc 파일파일 (( 감사파일감사파일 )) 을 남긴다을 남긴다(200MB)(200MB)audittrace audittrace 파일이 생성된다파일이 생성된다


데모 – 객체 사용 감사데모 – 객체 사용 감사User Database

E-mail MessageE-mail MessageFrom: SQL ServerTo: Account ManagerSubject: Error Number 50099고객 732 가 누군가에게 삭제되었다

msdb Database고객테이블고객테이블CustomerID LastName ...731 Harui ...732 van Dam ...733 Niikkonen ...732 van Dam ...

Raise ErrorRaise Error5009950099

with Logwith Log

고객데이터 삭제고객데이터 삭제

sysalerts Tablesysalerts Tableid name15 50099

...

...

sysnotifications Tablesysnotifications Tablealert_id operator_id15 12 ... ...

...

...

...sysoperators Tablesysoperators Tableid name12 Account Manager ... ...

...

...

...


Break TimeBreak Time

3:00 ~ 3:103:00 ~ 3:10


보안 레벨별로 보안을 적용해보자보안 레벨별로 보안을 적용해보자 ..

[Session 2 - 03:10 ~ 04:00][Session 2 - 03:10 ~ 04:00]


Session 2 Session 2 차례차례 운영체제 레벨운영체제 레벨 SQL SQL Server SQL SQL Server 서버 인스턴스 레벨서버 인스턴스 레벨 SQL Server SQL Server 데이터베이스 레벨 데이터베이스 레벨 T-SQL T-SQL 레벨레벨


운영체제 레벨운영체제 레벨 하드웨어 스펙 문서화하드웨어 스펙 문서화 (( 안정된 버전 구비안정된 버전 구비 )) OS OS 의 안전한 설치 의 안전한 설치 (SlipstreamedCD)(SlipstreamedCD) 최신 서비스팩및 보안패치의 확보최신 서비스팩및 보안패치의 확보 사용하는 윈도우 구성요소만 설치 사용한다사용하는 윈도우 구성요소만 설치 사용한다


Demo – Demo – 운영체제 레벨 보안강화운영체제 레벨 보안강화

네트워크 연결전에 하는 최신패치 방법네트워크 연결전에 하는 최신패치 방법- - 네트워크가 분리된 상태에서 네트워크가 분리된 상태에서 CDCD 롬으로 설치롬으로 설치- - 관련도구 관련도구 : :

hfnetchk, Microsoft Baseline Security hfnetchk, Microsoft Baseline Security AnalyzerAnalyzer

일반적으로 알려진 미사용 응용서비를 사용안함 설정함일반적으로 알려진 미사용 응용서비를 사용안함 설정함- (- ( 윈도우윈도우 2000 VS 2000 VS 윈도우 윈도우 2003)2003)


SQLSQL 서버 레벨서버 레벨 인증모드인증모드 서버 로그인 계정서버 로그인 계정 (Server logins)(Server logins) 서버 역할서버 역할 (Server roles)(Server roles) AGDLPAGDLP 사용 프로토콜사용 프로토콜 ,, 포트 설정포트 설정 SaSa 계정보안계정보안


Demo – SQLDemo – SQL 서버레벨 보안강화서버레벨 보안강화 (1)(1)

사용 프로토콜사용 프로토콜 ,, 포트 설정포트 설정


Demo – SQLDemo – SQL 서버레벨 보안강화서버레벨 보안강화 (2)(2)

SaSa 계정의 보안계정의 보안-- SaSa 계정 암호는 왜 노출되면 안되는가계정 암호는 왜 노출되면 안되는가 ??

Xp_cmdshell 'net user testuser /ADD'Xp_cmdshell 'net user testuser /ADD'Xp_cmdshell 'net localgroup Administrators Xp_cmdshell 'net localgroup Administrators testuser /ADD'testuser /ADD'

-- 노출막으려면 노출막으려면 sasa 의 암호는 복잡성을 만족하게 하고 다른 의 암호는 복잡성을 만족하게 하고 다른 sysadmin sysadmin 계정을 사용한다계정을 사용한다


데이터베이스 레벨데이터베이스 레벨 유저 계정 과 역할유저 계정 과 역할 (User accounts and roles)(User accounts and roles) 데이터베이스 권한데이터베이스 권한 객체 권한객체 권한 Guest Guest 계정의 제거계정의 제거


데모 – 데모 – northwind northwind 와 와 pubspubs 데이터베이스 권한 소개데이터베이스 권한 소개 객체 권한 소개객체 권한 소개 Guest Guest 권한의 위험성 안내권한의 위험성 안내


T-SQL T-SQL 레벨레벨 뷰와 저장프로시저를 사용한 보안뷰와 저장프로시저를 사용한 보안 암호화암호화


Demo – Demo – 저장프로시저저장프로시저 ,, 뷰뷰 (( 암호화암호화 ))

EmployeesEmployeesEmployeeID123

LastNameDavolioFullerLeverling

FirstName NancyAndrewJanet

ReportsTo2

2

...

SELECT * FROM Employees

EXEC Employee_Update 1, 9

SELECT * FROM Employee_View


요약요약 보안은 항상 준비하고 있어야한다보안은 항상 준비하고 있어야한다-- 운영체제 레벨운영체제 레벨-- SQL SQL Server SQL SQL Server 서버 인스턴스 레벨서버 인스턴스 레벨-- SQL Server SQL Server 데이터베이스 레벨 데이터베이스 레벨 - T-SQL T-SQL 레벨레벨 (Application Level)(Application Level)

++

마인드마인드 !(!( 멍청함에 패치는 없다멍청함에 패치는 없다 ))


감사합니다감사합니다Break TimeBreak Time

3:00 ~ 3:103:00 ~ 3:10

제 11 회 sql 고급과정 세미나 sql server 보안 핵심만 알면 확 달라진다

Documents