[B]
[/B]ابزارهایی ارایه شده*اند که با بکارگیری آنها می توان یک SQL Server امن داشت. ضمناً ابزارهای حمله بسیاری نیز وجود دارند که آشنائی با آنها می*تواند دید خوبی در رابطه با امنیت SQL Server و جلوگیری از آسیب*های آن بوجود آورد.
[B]۱. مقدمه
[/B] در دو بخش زیر خلاصه*ای درباره ی بعضی از ابزارهای حمله و نیز دفاع، ارایه خواهد شد.
[B]۲. ابزارهای حمله[/B]
ForceSQL نسخه ۲.۰
این ابزار برای بدست آوردن رمز عبور یک SQL Server استفاده می¬شود. ForceSQL دارای ویژگی¬های زیر است:
▪ کنترل و راهبری آسان آن در خط فرمان
▪ اجرای حمله دیکشنری ۱
▪ اجرای حمله فراگیر ۲
▪ بکارگیری درگاهی به غیر از درگاه ۱۴۳۳
[B]● SQLDict[/B]
این ابزار که در سطر فرمان تمامی ویندوزها قابل اجرا است، تدارک یک حمله دیکشنری علیهSQL Server را می دهد. جهت بکارگیری آن باید IP ماشین هدف، شناسه*ی کاربری که می*خواهید رمز او را به دست آورید و فایلی که حاوی رمزهای عبور برای چک کردن می باشد را مشخص کنید.
[B]● CPMdeamon[/B]
این برنامه که در محیط لینوکس نوشته شده است، یک کد CGI را اجرا می*کند و اجازه¬ی عوض کردن رمز عبور را از راه دور می دهد.
[B]● SQLScanner.exe[/B]
این ابزار که در سطر فرمان ویندوز اجرا می شود، یک محدوده آدرس IPاز نوع کلاس B(XXX.XXX) و نام یک فایل خروجی را به عنوان پارامتر می گیرد، و سپس محدوده را جستجو کرده و IP¬هایی را که دارای Sql Server هستند مشخص می نماید و در فایل خروجی لیست می کند. این ابزار قادر به شناسایی SQL Serverهایی که از درگاه استاندارد ۱۴۳۳ استفاده نمی کنند نیز می باشد.
[B]● SqlPing.exe[/B]
این برنامه ی سطر فرمان ویندوز، اطلاعات مفیدی (نظیر نام سِرور، شماره ی نسخه ، شماره ی درگاه و ....) در مورد یک SQL Server نصب شده بر روی یک IP خاص ارائه می دهد.
[B]● NGSSQLCrack[/B]
NGSSQLCrack ابزاری است که جهت شکستن رمز عبور در SQL Server ۷ و ۲۰۰۰ بکار گرفته می شود.
[B]۳. ابزارهای دفاع[/B]
[B]● SQL Critical Update[/B]
SQL Critical Update بسته*ای نرم*افزاری است که توسط شرکت مایکروسافت ارائه شده و شامل اجزای زیر است:
▪ SQL Critical Update: که در آن یک وصله ی امنیتی برای نسخه*هایی از SQL Server ۲۰۰۰ و MSDE ۲۰۰۰ که در برابر کرم Slammer آسیب*پذیرند قرار داده شده است.
▪ SQL Scan: با استفاده از این ابزار می توان یک کامپیوتر، یک دامنه* و یا محدوده*ای از آدرس ها را برای یافتن یک نسخه ی نصب شده از SQL Server ۲۰۰۰ یا MSDE ۲۰۰۰ که در برابر کرم Slammer آسیب*پذیر است، کنترل نمود.
▪ SQL Check: با استفاده از این ابزار می توان یک کامپیوتر را برای یافتن نسخه های آسیب*پذیرSQL Server ۲۰۰۰ یا MSDE ۲۰۰۰ در برابر کرم Slammer، چک کرد.
[B]● (Microsoft Baseline Security Analyzer (MBSA[/B]
یک ابزار مجانی ارائه شده از سوی مایکروسافت میباشد که قادر است یک کامپیوتر دارای ویندوز را در برابر وجود پیکربندی*های اشتباه و یا به روز نبودن نرم*افزارها بر اساس آخرین بهنگام سازی های امنیتی ارایه شده، چک کند.
[B]● SQLLiteSpeed[/B]
SQL LiteSpeed یک نرم*افزار پیشرفته برای تهیه ی پشتیبان از بانک های اطلاعاتی SQL Server، در قالب فایل های رمزنگاری شده است.
[B]● EnforcePass[/B]
بسیاری از حملات بر اساس کشف کلمات عبور ضعیف و قابل حدس انجام می گیرند. این ابزار که در واقع یک تابع است، با توجه به معیارهای زیر، از بکارگیری کلمات عبور ضعیف توسط راهبر SQL Server و کاربران جلوگیری می کند.
کلمه عبور نباید شامل کلمه شناسه ی عبور باشد.
طول کلمه ی عبور باید بیش از شش باشد.
کلمه ی عبور باید شامل حداقل یک حرف، یک رقم و یک کاراکتر از علایم باشد.
این تابع باید درون رویه*های ذخیره*شده sp_password و sp_addlogin موجود در SQL Server قرار گیرد.
[B]● AppDetective. for Microsoft SQL Server [/B] این نرم*افزار یک ابزار برای برآورد کردن میزان امنیت برنامه*های کاربردی موجود در شبکه ی شماست.
[B]● NGSSQuirreL[/B]
NGSSQuirreL یک ابزار بررسی امنیت برنامه* است که مخصوص Microsoft SQL Server طراحی شده است