Discussion :

[Bernardos]

Je lis tout et son contraire sur l’utilisation de sql server browser et utilisation des ports par défaut ou ports dynamiques vs ports statiques
Je voudrais avoir des avis éclairés sur ce point.

Pour être clair : c'est bien à propos de sécurité que je me pose la question de savoir quand utiliser des ports dynamiqes et quand utiliser des ports statiques(et si oui ou non il faut bloquer les ports TCP 1433 et UDP 1434).

Il y a pour moi une balance à faire entre sécurité et aspect fonctionnel et pratique.
D’après ce que j’ai compris L’idéal est :
La fermeture(ou plutôt la non ouverture ) du port udp 1434 et du port tcp 1433). Ce qui implique forcément que le sql browser ne sert plus à rien. Ce qui va un peu compliquer l’administration des serveurs.
Et Donc obligation de travailler avec des ports statiques .

Ca c’est l’idéal(en terme de sécurité) mais quel est le véritable risque ? est ce qu’il faut faire une différence entre les applications ouvertes à l’extérieur (portail web pour les clients) et les applications complètement fermées de l’extérieur (sur des réseaux isolés et semi isolés)?


merci de votre avis,
cordialement

Loïc

[mikedavem]

Les réponses à tes question se feront surtout en fonction des règles de sécurité de l'entreprise. Il est certain que la sécurité stricte a un prix : elle rend en général plus complexe l'administration.

Mais un sécurité stricte peut se justifier lorsqu'il s'agit de protéger des données réellement sensibles comme pour les banques par exemple (j'ai eu quelques missions où le niveau de sécurité était relativement élevé avec la mise en place du moindre privilège, TDE, contrôle des accès, audits etc ...).

Ca c’est l’idéal(en terme de sécurité) mais quel est le véritable risque ?

Pourquoi ne pas utiliser le port par défaut ou SQL Browser ? Tout simplement pour éviter que n'importe qui scanne ton réseau trouve facilement ton serveur SQL (un petit SQLCMD -L par exemple même si ce n'est pas parfait ou encore via un script PowerShell ou autre outil tiers). En utilisant un port non conventionnel tu peux déjà te prémunir de ce genre d'attaque ou du moins retarder l'échéance ...

est ce qu’il faut faire une différence entre les applications ouvertes à l’extérieur (portail web pour les clients) et les applications complètement fermées de l’extérieur (sur des réseaux isolés et semi isolés)?

Il faut simplement savoir que la plupart des attaques ne proviennent plus de l'extérieur mais de l'intérieur. En effet il est très difficile maintenant d'entrer dans une entreprise depuis l'extérieur alors qu'à l'intérieur il est vrai que dans la plupart des entreprises la sécurité est beaucoup moins présente ... Il n'y a qu'à voir les nombreux cas de fuite de données depuis l'intérieur (via des employés)

++

[Bernardos]

la sensibilité des données varient selon les applications mais il y a effectivement des données ultra sensibles.

merci de ton avis éclairé