Ist das Ändern des SQL Server-Ports wirklich viel sicherer?

Der Standardport von SQL Server ist 1433. Unser Administrator hat mir mitgeteilt, dass der Port "aus Sicherheitsgründen" geändert werden muss.

Ist es wirklich so viel sicherer, den Hafen zu wechseln? Wenn sich der Server hinter einer Firewall befindet und nur Verbindungen von einem bestimmten IP-Bereich zulässt, ist das nicht gut genug?

Dies hilft gegen häufige Port-Scans, die über Port-Scan-Websites initiiert werden können. Aber es hilft nicht gegen einen engagierten Angreifer. Es ist nur eine weitere Ebene, aber wie Sie bereits erwähnt haben, wird über die Firewall nicht viel hinzugefügt.

Wenn Ihre SQL Server direkt mit dem Internet verbunden sind (was nicht der Fall sein sollte), kann dies einen gewissen Schutz bieten, da die meisten allgemeinen Angriffsskripts nur die Standardportnummern verwenden.

Wenn Ihre SQL Server nicht direkt über das Internet erreichbar sind, ist dies ziemlich sinnlos. Jede Firewall muss eine Verbindung zum Remote-Port zulassen. Sobald ich die Client-Software auf dem Computer ausführe, kann ich über den Befehl NET STAT sehen, welchen Port der SQL Server verwendet. An diesem Punkt haben Sie mich genau 2-3 Sekunden verlangsamt.

Anwendungen, die Port 1433 erwarten, werden nicht mehr unterstützt.
Einige Apps können so konfiguriert werden, dass sie damit umgehen. Dies muss jedoch bereitgestellt werden.

Ich würde es einfach verlassen. Wenn sie Ihre Standardinstanz auf Port 1433 "hacken", sind Sie bereits bollixiert.

Sie können den Port für benannte Instanzen angeben, aber dann muss Port 1434 geöffnet werden, um die Instanz in Port aufzulösen.

Hacker scannen häufig IP-Adressen nach häufig verwendeten Ports, daher ist es nicht ungewöhnlich, einen anderen Port zu verwenden, um "unter dem Radar" zu fliegen. Dies dient nur dazu, eine Erkennung zu vermeiden, ansonsten wird die Sicherheit nicht durch die Verwendung eines anderen Anschlusses erhöht.

Wenn nur ein begrenzter IP-Bereich auf den Port zugreifen kann, befinden Sie sich bereits "unter dem Radar", sodass ich keinen guten Grund sehe, einen anderen Port zu verwenden.

Eigentlich ja. Um ein anderes Beispiel zu verwenden, hat der Administrator des Linux-Labors meiner Universität den SSH-Port von 22 auf einen unklaren Wert geändert. Er berichtete, dass das Netzwerk von ~ 10.000 Pings / Angriffen pro Tag auf ungefähr 1 oder 2 pro Monat abfiel. Zugegeben, wenn Sie noch keinen solchen Angriff erleiden, lohnt sich der Aufwand in den meisten Fällen möglicherweise nicht. Indem Sie jedoch zu einem diskreten alternativen Port wechseln, verhindern Sie weitreichende Angriffe auf Sonden und so weiter.

Ich denke, das ist ein zweiteiliges Problem.

1) Gängige Port-Scan-Software versucht möglicherweise zuerst die gemeinsamen Ports, aber es gibt keine besonderen Einschränkungen, wenn alle Ports getestet werden. Sie müssen davon ausgehen können, dass das Protokoll per Fingerabdruck gedruckt werden kann, wenn ein offener Port gefunden wird .

2) Wenn der aggressivere Port-Scan stattfindet, müssen Sie in der Lage sein, ihn zu erkennen und etwas mit diesem Wissen zu tun (wie fail2ban usw.).

Ihr Administrator schlägt vor (1), fragen Sie, welche Ideen er zu (2) hat.

Sicherheit durch Dunkelheit ist überhaupt keine Sicherheit.

Edit: dann nochmal, manche sagen es ist ! Persönlich werde ich weiterhin meinen ursprünglichen Punkt übernehmen.

Durch Ändern des Anschlusses werden sie gezwungen, einen Scan durchzuführen. Wenn Sie ein Sicherheitstool wie snort mit Netzwerk-Taps oder SPAN verwenden, wird so etwas wie ein Port-Scan Ihres Servers offensichtlich. Jemand, der sich legitimerweise über den Standardport mit dem SQL-Server verbindet, ist nicht so offensichtlich.

Ich stimme zu, der beste Ansatz ist nicht "Sicherheit durch Dunkelheit". Das Ändern des Standardports für alle Anwendungen, sofern dies möglich ist, ist jedoch Teil einer übergreifenden, umfassenderen Strategie, die Aktivitäten des Roten Teams, Überwachungsteams für die Netzwerksicherheit und die korrekte, installierte, ausgereifte und verständliche Instrumentierung umfasst diejenigen, die es benutzen.

Wenn Sie all diese Dinge haben, fällt ein Eindringling in Ihrem System auf wie ein schmerzender Daumen. Fazit: Wenn jemand der Meinung ist, dass er die Sicherheit seines Systems verbessern kann, indem er eine Reihe von Elementen auf einer Liste abhakt, liegt er falsch. Wenn sie nicht erklären können, warum der Port geändert werden muss, dann gehören sie nicht in die Rolle von jemandem, der Sie auffordert, den Port zu ändern.

Wenn eine Anwendung über TCPIP eine Verbindung zu MS SQL herstellt, findet der erste Teil der Konversation auf 1433 mit der unbenannten Standardinstanz statt - nicht zuletzt die Angabe der Portnummern, über die benannte Instanzen kommunizieren. Alle Firewalls sollten so konfiguriert werden, dass a) dies zu geeigneten IP-Bereichen durchgelassen wird, B) die festen Portnummern, die benannte Instanzen möglicherweise verwenden. Diese sollten im SQL-Konfigurationsmanager als fest konfiguriert werden. Sie können mit jeder Instanz kommunizieren, indem Sie (IP-Adresse 192.168.22.55): (Portnummer 12345) in der Verbindungszeichenfolge verwenden. Wenn der SQL-Browserdienst nicht aktiviert ist, stellt 1433 die Erstkonversation nicht bereit. Wenn Sie die NT-Authentifizierung verwenden, ist nur wenig zu gewinnen. Wenn Sie die SQL-Authentifizierung verwenden, können Sie einen kleinen Betrag gewinnen.