Ich habe Ratschläge erhalten, wonach Sie für private Anwendungen unterschiedliche Portnummern verwenden sollten (z. B. Intranet, private Datenbank, alles, was kein Außenstehender verwenden wird).
Ich bin nicht ganz davon überzeugt, dass sich dadurch die Sicherheit verbessern lässt
- Port-Scanner sind vorhanden
- Wenn eine Anwendung anfällig ist, bleibt dies unabhängig von ihrer Portnummer der Fall.
Habe ich etwas verpasst oder meine eigene Frage beantwortet?
x
Zeitraum vollständig blockiert . Es hat sich als wirksam gegen das Scannen von Ports erwiesen. Dies ist natürlich nur ein Werkzeug in der Sicherheitstoolbox.Antworten:
Es bietet keine ernsthafte Verteidigung gegen einen gezielten Angriff. Wenn Ihr Server als Ziel ausgewählt wird, scannt er Sie, wie Sie sagen, und findet heraus, wo sich Ihre Türen befinden.
Wenn Sie jedoch SSH vom Standard-Port 22 entfernen, werden einige der nicht zielgerichteten und Amateur-Skript-Kiddie-Angriffe abgewehrt. Dies sind relativ unkomplizierte Benutzer, die mithilfe von Skripten große Blöcke von IP-Adressen gleichzeitig nach offenen Ports 22 durchsuchen und dann eine Art Angriff darauf starten (Brute Force, Wörterbuchangriff, usw). Befindet sich Ihr Computer in dem IP-Block, der gescannt wird, und auf dem kein SSH auf Port 22 ausgeführt wird, reagiert er nicht und wird daher nicht in der Liste der Computer angezeigt, auf denen dieser Skript-Kiddie angreifen soll. Ergo, es wird nur für diese Art opportunistischer Angriffe ein gewisses Maß an Sicherheit geboten.
Beispiel: Wenn Sie den Zeitprotokoll-Tauchgang auf Ihrem Server haben (vorausgesetzt, SSH befindet sich an Port 22) und alle eindeutigen fehlgeschlagenen SSH-Versuche ausführen, die Sie ausführen können. Verschieben Sie dann SSH von diesem Port, warten Sie einige Zeit und gehen Sie erneut zum Log-Tauchen. Sie werden zweifellos weniger Angriffe finden.
Ich habe Fail2Ban auf einem öffentlichen Webserver ausgeführt und es war wirklich, wirklich offensichtlich, als ich SSH von Port 22 verlegte. Dadurch wurden die opportunistischen Angriffe um Größenordnungen reduziert.
quelle
Es ist sehr hilfreich, die Protokolle sauber zu halten.
Wenn Sie mit sshd auf Port 33201 fehlgeschlagene Versuche sehen, können Sie davon ausgehen, dass die Person auf Sie zielt , und Sie haben die Möglichkeit, die entsprechenden Maßnahmen zu ergreifen, wenn Sie dies wünschen. durch Querverweise mit den IPs Ihrer registrierten Benutzer oder was auch immer) usw.
Wenn Sie den Standardport verwenden, können Sie nicht erkennen, ob Sie angegriffen werden oder ob es sich nur um zufällige Idioten handelt, die zufällige Scans durchführen.
quelle
Nein, das tut es nicht. Nicht wirklich. Der Begriff dafür lautet Security by Obscurity und ist keine verlässliche Praxis. Sie haben in beiden Punkten Recht.
Security by Obscurity verhindert bestenfalls die gelegentlichen Versuche, nach Standardports zu suchen, da sie wissen, dass sie irgendwann jemanden finden , der die Haustür offen gelassen hat. Wenn es jedoch jemals ernsthafte Bedrohungen gibt, denen Sie beim Ändern des Deaktivierungsports gegenüberstehen, wird dies den anfänglichen Angriff höchstens verlangsamen, jedoch aufgrund dessen, worauf Sie bereits hingewiesen haben, nur geringfügig.
Tun Sie sich selbst einen Gefallen und lassen Sie Ihre Ports richtig konfiguriert, aber treffen Sie die richtigen Vorkehrungen, um sie mit einer richtigen Firewall, Berechtigungen, ACLs usw. zu sperren.
quelle
Es ist eine leichte Verschleierung, aber keine nennenswerte Geschwindigkeitsschwäche auf dem Weg zum Hacking. Es ist schwieriger, die Konfiguration auf lange Sicht zu unterstützen, da alles, was mit diesem bestimmten Dienst kommuniziert, über den unterschiedlichen Port mitgeteilt werden muss.
Es war einmal eine gute Idee, um Netzwerkwürmer zu vermeiden, da diese dazu neigten, nur einen Port zu scannen. Die Zeit des sich schnell vermehrenden Wurms ist jedoch vorbei.
quelle
Wie bereits erwähnt, bietet das Ändern der Portnummer nicht viel Sicherheit.
Ich möchte hinzufügen, dass das Ändern der Portnummer Ihrer Sicherheit schaden kann.
Stellen Sie sich das folgende vereinfachte Szenario vor. Ein Cracker scannt 100 Hosts. Neunundneunzig dieser Hosts verfügen über Dienste, die an diesen Standardports verfügbar sind:
Aber dann gibt es einen Host, der sich von der Masse abhebt, weil der Systembesitzer versucht hat, seine Dienste zu verschleiern.
Nun, dies könnte für einen Cracker interessant sein, da der Scan zwei Dinge nahelegt:
Wenn Sie ein Cracker wären, würden Sie einen Blick auf einen der 99 Hosts werfen, auf denen Standarddienste auf Standardports ausgeführt werden, oder auf diesen einen Host, der die Portverschleierung verwendet?
quelle
Ich werde zumindest teilweise gegen den allgemeinen Trend vorgehen.
Das Wechseln zu einem anderen Port kann für sich genommen ein paar Sekunden dauern, während nach ihm gesucht wird. Wenn Sie jedoch nicht standardmäßige Ports mit Anti-Portscan-Maßnahmen kombinieren, kann dies zu einer wirklich lohnenden Erhöhung der Sicherheit führen.
Für meine Systeme gilt folgende Situation: Nicht öffentliche Dienste werden auf nicht standardmäßigen Ports ausgeführt. Jeder Verbindungsversuch zu mehr als zwei Ports von einer einzelnen Quelladresse, ob erfolgreich oder nicht, innerhalb einer bestimmten Zeit führt dazu, dass der gesamte Datenverkehr von dieser Quelle getrennt wird.
Um dieses System zu schlagen, müsste man entweder Glück haben (den richtigen Port treffen, bevor man blockiert wird) oder einen verteilten Scan, der andere Maßnahmen auslöst, oder eine sehr lange Zeit, die auch bemerkt und ausgeführt wird.
quelle
Meiner Meinung nach erhöht das Verschieben des Ports, auf dem eine Anwendung ausgeführt wird, die Sicherheit überhaupt nicht - einfach aus dem Grund, dass dieselbe Anwendung (mit denselben Stärken und Schwächen) nur auf einem anderen Port ausgeführt wird. Wenn Ihre Anwendung eine Schwachstelle aufweist, wird die Schwachstelle nicht behoben, wenn der empfangene Port auf einen anderen Port verschoben wird. Schlimmer noch, es ermutigt Sie aktiv, die Schwachstelle NICHT anzusprechen, da sie jetzt nicht ständig durch automatisiertes Scannen bearbeitet wird. Es verbirgt das eigentliche Problem, das eigentlich gelöst werden sollte.
Einige Beispiele:
Das eigentliche Problem ist das administrative: Die Leute erwarten SSH bei 22, MSSQL bei 1433 und so weiter. Diese zu verschieben, ist eine weitere Ebene der Komplexität und der erforderlichen Dokumentation. Es ist sehr ärgerlich, sich in ein Netzwerk zu setzen und mit nmap herauszufinden, wo sich die Dinge bewegt haben. Die zusätzlichen Sicherheitsmerkmale sind bestenfalls kurzlebig und die Nachteile sind nicht unerheblich. Tu es nicht. Beheben Sie das eigentliche Problem.
quelle
Sie haben Recht, dass dies nicht viel Sicherheit bringt (da der TCP-Server-Portbereich nur 16 Bit Entropie enthält), aber Sie können dies aus zwei anderen Gründen tun:
Bemerkung: Ich sage nicht, dass Sie den Server-Port ändern sollten. Ich beschreibe nur vernünftige Gründe (IMO), um die Portnummer zu ändern.
Wenn Sie dies tun, müssen Sie meines Erachtens jedem anderen Administrator oder Benutzer klar machen, dass dies nicht als Sicherheitsmerkmal anzusehen ist und dass die verwendete Portnummer nicht einmal ein Geheimnis ist und dass dies als Sicherheitsmerkmal beschrieben wird das bringt echte sicherheit wird nicht als akzeptables verhalten angesehen.
quelle
Ich sehe eine hypothetische Situation, in der es einen potenziellen Sicherheitsvorteil geben könnte, wenn Sie Ihren sshd auf einem alternativen Port betreiben. Dies ist in dem Szenario der Fall, in dem in der von Ihnen ausgeführten sshd-Software eine trivial ausgenutzte Remote-Sicherheitsanfälligkeit entdeckt wird. In einem solchen Szenario kann es sein, dass Sie mit Ihrem sshd auf einem alternativen Port nur so viel Zeit haben, dass Sie kein zufälliges Drive-by-Ziel sind.
Ich selbst führe das sshd auf einem alternativen Port auf meinen privaten Rechnern aus, aber dies dient hauptsächlich der Übersichtlichkeit in /var/log/auth.log. Auf einem Mehrbenutzersystem halte ich den oben vorgestellten kleinen hypothetischen Sicherheitsvorteil nicht für einen ausreichenden Grund für den zusätzlichen Aufwand, der dadurch entsteht, dass sshd im Standardteil nicht gefunden wird.
quelle
Die Sicherheit wird leicht erhöht. Der Angreifer, der den offenen Port gefunden hat, muss nun herausfinden, was auf dem Port läuft. Da er (noch) keinen Zugriff auf Ihre Konfigurationsdateien hat, hat er keine Ahnung, ob auf Port 12345 http, sshd oder einer von tausend anderen allgemeinen Diensten ausgeführt wird greife es an.
Auch wie in anderen Postern darauf hingewiesen wurde, könnten Versuche, sich an Port 22 anzumelden, ahnungslose Skriptkinder, Zombietrojaner oder sogar echte Benutzer sein, die eine IP-Adresse falsch eingegeben haben. Ein Versuch, sich an Port 12345 anzumelden, ist mit ziemlicher Sicherheit entweder ein echter Benutzer oder ein schwerer Angreifer.
Eine andere Strategie ist es, ein paar "Honigfalle" -Ports zu haben. Da diese Portnummern keinem echten Benutzer bekannt sind, muss jeder Verbindungsversuch als böswillig eingestuft werden, und Sie können die betreffende IP-Adresse automatisch blockieren / melden.
Es gibt einen speziellen Fall, in dem die Verwendung einer anderen Portnummer Ihr System auf jeden Fall sicherer macht. Wenn in Ihrem Netzwerk ein öffentlicher Dienst wie ein Webserver ausgeführt wird, aber auch ein Webserver für den internen Gebrauch ausgeführt wird, können Sie den externen Zugriff absolut blockieren, indem Sie eine andere Portnummer verwenden und den externen Zugriff von diesem Port aus blockieren .
quelle
Nicht von alleine. Wenn Sie jedoch nicht den Standardport für eine bestimmte Anwendung (z. B. SQL Server) verwenden, wird Ihr Angreifer grundsätzlich gezwungen, Ihre Ports zu scannen. Dieses Verhalten kann dann von Ihrer Firewall oder anderen Überwachungsmetriken erkannt und die IP des Angreifers blockiert werden. Außerdem wird der durchschnittliche "Script Kiddie" mit größerer Wahrscheinlichkeit davon abgehalten, wenn das von ihm verwendete einfache Tool oder Befehlsskript keine SQL Server-Instanz auf Ihrem Computer findet (da das Tool nur den Standardport überprüft).
quelle