Erhöht das Ändern der Standardportnummer tatsächlich die Sicherheit?

Ich habe Ratschläge erhalten, wonach Sie für private Anwendungen unterschiedliche Portnummern verwenden sollten (z. B. Intranet, private Datenbank, alles, was kein Außenstehender verwenden wird).

Ich bin nicht ganz davon überzeugt, dass sich dadurch die Sicherheit verbessern lässt

1. Port-Scanner sind vorhanden
2. Wenn eine Anwendung anfällig ist, bleibt dies unabhängig von ihrer Portnummer der Fall.

Habe ich etwas verpasst oder meine eigene Frage beantwortet?

Es bietet keine ernsthafte Verteidigung gegen einen gezielten Angriff. Wenn Ihr Server als Ziel ausgewählt wird, scannt er Sie, wie Sie sagen, und findet heraus, wo sich Ihre Türen befinden.

Wenn Sie jedoch SSH vom Standard-Port 22 entfernen, werden einige der nicht zielgerichteten und Amateur-Skript-Kiddie-Angriffe abgewehrt. Dies sind relativ unkomplizierte Benutzer, die mithilfe von Skripten große Blöcke von IP-Adressen gleichzeitig nach offenen Ports 22 durchsuchen und dann eine Art Angriff darauf starten (Brute Force, Wörterbuchangriff, usw). Befindet sich Ihr Computer in dem IP-Block, der gescannt wird, und auf dem kein SSH auf Port 22 ausgeführt wird, reagiert er nicht und wird daher nicht in der Liste der Computer angezeigt, auf denen dieser Skript-Kiddie angreifen soll. Ergo, es wird nur für diese Art opportunistischer Angriffe ein gewisses Maß an Sicherheit geboten.

Beispiel: Wenn Sie den Zeitprotokoll-Tauchgang auf Ihrem Server haben (vorausgesetzt, SSH befindet sich an Port 22) und alle eindeutigen fehlgeschlagenen SSH-Versuche ausführen, die Sie ausführen können. Verschieben Sie dann SSH von diesem Port, warten Sie einige Zeit und gehen Sie erneut zum Log-Tauchen. Sie werden zweifellos weniger Angriffe finden.

Ich habe Fail2Ban auf einem öffentlichen Webserver ausgeführt und es war wirklich, wirklich offensichtlich, als ich SSH von Port 22 verlegte. Dadurch wurden die opportunistischen Angriffe um Größenordnungen reduziert.

Es ist sehr hilfreich, die Protokolle sauber zu halten.

Wenn Sie mit sshd auf Port 33201 fehlgeschlagene Versuche sehen, können Sie davon ausgehen, dass die Person auf Sie zielt , und Sie haben die Möglichkeit, die entsprechenden Maßnahmen zu ergreifen, wenn Sie dies wünschen. durch Querverweise mit den IPs Ihrer registrierten Benutzer oder was auch immer) usw.

Wenn Sie den Standardport verwenden, können Sie nicht erkennen, ob Sie angegriffen werden oder ob es sich nur um zufällige Idioten handelt, die zufällige Scans durchführen.

Nein, das tut es nicht. Nicht wirklich. Der Begriff dafür lautet Security by Obscurity und ist keine verlässliche Praxis. Sie haben in beiden Punkten Recht.

Security by Obscurity verhindert bestenfalls die gelegentlichen Versuche, nach Standardports zu suchen, da sie wissen, dass sie irgendwann jemanden finden , der die Haustür offen gelassen hat. Wenn es jedoch jemals ernsthafte Bedrohungen gibt, denen Sie beim Ändern des Deaktivierungsports gegenüberstehen, wird dies den anfänglichen Angriff höchstens verlangsamen, jedoch aufgrund dessen, worauf Sie bereits hingewiesen haben, nur geringfügig.

Tun Sie sich selbst einen Gefallen und lassen Sie Ihre Ports richtig konfiguriert, aber treffen Sie die richtigen Vorkehrungen, um sie mit einer richtigen Firewall, Berechtigungen, ACLs usw. zu sperren.

Es ist eine leichte Verschleierung, aber keine nennenswerte Geschwindigkeitsschwäche auf dem Weg zum Hacking. Es ist schwieriger, die Konfiguration auf lange Sicht zu unterstützen, da alles, was mit diesem bestimmten Dienst kommuniziert, über den unterschiedlichen Port mitgeteilt werden muss.

Es war einmal eine gute Idee, um Netzwerkwürmer zu vermeiden, da diese dazu neigten, nur einen Port zu scannen. Die Zeit des sich schnell vermehrenden Wurms ist jedoch vorbei.

Wie bereits erwähnt, bietet das Ändern der Portnummer nicht viel Sicherheit.

Ich möchte hinzufügen, dass das Ändern der Portnummer Ihrer Sicherheit schaden kann.

Stellen Sie sich das folgende vereinfachte Szenario vor. Ein Cracker scannt 100 Hosts. Neunundneunzig dieser Hosts verfügen über Dienste, die an diesen Standardports verfügbar sind:

Port    Service
22      SSH
80      HTTP
443     HTTPS

Aber dann gibt es einen Host, der sich von der Masse abhebt, weil der Systembesitzer versucht hat, seine Dienste zu verschleiern.

Port    Service
2222    SSH
10080   HTTP
10443   HTTPS

Nun, dies könnte für einen Cracker interessant sein, da der Scan zwei Dinge nahelegt:

1. Der Besitzer des Hosts versucht, die Portnummern auf seinem System zu verbergen. Vielleicht denkt der Besitzer, dass das System etwas Wertvolles enthält. Dies ist möglicherweise kein gewöhnliches System.
2. Sie wählten die falsche Methode, um ihr System zu sichern. Der Administrator hat einen Fehler begangen, indem er an die Verschleierung von Ports geglaubt hat, was darauf hinweist, dass es sich möglicherweise um einen unerfahrenen Administrator handelt. Vielleicht haben sie Port-Verschleierung anstelle einer richtigen Firewall oder eines richtigen IDS verwendet. Sie haben möglicherweise auch andere Sicherheitsfehler begangen und sind möglicherweise für zusätzliche Sicherheitsangriffe anfällig. Lassen Sie uns jetzt ein wenig weiter nachforschen, sollen wir?

Wenn Sie ein Cracker wären, würden Sie einen Blick auf einen der 99 Hosts werfen, auf denen Standarddienste auf Standardports ausgeführt werden, oder auf diesen einen Host, der die Portverschleierung verwendet?

Ich werde zumindest teilweise gegen den allgemeinen Trend vorgehen.

Das Wechseln zu einem anderen Port kann für sich genommen ein paar Sekunden dauern, während nach ihm gesucht wird. Wenn Sie jedoch nicht standardmäßige Ports mit Anti-Portscan-Maßnahmen kombinieren, kann dies zu einer wirklich lohnenden Erhöhung der Sicherheit führen.

Für meine Systeme gilt folgende Situation: Nicht öffentliche Dienste werden auf nicht standardmäßigen Ports ausgeführt. Jeder Verbindungsversuch zu mehr als zwei Ports von einer einzelnen Quelladresse, ob erfolgreich oder nicht, innerhalb einer bestimmten Zeit führt dazu, dass der gesamte Datenverkehr von dieser Quelle getrennt wird.

Um dieses System zu schlagen, müsste man entweder Glück haben (den richtigen Port treffen, bevor man blockiert wird) oder einen verteilten Scan, der andere Maßnahmen auslöst, oder eine sehr lange Zeit, die auch bemerkt und ausgeführt wird.

Meiner Meinung nach erhöht das Verschieben des Ports, auf dem eine Anwendung ausgeführt wird, die Sicherheit überhaupt nicht - einfach aus dem Grund, dass dieselbe Anwendung (mit denselben Stärken und Schwächen) nur auf einem anderen Port ausgeführt wird. Wenn Ihre Anwendung eine Schwachstelle aufweist, wird die Schwachstelle nicht behoben, wenn der empfangene Port auf einen anderen Port verschoben wird. Schlimmer noch, es ermutigt Sie aktiv, die Schwachstelle NICHT anzusprechen, da sie jetzt nicht ständig durch automatisiertes Scannen bearbeitet wird. Es verbirgt das eigentliche Problem, das eigentlich gelöst werden sollte.

Einige Beispiele:

• "Es bereinigt die Protokolle" - Dann haben Sie ein Problem mit dem Umgang mit Ihren Protokollen.
• "Reduziert den Verbindungsaufwand" - Der Aufwand ist entweder unbedeutend (wie bei den meisten Überprüfungen der Fall) oder Sie benötigen eine vorgeschaltete Filterung / Denial-of-Service-Reduzierung
• "Reduziert die Gefährdung der Anwendung" - Wenn Ihre Anwendung dem automatisierten Scannen und Ausnutzen nicht standhält, weist Ihre Anwendung schwerwiegende Sicherheitsmängel auf, die behoben werden müssen (dh, Sie müssen den Patch beibehalten!).

Das eigentliche Problem ist das administrative: Die Leute erwarten SSH bei 22, MSSQL bei 1433 und so weiter. Diese zu verschieben, ist eine weitere Ebene der Komplexität und der erforderlichen Dokumentation. Es ist sehr ärgerlich, sich in ein Netzwerk zu setzen und mit nmap herauszufinden, wo sich die Dinge bewegt haben. Die zusätzlichen Sicherheitsmerkmale sind bestenfalls kurzlebig und die Nachteile sind nicht unerheblich. Tu es nicht. Beheben Sie das eigentliche Problem.

Sie haben Recht, dass dies nicht viel Sicherheit bringt (da der TCP-Server-Portbereich nur 16 Bit Entropie enthält), aber Sie können dies aus zwei anderen Gründen tun:

• Wie andere bereits gesagt haben: Eindringlinge, die viele Anmeldungen versuchen, können Ihre Protokolldateien überfrachten (auch wenn Wörterbuchangriffe von einer einzelnen IP-Adresse mit fail2ban blockiert werden können).
• SSH benötigt Kryptografie mit öffentlichen Schlüsseln , um geheime Schlüssel auszutauschen und einen sicheren Tunnel zu erstellen (dies ist eine kostspielige Operation, die unter normalen Bedingungen nicht sehr oft durchgeführt werden muss). Wiederholte SSH-Verbindungen können die CPU-Leistung verschwenden .

Bemerkung: Ich sage nicht, dass Sie den Server-Port ändern sollten. Ich beschreibe nur vernünftige Gründe (IMO), um die Portnummer zu ändern.

Wenn Sie dies tun, müssen Sie meines Erachtens jedem anderen Administrator oder Benutzer klar machen, dass dies nicht als Sicherheitsmerkmal anzusehen ist und dass die verwendete Portnummer nicht einmal ein Geheimnis ist und dass dies als Sicherheitsmerkmal beschrieben wird das bringt echte sicherheit wird nicht als akzeptables verhalten angesehen.

Ich sehe eine hypothetische Situation, in der es einen potenziellen Sicherheitsvorteil geben könnte, wenn Sie Ihren sshd auf einem alternativen Port betreiben. Dies ist in dem Szenario der Fall, in dem in der von Ihnen ausgeführten sshd-Software eine trivial ausgenutzte Remote-Sicherheitsanfälligkeit entdeckt wird. In einem solchen Szenario kann es sein, dass Sie mit Ihrem sshd auf einem alternativen Port nur so viel Zeit haben, dass Sie kein zufälliges Drive-by-Ziel sind.

Ich selbst führe das sshd auf einem alternativen Port auf meinen privaten Rechnern aus, aber dies dient hauptsächlich der Übersichtlichkeit in /var/log/auth.log. Auf einem Mehrbenutzersystem halte ich den oben vorgestellten kleinen hypothetischen Sicherheitsvorteil nicht für einen ausreichenden Grund für den zusätzlichen Aufwand, der dadurch entsteht, dass sshd im Standardteil nicht gefunden wird.

Die Sicherheit wird leicht erhöht. Der Angreifer, der den offenen Port gefunden hat, muss nun herausfinden, was auf dem Port läuft. Da er (noch) keinen Zugriff auf Ihre Konfigurationsdateien hat, hat er keine Ahnung, ob auf Port 12345 http, sshd oder einer von tausend anderen allgemeinen Diensten ausgeführt wird greife es an.

Auch wie in anderen Postern darauf hingewiesen wurde, könnten Versuche, sich an Port 22 anzumelden, ahnungslose Skriptkinder, Zombietrojaner oder sogar echte Benutzer sein, die eine IP-Adresse falsch eingegeben haben. Ein Versuch, sich an Port 12345 anzumelden, ist mit ziemlicher Sicherheit entweder ein echter Benutzer oder ein schwerer Angreifer.

Eine andere Strategie ist es, ein paar "Honigfalle" -Ports zu haben. Da diese Portnummern keinem echten Benutzer bekannt sind, muss jeder Verbindungsversuch als böswillig eingestuft werden, und Sie können die betreffende IP-Adresse automatisch blockieren / melden.

Es gibt einen speziellen Fall, in dem die Verwendung einer anderen Portnummer Ihr System auf jeden Fall sicherer macht. Wenn in Ihrem Netzwerk ein öffentlicher Dienst wie ein Webserver ausgeführt wird, aber auch ein Webserver für den internen Gebrauch ausgeführt wird, können Sie den externen Zugriff absolut blockieren, indem Sie eine andere Portnummer verwenden und den externen Zugriff von diesem Port aus blockieren .

Nicht von alleine. Wenn Sie jedoch nicht den Standardport für eine bestimmte Anwendung (z. B. SQL Server) verwenden, wird Ihr Angreifer grundsätzlich gezwungen, Ihre Ports zu scannen. Dieses Verhalten kann dann von Ihrer Firewall oder anderen Überwachungsmetriken erkannt und die IP des Angreifers blockiert werden. Außerdem wird der durchschnittliche "Script Kiddie" mit größerer Wahrscheinlichkeit davon abgehalten, wenn das von ihm verwendete einfache Tool oder Befehlsskript keine SQL Server-Instanz auf Ihrem Computer findet (da das Tool nur den Standardport überprüft).