Soll ich meine kleine Website in Port 80, 8080 oder 81 betreiben?

20

Ich betreibe eine kleine Website mit Nginx. Da in der Lebensdauer meines Servers (wahrscheinlich) nicht viel Verkehr herrscht und um zufällige DoS-Angriffe zu vermeiden, sollte der Webserver so eingestellt werden, dass er einen alternativen Port anstelle von Port 80 überwacht.

Reduziert das Abhören an einem alternativen Port (81, 8080 usw.) tatsächlich das Risiko von Angriffen oder Sicherheitsverletzungen? Oder überwiegt die Last der Wartung die Vorteile? Sollte ich in diesem Fall diese alternativen Ports für andere Webdienste verwenden, falls ich sie in Zukunft einrichten möchte?

oldmud0
quelle
4
Warum gehen manche "Angreifer" Risiken für (D) DoS eine kleine Website ein?
Gilles Quenot

Antworten:

40

Hier sind zwei Dinge zu beachten:

  1. Erinnern sich Ihre Benutzer daran, einen nicht standardmäßigen Port im Namen zu verwenden? Standardmäßig ist Port 80 der Standard und muss daher nicht in die URL eingegeben werden. Läuft beispielsweise http://superuser.comauf Port 80 und Ihr Browser geht davon aus, dass 80 der Port ist, den Sie beim Eingeben meinen. Es ist nichts anderes als das Eingeben http://superuser.com:80. Wenn Sie Ihren websever auf Port 8080 laufen, dann wird der Benutzer hat zu geben http://superuser.com:8080. Der durchschnittliche Benutzer wird sich wahrscheinlich nicht daran erinnern.
  2. Schützt Sie das Ausführen eines Webservers an einem nicht standardmäßigen Port vor DoS-Angriffen? Nicht wirklich. Wenn jemand Ihre Site wirklich zum Absturz bringen wollte, wird er durch die Ausführung auf einem nicht standardmäßigen Port nicht gestoppt. Angreifer scannen alle Ports Ihrer IP und stellen schnell fest, dass 8080 (oder was auch immer Sie wählen) offen ist und auf HTTP-Anfragen reagiert.

Methoden wie das Ändern von Ports werden als " Sicherheit durch Unbekanntheit " bezeichnet, und es ist höchst fraglich, ob die zusätzliche Arbeit und die Unannehmlichkeiten wertvolle Sicherheit bieten.

Keltari
quelle
6
Ich möchte hinzufügen, dass nicht alle Sicherheit durch Dunkelheit schlecht ist. Das Ändern des Standardbenutzernamens Administrator oder Root wird als bewährte Methode angesehen. Das Ändern von Ports ist jedoch sinnlos, da es nur 32 KB gibt und ein Computer dies in Sekunden scannen kann.
Keltari
2
Dies erhöht nicht die Sicherheit, verhindert jedoch, dass grobe Scan-Bots Ihre Site verlangsamen, insbesondere wenn die Site über einen DNS-Eintrag verfügt.
Nathan MacInnes
1
Es kommt ganz auf das Ausmaß des Angriffs an. Die Verwendung von nicht standardmäßigen Ports kann dazu beitragen, umfangreichen Überprüfungen von / 0 auf Sicherheitslücken auf Webservern mithilfe von zmap oder nmap auszuweichen. @Keltari ist jedoch korrekt. Wenn Sie ein Ziel sind, führt ein Angreifer einen vollständigen Scan durch, ermittelt, von welchem ​​Port aus Ihr Server ausgeführt wird, und beendet das Spiel, wenn Sie anfällig sind.
Wi1
@NathanMacInnes mit der heute verfügbaren Technologie würde ich annehmen, dass die Anzahl der Bots, die eine kleine Site scannen, vernachlässigbar ist und der Nachteil der Änderung eines Standardports ziemlich groß ist.
ILikeTacos
2
Falsch, es ist /superuser/und es läuft auf Port 443. Sichere Websites verwenden 443.
Elliot A.
5

Ja, durch das Festlegen eines alternativen Ports wird das Risiko von Angriffen verringert, da die Bots, die das Web durchsuchen, um fehlerhafte Webanwendungen zu finden, in der Regel keine anderen Ports anzeigen.

Wenn ein menschlicher Angreifer auf Ihren Server zielt, ist es wirklich einfach, den tatsächlichen Port zu ermitteln, auf dem Nginx lauscht (indem offene Ports gescannt werden).

Die Verwendung dieser alternativen Ports ist selten (mit Ausnahme von Proxies oder ... alternativen Webservern), daher denke ich, dass Sie sie ohne Angst verwenden können.

Denken Sie jedoch daran, dass die Verwendung eines solchen alternativen Ports verhindert, dass "Standard" -Besucher Ihre Website finden. Sie müssen den Benutzern den richtigen Port mitteilen (oder ihn in Links eintragen ), indem Sie URLs wie http://yourserver.com:81/ verwenden . ..

Mickaël
quelle
2

Eine zusätzliche Überlegung (zu den beiden von Keltari bereitgestellten) ist, dass die Verwendung eines nicht standardmäßigen Ports dazu führen kann, dass Ihre Website von Suchmaschinen-Webcrawlern wie Google übersehen wird, sofern Sie nichts anderes angeben.

Wenn es Ihre Absicht ist, dass Ihre Website mit Ausnahme der Personen, zu denen Sie einen Link bereitstellen, nur schwer für alle zu finden ist, wäre die Verwendung eines nicht standardmäßigen Ports vorteilhaft, ansonsten würde ich jedoch einen standardmäßigen Port verwenden.

Liang
quelle
1

Es hängt davon ab, ob. Was nützt die "kleine Seite"?

  • Wenn es von anderen Leuten verwendet wird, würde ich die Verwendung von Standardports dringend empfehlen. Wie in den meisten Antworten erwähnt, erfordert die Verwendung eines nicht standardmäßigen Ports , dass der Port vom Benutzer angegeben wird (z. B. für Port 81 -> yoursite.com:81). Wenn Sie einen Standardport verwenden, leitet der Browser den Port vom Protokoll ab (http, https). http: // ist normalerweise Port 80 und https: // ist normalerweise Port 443, sofern dies nicht überschrieben wird. Ich empfehle dringend die Verwendung von Standard-Ports. Sicher, Sie KÖNNEN den einzigen Eingang zu einem Haus im Hinterhof stellen, aber woher wissen die Besucher, dass es dort ist?

  • Wenn es sich um eine Test-Site handelt, die nur von Ihnen verwendet wird, müssen Sie sich zwei Fragen stellen:

    • Wird es an einen DNS-Eintrag (Domainname) angehängt? (Ich stelle fest, dass meine Server ohne DNS-Verweise im Hinblick auf Angriffe viel leiser sind. HINWEIS: Bitte betrachten Sie dies nicht als sicherer. Dies ist nicht der Fall. Es erschwert Angreifern lediglich, Sie über DNS zu finden.)
    • Können Sie den Port und / oder die IP-Adresse manuell eingeben?

TL; DR:

  • Von anderen Personen benutzt: Verwenden Sie 80/443
  • Privat: Bis zu dir
Luke Adams
quelle
0

Sie können einen HTTP-Server an jedem beliebigen Port ausführen, aber es wird für Ihre Surfer und Benutzer schwierig sein, sich an den Port zu erinnern.

Dadurch wird das Risiko von Angriffen oder Sicherheitsverletzungen verringert. Es gibt jedoch auch andere Möglichkeiten, z. B. den Server zu sichern und den HTTP-Server auf Port 80 zu belassen

AMB
quelle