Чи все-таки найкраща практика уникати використання портів за замовчуванням для SQL Server?

Історично рекомендується не використовувати порту за замовчуванням для підключення до SQL Server, як частина найкращої практики безпеки. На сервері з одним екземпляром за замовчуванням за замовчуванням використовуються наступні порти:

• Служба SQL Server - порт 1433 (TCP)
• Служба браузера SQL Server - порт 1434 (UDP)
• Виділений підключення адміністратора - порт 1434 (TCP)

ЗАПИТАННЯ:

• Ця порада все ще актуальна?
• Чи варто ВСЕ вищезазначені порти змінити?

Історично рекомендується не використовувати порти за замовчуванням для підключення до SQL Server, як частина найкращої практики безпеки.

Який був асинін тоді, а досі асинін. Безпека через, мабуть, невідомість зовсім не є безпекою.

Чи все-таки ця порада актуальна

ІМХО це ніколи не було актуальним. Це було потрібно для певних цілей дотримання, оскільки люди, які складали ці сумісні програми, не розуміли, що вони роблять, знову ж таки, ІМХО.

Чи варто ВСЕ вищезазначені порти змінити?

Я б нічого не змінив.

Хоча безпека через незрозумілість не є справжньою безпекою, я не скажу, що немає жодних випадків, коли це допомагає.

Якщо зловмисник хоче дізнатись, де слухає вашу службу, їх можна легко дізнатись, але у випадку тупої автоматизованої атаки вам пощастить, якщо ви змінили порт.

Єдиний раз, коли я можу згадати, де він насправді допоміг, - це за часів SQL Slammer, коли SQL Server 2000 був уразливим, а черв'як поширився шляхом генерування випадкових ip та підключення до порту браузера SQL Server за замовчуванням.

Якщо я пам'ятаю правильно, то в той час було офіційну пораду змінити порти, поки ви не зможете виправити свій сервер (або тому, що патч не був доступний негайно, або тому, що у вас не було вікна)

Щоб цей черв'як увійшов у вашу мережу в той момент, коли вам потрібен був підключений до Інтернету сервер SQL замість брандмауера, чого ви не повинні, але все-таки номер порту, який не використовується за замовчуванням, міг би допомогти в цьому конкретному випадку.

Однак я погоджуюся, що якщо у вас є належна безпека, складність, яку ви додаєте, ймовірно, не переважає шанси її запобігти інциденту.

Історично рекомендується не використовувати порти за замовчуванням для підключення до SQL Server, як частина найкращої практики безпеки

Ні, не було. Деякі оманливі люди, можливо, представили це як таке, але я займаюся безпекою вже 20 років і зміна портів за замовчуванням завжди була своєрідним "ось що ви можете зробити, якщо хочете, що, можливо, іноді в дуже конкретних обставинах забезпечує трохи додаткової безпеки від деяких дуже конкретних загроз ".

Ця порада все ще актуальна?

За дуже конкретних обставин, залежно від вашої моделі загрози та аналізу ризику, можуть бути деякі випадки, коли це є надійною порадою. У переважній більшості випадків, ні, це не актуально, і ніколи не було.

ТАК , це все ще корисно.

Зміна портів за замовчуванням має єдину реальну мету: захищатись від автоматизованих сканів / атак, якщо сервер баз даних відкритий для хостів, які можуть отримати компрометацію.

Хоча це може не здаватись великим, пам’ятайте, що:

• будь-який хост може поставити під загрозу (або ваш сервер баз даних може потрапити в Інтернет в цілому через якусь помилку)
• Більшість атак у ті дні є автоматизованими атаками , і багато з них спробують лише порти за замовчуванням (оскільки націлення на низько висячі фрукти є найбільш ефективною).

Так, так, хоча воно само по собі не допоможе вам сильно, якщо ви знаходитесь під цілеспрямованою атакою, використання випадкових портів (та / або змушення його слухати лише випадкову IPv6-адресу) зробить його набагато менш помітним, тим самим принаймні надаючи більше часу на оновлення до того, як автоматичне сканування експлуатування 0 днів потрапить на вас (і навіть може повністю захистити вас від такого автоматичного сканування все само собою!)

Крім того (це допоможе не тільки проти всіх автоматизованих атак на, але і проти деяких цільових атак), коли зловмисники намагаються знайти порт вашої бази даних, щоб використовувати його портовиками грубої сили, його можна буде виявити та захистити від (за допомогою чорного списку діапазонів IP-адрес атакуючого) та оповіщення адміністраторів, якщо якийсь внутрішній хост виявлений як джерело атаки)

Також зауважте, що зміна порту за замовчуванням для сервера та клієнтів (особливо якщо вони розгорнуті автоматично) - це тривіальна кількість роботи, і виявити грубі скани легко також; тому ви дійсно повинні робити це (не тільки для серверів баз даних; але для всіх служб, де накладні витрати на його налаштування не є надмірними через проблеми юзабіліті: наприклад, зміна порта за замовчуванням для веб з 80не рекомендується, як деякі люди (і боти) зіпсує це, і випадкові брандмауэры по всьому світу можуть не дозволити встановлення з'єднання. Але RDP є чудовою ціллю, наприклад, для порту, який не використовується за замовчуванням)

Я б не міняв порт, але однак ніколи не відкривати послугу бази даних безпосередньо через Інтернет. Тільки через захищений тунель, як SSH. Зміна порту SSH може бути хорошою ідеєю для мінімізації трафіку сканерами.