Порт за замовчуванням SQL Server - 1433. Нам адміністратор сказав, що порт повинен змінитися "з міркувань безпеки".
Невже так набагато безпечніше міняти порт? Якщо сервер знаходиться за брандмауером і він дозволяє лише підключення до нього з певного діапазону IP-адрес, це недостатньо добре?
Відповіді:
Це допомагає проти поширених сканувань портів, які можна ініціювати через веб-сайти сканування портів. Але це не допоможе проти скоєного нападника. Це просто ще один шар, але він не надто багато над брандмауером, як ви згадали.
Якщо ваші сервери SQL безпосередньо підключені до Інтернету (чого вони не повинні бути), він може запропонувати вам певний захист, оскільки більшість загальних сценаріїв атаки використовують лише номери портів за замовчуванням.
Якщо ваші SQL-сервери недоступні безпосередньо з Інтернету, це зовсім безглуздо. Будь-який брандмауер повинен мати можливість підключення до віддаленого порту. Як тільки я запускаю клієнтське програмне забезпечення на машині, я бачу, який порт використовує SQL Server за допомогою команди NET STAT. У цей момент ви сповільнили мене рівно за 2-3 секунди.
Він порушить програми, які очікують порт 1433.
Деякі додатки можна налаштувати для вирішення цього питання, але це потрібно розгорнути.
Я б просто залишив його. Якщо вони "зламують" ваш примірник за замовчуванням на порт 1433, то ви вже є напівжирним.
Ви можете вказати порт для названих екземплярів, але тоді порт 1434 потрібно відкрити, щоб вирішити екземпляр до порту ...
Хакери часто сканують IP-адреси для часто використовуваних портів, тому не рідкість використовувати інший порт, щоб "пролетіти під радаром". Це просто для уникнення виявлення, крім того, що немає додаткової безпеки за допомогою іншого порту.
Якщо лише обмежений діапазон IP може отримати доступ до порту, то ви вже «під радаром», тому я не бачу вагомих причин використовувати інший порт.
Власне, так. Щоб використати інший приклад, адміністратор лабораторії Linux мого університету змінив порт SSH з 22 на якесь незрозуміле значення. Він повідомив, що мережа знизилася з ~ 10000 пінгерів / атак на день до приблизно 1 або 2 на місяць. Зрозуміло, якщо ви вже не зазнаєте подібного нападу, можливо, це не варто докладати зусиль у більшості випадків. Тим не менш, змінюючи дискретний альтернативний порт, ви запобігаєте широким нападкам зонду та ін.
Я думаю, це проблема у двох частинах.
1) Програмне забезпечення для сканування звичайних портів може спробувати спочатку загальні порти, але нічого конкретного не обмежує спроба всіх портів, і вам потрібно мати можливість припускати, що він зможе роздрукувати протокол, коли знайде відкритий порт .
2) Коли відбувається більш агресивне сканування портів, вам потрібно вміти його виявляти і робити щось із цим знанням (наприклад, fail2ban тощо)
Ваш адміністратор пропонує (1), запитайте, які ідеї він стосується (2).
Безпека через незрозумілість - це взагалі не безпека.
Редагувати: потім знову, деякі кажуть, що це так ! Особисто я продовжуватиму сприймати свій початковий пункт.
Зміна порту змусить їх зробити сканування. Якщо ви використовуєте такий інструмент захисту, як фронт, мережеві крани або SPAN, то щось подібне до сканування портів вашого сервера стає очевидним. Хтось правомірно підключається до сервера SQL на порту за замовчуванням, не так очевидно.
Найкращий підхід, я погоджуюся, - це не безпека через невідомість. Однак, коли можливо, зміна порту за замовчуванням для будь-яких та всіх додатків є частиною надмірної, більш глибокої стратегії, яка включає діяльність червоної команди, групи моніторингу безпеки мережі та всі правильні інструменти, встановлені, дозріли та зрозуміли тих, хто цим користується.
Коли у вас є всі ці речі, то зловмисник у вашій системі виділяється як біль у великому пальці. Підсумок - якщо хтось думає, що може покращити безпеку своїх систем, перевіривши купу елементів у списку, він помиляється. Якщо вони не можуть пояснити, чому їм потрібен змінений порт, без сумнівів, вони не належать до ролі того, хто скаже вам змінити порт.
Коли програма підключається до MS SQL через TCPIP, перша частина розмови відбувається 1433 року, за замовчуванням безіменний екземпляр - не останнє місце - це десемінація будь-яких номерів портів, з якими повідомляються імена екземплярів. Будь-які міжмережеві стіни повинні бути налаштовані на: а) пропустіть це до ip-діапазонів, які відповідають, В) фіксованих номерів портів, які можуть використовувати будь-які названі екземпляри. Вони повинні бути налаштовані у менеджері конфігурацій SQL як виправлені. Ви можете спілкуватися з будь-яким екземпляром, використовуючи (ip адресу 192.168.22.55): (номер порту 12345) у рядку з'єднання. Якщо послуга браузера SQL не ввімкнена, то 1433 не надасть початкової розмови. Якщо ви використовуєте автентифікацію NT, то мало що можна отримати. Якщо ви використовуєте автентифікацію SQL, то необхідно отримати невелику суму.