Чи потрібно запускати мій маленький веб-сайт у порти 80, 8080 чи 81?

20

Я запускаю невеликий веб-сайт за допомогою nginx. Оскільки (ймовірно) не буде багато трафіку протягом мого сервера і щоб уникнути випадкових DoS-атак, я розглядаю можливість встановити веб-сервер для прослуховування на альтернативному порту замість порту 80.

Чи насправді прослуховування на альтернативному порті (81, 8080 тощо) насправді знижує мій ризик нападу чи порушення? Або тягар його утримання переважає переваги? У такому випадку я повинен використовувати ці альтернативні порти для інших веб-служб, якщо я буду їх налаштовувати в майбутньому?

networking  security  website  port 
oldmud0
джерело
4
Чому деякі «зловмисники» ризикують (D) DoS невеликим веб-сайтом?
Жилль Кінот

Відповіді:

40

Тут слід врахувати дві речі:

  1. Чи пам’ятатимуть ваші користувачі використовувати в імені нестандартний порт? За замовчуванням порт 80 є стандартним, тому вам не потрібно вводити його в URL-адресу. Наприклад, http://superuser.comпрацює на порту 80, а ваш браузер припускає, що 80 - це той порт, який ви маєте на увазі під час введення. Він не відрізняється від набору тексту http://superuser.com:80. Якщо ви запустите websever на порту 8080, то користувач повинен ввести http://superuser.com:8080. Середній користувач цього, швидше за все, не пам’ятатиме.
  2. Чи захищає веб-сервер на нестандартному порту захист від DoS-атак? Не зовсім. Якщо хтось дійсно хотів збити ваш сайт, запуск нестандартного порту не зупинить їх. Зловмисники сканують усі порти вашої IP-адреси і швидко виявлять, що 8080 (або що завгодно) ви відкриті та відповідатиме на HTTP-запити.

Такі методи, як зміна портів, називають " Безпека через невідомість ", і дуже сумнівно, що додаткова робота та незручності забезпечують будь-яку цінність безпеки.

Кельтарі
джерело
6
Хочу додати, що не вся безпека через Непомітність погана. Зміна імені адміністратора або Root за замовчуванням вважається хорошою практикою. Однак такі речі, як зміна портів, безглузді, оскільки їх є лише 32 к і комп'ютер може сканувати це за лічені секунди.
Келтарі
2
Це не додає безпеки, але перешкоджає повільному скануванню ботів уповільнити ваш сайт, особливо якщо на ньому є запис DNS.
Nathan MacInnes
1
Це повністю залежить від масштабу нападу. Використання портів за замовчуванням може допомогти уникнути масштабного сканування скажімо / 0 для вразливості веб-сервера за допомогою zmap або nmap. Але @Keltari вірно, якщо ви - ціль, зловмисник здійснить повне сканування на вас, визначить, з якого порту працює ваш сервер, а потім ігрове завершення, якщо ви вразливі ;-).
wi1
@NathanMacInnes з наявними сьогодні технологіями, я вважаю, що кількість ботів, які сканують невеликий сайт, незначна, і мінус зміни порту за замовчуванням досить великий.
ILikeTacos
2
Неправильно, так /superuser/і працює на порту 443. Для безпечних веб-сайтів використовується 443.
Елліот А.
5

Так, встановлення альтернативного порту насправді знижує ризик атак, оскільки боти, що сканують Інтернет, знаходять недоліки webapp, як правило, не переглядають інші порти.

Якщо зловмисник людини націлює ваш сервер, виявити справжній порт, на якому nginx слухає, буде дуже просто (скануючи відкриті порти).

Використання тез альтернативних портів є рідкісним (крім проксі-сервера або ... альтернативних веб-серверів), тому я думаю, ви можете користуватися ним без побоювання.

Але пам’ятайте, що використання такого альтернативного порту не дозволить відвідувачам «за замовчуванням» знайти ваш веб-сайт, вам потрібно буде повідомити людям (або записати їх у посиланнях) потрібний порт за допомогою URL-адрес, таких як http://yourserver.com:81/ . ..

Мікаел
джерело
2

Додатковим питанням (до двох, наданих Keltari) є те, що використання нестандартного порту може призвести до того, що веб-сканери веб-пошукових систем, як Google, не помітять ваш веб-сайт, якщо ви не вказали інше.

Якщо ви маєте намір, щоб ваш веб-сайт було важко знайти для всіх, крім людей, яким ви надаєте посилання, то використання нестандартного порту здасться вигідним, але в іншому випадку я б перейшов зі стандартним портом.

Лян
джерело
1

Це залежить. Яка користь для "маленького сайту"?

  • Якщо його використовуватимуть інші люди, я б дуже рекомендував використовувати стандартні порти. Як зазначено в більшості відповідей, використання нестандартного порту вимагає, щоб порт був визначений користувачем (наприклад, для порту 81 -> yoursite.com:81). Якщо ви використовуєте стандартний порт, браузер виводить порт із протоколу (http, https). http: // це нормально порт 80, а https: // зазвичай порт 443, якщо тільки це не перекрито. Я настійно рекомендую використовувати стандартні порти. Звичайно, ви МОЖЕТЕ поставити єдиний під'їзд до будинку на задньому дворі, але як відвідувачі дізнаються, що він там?

  • Якщо це тестовий сайт, який ви використовуєте лише вам, запитайте себе у двох питаннях:

    • Чи буде він доданий до запису DNS (доменне ім’я)? (Я вважаю, що мої сервери без посилань на DNS набагато тихіші для атаки. ПРИМІТКА. Будь ласка, не вважайте це більш безпечним. Це не так; це просто ускладнює зловмисникам пошук вас через DNS)
    • Чи все в порядку з введенням вручну порту та / або IP-адреси вручну?

TL; DR:

  • Використовується іншими людьми: використовуйте 80/443
  • Приватний: Вам залежить
Люк Адамс
джерело
0

Ви можете запустити http-сервер у будь-якому порту, але вашим серферам, користувачам, буде важко запам'ятати порт.

Це зменшить ризик атак або порушень, але є й інші способи, як захистити ваш сервер і тримати HTTP-сервер на порту 80

AMB
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.