Vẫn là cách tốt nhất để tránh sử dụng các cổng mặc định cho SQL Server?


21

Trong lịch sử, khuyến cáo không nên sử dụng các cổng mặc định cho các kết nối đến SQL Server, như một phần của thực tiễn bảo mật tốt nhất. Trên một máy chủ có một cá thể mặc định, mặc định, các cổng sau sẽ được sử dụng theo mặc định:

  • Dịch vụ máy chủ SQL - Cổng 1433 (TCP)
  • Dịch vụ trình duyệt SQL Server - Cổng 1434 (UDP)
  • Kết nối quản trị chuyên dụng - Cổng 1434 (TCP)

CÂU HỎI:

  • Lời khuyên này có còn phù hợp không?
  • Có nên thay đổi TẤT CẢ các cổng trên?

1
Có lẽ bài đăng này có thể giúp bạn dba.stackexchange.com/questions/213810/ triệt
igelr

Câu trả lời:


68

Trong lịch sử, khuyến cáo không nên sử dụng các cổng mặc định cho các kết nối đến SQL Server, như một phần của thực tiễn bảo mật tốt nhất.

Mà lúc đó là asinine và vẫn là asinine. Bảo mật thông qua sự tối nghĩa được cho là không bảo mật.

Lời khuyên này có còn phù hợp không

IMHO nó không bao giờ có liên quan. Nó được yêu cầu cho một số mục đích tuân thủ vì những người soạn thảo những lời tuân thủ đó không hiểu những gì họ đang làm, một lần nữa, IMHO.

Có nên thay đổi TẤT CẢ các cổng trên?

Tôi sẽ không thay đổi bất kỳ.


11

Mặc dù bảo mật thông qua che khuất không phải là bảo mật thực tế, tôi sẽ không nói rằng không có trường hợp nào giúp được.

Nếu kẻ tấn công muốn biết dịch vụ của bạn đang nghe ở đâu, họ có thể dễ dàng tìm ra, nhưng trong trường hợp bị tấn công tự động câm, bạn có thể gặp may nếu thay đổi cổng.

Lần duy nhất tôi có thể nhớ nơi nó thực sự giúp đỡ là trong thời gian SQL Slammer nơi SQL Server 2000 dễ bị tấn công và một con sâu lây lan bằng cách tạo ip ngẫu nhiên và kết nối với cổng trình duyệt SQL Server mặc định.

Nếu tôi nhớ lại một cách chính xác thì đó là lời khuyên chính thức vào lúc đó để thay đổi các cổng cho đến khi bạn có thể vá máy chủ của mình (vì không có bản vá ngay lập tức hoặc vì bạn không có cửa sổ)

Để con sâu đó xâm nhập vào mạng của bạn tại thời điểm bạn cần có SQL Server được kết nối với internet thay vì đằng sau tường lửa, dù sao đi nữa, số cổng không mặc định có thể giúp ích trong trường hợp cụ thể đó.

Tuy nhiên, tôi đồng ý rằng nếu bạn có bảo mật thích hợp, sự phức tạp mà bạn thêm vào có thể không vượt quá khả năng ngăn chặn sự cố.


9

Trước đây, khuyến cáo không nên sử dụng các cổng mặc định cho các kết nối với SQL Server, như một phần của thực tiễn bảo mật tốt nhất

Không, không phải vậy. Một số người hiểu lầm có thể đã trình bày như vậy, nhưng tôi đã bảo mật hơn 20 năm và thay đổi các cổng mặc định luôn là một kiểu "đây là điều bạn có thể làm nếu bạn muốn mà đôi khi trong những trường hợp rất cụ thể cung cấp một chút bảo mật bổ sung chống lại một số mối đe dọa rất cụ thể ".

Lời khuyên này có còn phù hợp không?

Trong các trường hợp rất cụ thể, tùy thuộc vào mô hình mối đe dọa và phân tích rủi ro của bạn, có thể có một số trường hợp trong đó đây là lời khuyên đúng đắn. Trong phần lớn các trường hợp, không, nó không liên quan và cũng không bao giờ.


7

, nó vẫn hữu ích.

Thay đổi cổng mặc định chỉ có một mục đích thực sự: bảo vệ chống lại các cuộc tấn công / quét tự động, nếu máy chủ cơ sở dữ liệu của bạn mở đối với các máy chủ có thể bị xâm phạm.

Trong khi điều đó có vẻ không phải là một vấn đề lớn, hãy nhớ rằng:

  • bất kỳ máy chủ nào cũng có thể bị xâm phạm (hoặc máy chủ cơ sở dữ liệu của bạn có thể bị phơi nhiễm với Internet do một số sai lầm)
  • hầu hết các cuộc tấn công ngày đó là các cuộc tấn công tự động , và nhiều cuộc tấn công sẽ chỉ thử các cổng mặc định (vì nhắm vào các loại trái cây treo thấp là hiệu quả nhất).

Vì vậy, vâng, mặc dù bản thân nó sẽ không giúp bạn nhiều nếu bị tấn công nhắm mục tiêu , sử dụng các cổng ngẫu nhiên (và / hoặc chỉ nghe trên địa chỉ IPv6 ngẫu nhiên) sẽ khiến nó ít nhìn thấy hơn, do đó ít nhất giúp bạn có nhiều thời gian hơn nâng cấp trước khi quét khai thác 0day tự động đánh vào bạn (và thậm chí có thể bảo vệ bạn hoàn toàn trước chính quá trình quét tự động đó!)

Ngoài ra (điều này sẽ giúp không chỉ chống lại tất cả các cuộc tấn công tự động chống lại, mà còn chống lại một số cuộc tấn công được nhắm mục tiêu nữa) khi kẻ tấn công cố gắng tìm cổng cơ sở dữ liệu của bạn để khai thác nó bằng các cổng thông tin bruteforce, nó có thể được phát hiện và bảo vệ (bằng cách liệt kê phạm vi IP của kẻ tấn công trong danh sách đen và thông báo cho quản trị viên nếu một số máy chủ nội bộ đã được phát hiện là nguồn của cuộc tấn công)

Cũng lưu ý rằng việc thay đổi cổng mặc định cho máy chủ và máy khách (đặc biệt là nếu chúng được triển khai tự động) là khối lượng công việc không đáng kể và việc phát hiện quét bruteforce cũng dễ dàng; Vì vậy, bạn thực sự nên làm điều đó (không chỉ cho các máy chủ cơ sở dữ liệu; mà cho tất cả các dịch vụ mà việc cài đặt nó không bị cấm do các vấn đề về khả năng sử dụng: như thay đổi cổng mặc định cho web từ 80một số người (và bot) sẽ làm rối tung nó và các tường lửa ngẫu nhiên trên khắp thế giới có thể không cho phép kết nối được thiết lập. Nhưng RDP là mục tiêu tuyệt vời, ví dụ cho cổng không mặc định)


1

Tôi sẽ không thay đổi cổng, nhưng tuy nhiên không bao giờ để lộ dịch vụ cơ sở dữ liệu trực tiếp qua internet. Chỉ thông qua một đường hầm an toàn như SSH. Thay đổi cổng SSH có thể là một ý tưởng tốt để giảm thiểu lưu lượng truy cập bằng máy quét.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.