Cổng mặc định của SQL Server là 1433. Tôi đã được quản trị viên của chúng tôi nói rằng cổng phải thay đổi "vì lý do bảo mật".
Có thực sự an toàn hơn nhiều khi thay đổi cổng? Nếu máy chủ đứng sau tường lửa và nó chỉ cho phép kết nối với nó từ một phạm vi IP nhất định, điều đó có đủ tốt không?
Câu trả lời:
Nó giúp chống lại các quét cổng phổ biến có thể được bắt đầu thông qua các trang web quét cổng. Nhưng nó sẽ không giúp chống lại một kẻ tấn công cam kết. Nó chỉ là một lớp khác, nhưng không thêm nhiều vào tường lửa, như bạn đã đề cập.
Nếu Máy chủ SQL của bạn được kết nối trực tiếp với Internet (không nên sử dụng) thì nó có thể cung cấp cho bạn một số bảo vệ vì hầu hết các tập lệnh tấn công chung chỉ sử dụng số cổng mặc định.
Nếu Máy chủ SQL của bạn không thể truy cập trực tiếp từ Internet thì điều này là khá vô nghĩa. Bất kỳ tường lửa sẽ phải cho phép kết nối với cổng từ xa. Ngay khi tôi chạy phần mềm máy khách trên máy, tôi có thể thấy SQL Server đang sử dụng cổng nào thông qua lệnh NET STAT. Tại thời điểm này, bạn đã làm tôi chậm lại chính xác 2-3 giây.
Nó sẽ phá vỡ các ứng dụng mong đợi cổng 1433.
Một số ứng dụng có thể được cấu hình để xử lý vấn đề này nhưng điều này phải được triển khai.
Tôi sẽ rời khỏi nó. Nếu họ "hack" phiên bản mặc định của bạn trên cổng 1433 thì bạn đã bị bollix.
Bạn có thể chỉ định cổng cho các phiên bản được đặt tên nhưng sau đó cổng 1434 cần mở để giải quyết thể hiện cho cổng ...
Tin tặc thường quét địa chỉ IP cho các cổng thường được sử dụng, do đó, không có gì lạ khi sử dụng một cổng khác để "bay dưới radar". Điều này chỉ để tránh bị phát hiện, ngoài ra không có sự an toàn bổ sung bằng cách sử dụng một cổng khác.
Nếu chỉ một phạm vi IP giới hạn có thể truy cập vào cổng, thì bạn đã "ở dưới radar", vì vậy tôi không thấy lý do chính đáng để sử dụng một cổng khác.
Trên thực tế, có. Để sử dụng một ví dụ khác, quản trị viên phòng thí nghiệm Linux của trường đại học của tôi đã thay đổi cổng SSH từ 22 thành một số giá trị tối nghĩa. Ông báo cáo rằng mạng đã giảm từ ~ 10.000 ping / tấn công mỗi ngày xuống còn khoảng 1 hoặc 2 mỗi tháng. Cấp, nếu bạn chưa phải chịu kiểu tấn công đó, có thể nó không đáng để nỗ lực trong hầu hết các trường hợp. Tuy nhiên, bằng cách thay đổi sang một cổng thay thế kín đáo, bạn ngăn chặn các cuộc tấn công thăm dò rộng và không có gì.
Tôi nghĩ rằng đây là một vấn đề hai phần.
1) Phần mềm quét cổng thông thường có thể thử các cổng chung trước tiên, nhưng không có gì hạn chế cụ thể nó thử tất cả các cổng và bạn cần có khả năng cho rằng nó sẽ có thể in ngón tay giao thức khi tìm thấy cổng mở .
2) Khi quá trình quét cổng tích cực hơn đang diễn ra, bạn cần có khả năng phát hiện ra nó và làm một cái gì đó với kiến thức này (như fail2ban, v.v.)
Quản trị viên của bạn đang đề xuất (1), hãy hỏi anh ấy có ý tưởng gì về (2).
Bảo mật thông qua che khuất không phải là an ninh.
Chỉnh sửa: sau đó một lần nữa, một số nói rằng nó là ! Cá nhân, tôi sẽ tiếp tục áp dụng quan điểm ban đầu của tôi.
Thay đổi cổng sẽ buộc họ thực hiện quét. Khi bạn sử dụng một công cụ bảo mật như snort, với vòi mạng hoặc SPAN, thì một cái gì đó như quét cổng máy chủ của bạn trở nên rõ ràng. Ai đó kết nối hợp pháp với máy chủ SQL trên cổng mặc định không quá rõ ràng.
Cách tiếp cận tốt nhất, tôi đồng ý, không phải là bảo mật bằng cách tối nghĩa. Tuy nhiên, việc thay đổi cổng mặc định trên bất kỳ và tất cả các ứng dụng, khi có thể, là một phần của chiến lược bao quát hơn, bao gồm các hoạt động nhóm đỏ, các nhóm giám sát an ninh mạng và tất cả các thiết bị chính xác, được cài đặt, trưởng thành và được hiểu bởi những người đang sử dụng nó
Khi bạn có tất cả những điều này, thì một kẻ xâm nhập trong hệ thống của bạn nổi bật như ngón tay cái đau. Điểm mấu chốt - nếu bất cứ ai nghĩ rằng họ có thể cải thiện tính bảo mật của hệ thống của họ bằng cách kiểm tra một loạt các mục trong danh sách, họ đã sai. Nếu họ không thể giải thích lý do tại sao họ cần cổng thay đổi, không có gì chắc chắn, thì họ không thuộc về vai trò của ai đó bảo bạn thay đổi cổng.
Khi một ứng dụng kết nối với MS SQL qua TCPIP, phần đầu tiên của cuộc hội thoại diễn ra vào năm 1433 với trường hợp không được đặt tên mặc định - không nhất thiết là sự khinh miệt của bất kỳ số cổng nào được đặt tên. Bất kỳ tường lửa nào cũng cần được cấu hình thành a) cho phép điều này thông qua phạm vi ip phù hợp, B) số cổng cố định mà mọi trường hợp được đặt tên có thể đang sử dụng. Chúng nên được cấu hình trong trình quản lý cấu hình SQL là cố định. Bạn có thể giao tiếp với bất kỳ trường hợp nào bằng cách sử dụng (địa chỉ IP 192.168.22.55): (số cổng 12345) trong chuỗi kết nối. Nếu dịch vụ trình duyệt SQL không được bật thì 1433 sẽ không cung cấp cuộc hội thoại nội tâm. Nếu bạn đang sử dụng xác thực NT thì sẽ có rất ít để đạt được. Nếu bạn đang sử dụng SQL authenetication thì có một số tiền nhỏ để đạt được.