Việc thay đổi số cổng mặc định có thực sự làm tăng tính bảo mật?

Tôi đã thấy lời khuyên nói rằng bạn nên sử dụng các số cổng khác nhau cho các ứng dụng riêng tư (ví dụ: mạng nội bộ, cơ sở dữ liệu riêng tư, bất cứ thứ gì mà không người ngoài nào sẽ sử dụng).

Tôi không hoàn toàn tin rằng có thể cải thiện an ninh vì

1. Máy quét cổng tồn tại
2. Nếu một ứng dụng dễ bị tấn công, nó vẫn như vậy bất kể số cổng của nó.

Tôi đã bỏ lỡ một cái gì đó hoặc tôi đã trả lời câu hỏi của riêng tôi?

Nó không cung cấp bất kỳ sự bảo vệ nghiêm trọng nào trước một cuộc tấn công nhắm mục tiêu. Nếu máy chủ của bạn đang bị nhắm mục tiêu thì, như bạn nói, họ sẽ quét cổng cho bạn và tìm xem cửa của bạn ở đâu.

Tuy nhiên, việc di chuyển SSH ra khỏi cổng mặc định 22 sẽ ngăn chặn một số cuộc tấn công kiểu kiddie không được nhắm mục tiêu và nghiệp dư. Đây là những người dùng tương đối không tinh vi, họ đang sử dụng các tập lệnh để quét các khối lớn địa chỉ IP tại một thời điểm cụ thể để xem cổng 22 có mở không và khi họ tìm thấy, họ sẽ khởi động một số loại tấn công vào nó (tấn công từ điển, tấn công từ điển, Vân vân). Nếu máy của bạn nằm trong khối IP đó được quét và nó không chạy SSH trên cổng 22 thì nó sẽ không phản hồi và do đó sẽ không hiển thị trong danh sách các máy để tập lệnh này kiddie tấn công. Ergo, có một số bảo mật cấp thấp được cung cấp nhưng chỉ dành cho kiểu tấn công cơ hội này.

Ví dụ, nếu bạn có thời gian - hãy đăng nhập lặn trên máy chủ của bạn (giả sử SSH đang ở cổng 22) và rút ra tất cả các lần thử SSH thất bại duy nhất mà bạn có thể. Sau đó di chuyển SSH ra khỏi cổng đó, đợi một lúc và đăng nhập lại lặn. Bạn chắc chắn sẽ tìm thấy ít cuộc tấn công hơn.

Tôi đã từng chạy Fail2Ban trên một máy chủ web công cộng và nó thực sự rất rõ ràng khi tôi chuyển SSH ra khỏi cổng 22. Nó cắt các cuộc tấn công cơ hội bằng các mệnh lệnh lớn.

Nó rất hữu ích để giữ cho các bản ghi sạch sẽ.

Nếu bạn thấy các lần thử thất bại với sshd chạy trên cổng 33201, bạn có thể cho rằng người đó đang nhắm mục tiêu cho bạn và bạn có tùy chọn thực hiện hành động thích hợp nếu bạn mong muốn .. Chẳng hạn như liên hệ với chính quyền, điều tra người này có thể là ai ( bằng cách tham chiếu chéo với IP của người dùng đã đăng ký của bạn hoặc bất cứ điều gì), v.v.

Nếu bạn sử dụng cổng mặc định thì sẽ không thể biết được ai đó đang tấn công bạn hay đó chỉ là những kẻ ngốc ngẫu nhiên thực hiện quét ngẫu nhiên.

Không, nó không. Không hẳn vậy. Thuật ngữ này là Bảo mật bởi sự tối nghĩa và nó không phải là một thông lệ đáng tin cậy. Bạn đúng trong cả hai điểm của bạn.

Bảo mật bằng cách tối ưu nhất sẽ ngăn chặn các nỗ lực thông thường chỉ cần đi xung quanh tìm kiếm các cổng mặc định biết rằng đến một lúc nào đó, họ sẽ tìm thấy ai đó đã mở cửa trước. Tuy nhiên, nếu có bất kỳ mối đe dọa nghiêm trọng nào mà bạn phải đối mặt với việc thay đổi cổng deault thì hầu như sẽ làm chậm cuộc tấn công ban đầu xuống, nhưng chỉ là rất ít vì những gì bạn đã chỉ ra.

Tự mình làm và để các cổng của bạn được cấu hình đúng cách, nhưng thực hiện các biện pháp phòng ngừa thích hợp để khóa chúng với tường lửa, ủy quyền, ACL, v.v.

Đó là một mức độ tối nghĩa nhỏ, nhưng không phải là một cú hích tốc độ đáng kể trên con đường tấn công. Đây là một cấu hình khó hơn để hỗ trợ lâu dài vì mọi thứ liên quan đến dịch vụ cụ thể đó phải được nói về cổng khác nhau.

Ngày xưa, đó là một ý tưởng tốt để tránh sâu mạng, vì những người có xu hướng quét chỉ một cổng. Tuy nhiên, thời gian của sâu nhân nhanh chóng đã qua.

Như những người khác đã chỉ ra, việc thay đổi số cổng không mang lại cho bạn nhiều sự bảo mật.

Tôi muốn thêm rằng việc thay đổi số cổng thực sự có thể gây bất lợi cho an ninh của bạn.

Hãy tưởng tượng kịch bản đơn giản hóa sau đây. Một cracker quét 100 máy chủ. Chín mươi chín trong số các máy chủ này có các dịch vụ khả dụng trên các cổng tiêu chuẩn này:

Port    Service
22      SSH
80      HTTP
443     HTTPS

Nhưng sau đó, có một máy chủ nổi bật giữa đám đông, bởi vì chủ sở hữu hệ thống đã cố gắng làm xáo trộn dịch vụ của họ.

Port    Service
2222    SSH
10080   HTTP
10443   HTTPS

Bây giờ, điều này có thể thú vị với một cracker, bởi vì quét cho thấy hai điều:

1. Chủ sở hữu của máy chủ lưu trữ đang cố gắng ẩn số cổng trên hệ thống của họ. Có lẽ chủ sở hữu nghĩ rằng có một cái gì đó có giá trị trên hệ thống. Đây có thể không phải là một hệ thống chạy nhanh.
2. Họ đã chọn phương pháp sai để bảo mật hệ thống của họ. Quản trị viên đã phạm sai lầm khi tin vào obfuscation cổng, điều này cho thấy rằng họ có thể là một quản trị viên thiếu kinh nghiệm. Có lẽ họ đã sử dụng obfuscation cổng thay cho tường lửa thích hợp hoặc IDS thích hợp. Họ cũng có thể đã mắc các lỗi bảo mật khác và có thể dễ bị tấn công bảo mật bổ sung. Bây giờ chúng ta hãy thăm dò thêm một chút, phải không?

Nếu bạn là một cracker, bạn sẽ chọn xem một trong 99 máy chủ đang chạy các dịch vụ tiêu chuẩn trên các cổng tiêu chuẩn hay máy chủ này đang sử dụng obfuscation?

Tôi sẽ đi ngược lại xu hướng chung, ít nhất là một phần.

Theo cách riêng của mình , việc thay đổi sang một cổng khác có thể giúp bạn có được một vài giây trong khi tìm kiếm, do đó bạn không nhận được gì về mặt thực tế. Tuy nhiên, nếu bạn kết hợp việc sử dụng các cổng không chuẩn cùng với các biện pháp chống portscan, nó có thể mang lại sự gia tăng đáng giá về bảo mật.

Đây là tình huống áp dụng cho các hệ thống của tôi: Các dịch vụ ngoài công cộng được chạy trên các cổng không chuẩn. Bất kỳ kết nối nào cố gắng nhiều hơn hai cổng từ một địa chỉ nguồn duy nhất, dù thành công hay không, trong một khoảng thời gian xác định sẽ dẫn đến tất cả lưu lượng truy cập từ nguồn đó bị loại bỏ.

Để đánh bại hệ thống này sẽ cần có may mắn (đánh đúng cổng trước khi bị chặn) hoặc quét phân tán, kích hoạt các biện pháp khác, hoặc trong một thời gian rất dài, cũng sẽ được chú ý và hành động.

Theo ý kiến ​​của tôi, việc di chuyển cổng mà ứng dụng chạy trên hoàn toàn không tăng tính bảo mật - đơn giản vì lý do cùng một ứng dụng đang chạy (có cùng điểm mạnh và điểm yếu) chỉ trên một cổng khác. Nếu ứng dụng của bạn có một điểm yếu khi di chuyển cổng mà nó lắng nghe sang một cổng khác thì không giải quyết được điểm yếu đó. Tệ hơn nữa, nó tích cực khuyến khích bạn KHÔNG giải quyết điểm yếu bởi vì bây giờ nó không bị cản trở liên tục bằng cách quét tự động. Nó che giấu vấn đề thực sự là vấn đề thực sự cần được giải quyết.

Vài ví dụ:

• "Nó dọn sạch nhật ký" - Sau đó, bạn gặp vấn đề với cách bạn xử lý nhật ký của mình.
• "Nó làm giảm chi phí kết nối" - Chi phí không đáng kể (vì hầu hết quá trình quét) hoặc bạn cần một số loại lọc / Giảm thiểu từ chối dịch vụ được thực hiện ngược dòng
• "Nó làm giảm mức độ hiển thị của ứng dụng" - Nếu ứng dụng của bạn không thể tự động quét và khai thác thì ứng dụng của bạn có các thiếu sót bảo mật nghiêm trọng cần được giải quyết (nghĩa là hãy giữ cho nó được vá!).

Vấn đề thực sự là vấn đề hành chính: Mọi người mong đợi SSH ở mức 22, MSSQL ở mức 1433, v.v. Di chuyển những thứ này xung quanh là một lớp phức tạp hơn và tài liệu cần thiết. Thật khó chịu khi ngồi xuống mạng và phải sử dụng nmap chỉ để tìm ra nơi mà mọi thứ đã được di chuyển. Các bổ sung cho an ninh là phù du tốt nhất và nhược điểm là không đáng kể. Đừng làm điều đó. Khắc phục sự cố thực sự.

Bạn đúng rằng nó sẽ không mang lại nhiều bảo mật (vì phạm vi cổng máy chủ TCP chỉ có 16 bit entropy), nhưng bạn có thể làm điều đó vì hai lý do khác:

• như những người khác đã nói: những kẻ xâm nhập đang cố gắng đăng nhập nhiều lần có thể làm lộn xộn các tệp nhật ký của bạn (ngay cả khi các cuộc tấn công từ điển từ một IP duy nhất có thể bị chặn với fail2ban);
• SSH cần mật mã khóa công khai để trao đổi khóa bí mật để tạo đường hầm an toàn (đây là một hoạt động tốn kém mà trong điều kiện bình thường không cần phải thực hiện rất thường xuyên); kết nối SSH lặp đi lặp lại có thể lãng phí năng lượng CPU .

Lưu ý: Tôi không nói rằng bạn nên thay đổi cổng máy chủ. Tôi chỉ mô tả lý do hợp lý (IMO) để thay đổi số cổng.

Nếu bạn làm điều đó, tôi nghĩ rằng bạn cần phải nói rõ với mọi quản trị viên hoặc người dùng khác rằng đây không phải là một tính năng bảo mật và số cổng được sử dụng thậm chí không phải là một bí mật và mô tả đây là một tính năng bảo mật mang lại an ninh thực sự không được coi là hành vi chấp nhận được.

Tôi có thể thấy một tình huống giả định trong đó sẽ có một lợi ích bảo mật tiềm năng trong việc chạy sshd của bạn trên cổng thay thế. Đó sẽ là trong trường hợp một lỗ hổng từ xa bị khai thác tầm thường được phát hiện trong phần mềm sshd bạn đang chạy. Trong trường hợp như vậy, chạy sshd của bạn trên một cổng thay thế có thể cung cấp cho bạn thêm thời gian bạn không cần phải là mục tiêu lái xe ngẫu nhiên.

Bản thân tôi chạy sshd trên một cổng thay thế trên các máy riêng của mình, nhưng điều đó chủ yếu là để thuận tiện cho việc giảm sự lộn xộn trong /var/log/auth.log. Trên hệ thống nhiều người dùng, tôi thực sự không coi lợi ích bảo mật giả định nhỏ được trình bày ở trên là đủ lý do cho những rắc rối thêm do sshd không được tìm thấy trên phần tiêu chuẩn.

Nó hơi tăng tính bảo mật. Trong đó kẻ tấn công đã tìm thấy cổng mở bây giờ phải tìm ra những gì đang chạy trên cổng. Không có quyền truy cập vào các tệp cấu hình của bạn (chưa :-)) anh ta không biết liệu cổng 12345 đang chạy http, sshd hay một trong hàng ngàn dịch vụ phổ biến khác nên họ cần phải làm thêm để tìm ra những gì đang chạy trước khi họ có thể nghiêm túc tấn công nó

Ngoài ra, như các poster khác đã chỉ ra trong khi cố gắng đăng nhập vào cổng 22, có thể là những đứa trẻ kịch bản không biết gì, trojan zombie hoặc thậm chí người dùng chính hãng đã nhập nhầm địa chỉ IP. Một nỗ lực để đăng nhập vào cổng 12345 gần như chắc chắn là người dùng chính hãng hoặc kẻ tấn công nghiêm trọng.

Một chiến lược khác là có một vài cổng "bẫy mật ong". Vì không có người dùng chính hãng nào biết về các số cổng này, nên mọi nỗ lực kết nối phải được coi là độc hại và bạn có thể tự động chặn / báo cáo địa chỉ IP vi phạm.

Có một trường hợp đặc biệt khi sử dụng số cổng khác nhau chắc chắn sẽ giúp hệ thống của bạn an toàn hơn. Nếu mạng của bạn đang chạy một dịch vụ công cộng như Máy chủ Web mà còn chạy máy chủ web chỉ sử dụng nội bộ, bạn hoàn toàn có thể chặn mọi truy cập bên ngoài bằng cách chạy trên một số cổng khác và chặn mọi truy cập bên ngoài từ cổng này.

Không phải bởi chính nó. Tuy nhiên, không sử dụng cổng mặc định cho một ứng dụng cụ thể (giả sử, SQL Server) về cơ bản sẽ buộc kẻ tấn công của bạn quét các cổng của bạn; hành vi này sau đó có thể được phát hiện bởi tường lửa của bạn hoặc các số liệu giám sát khác và IP của kẻ tấn công bị chặn. Ngoài ra, "script kiddie" trung bình nhiều khả năng sẽ bị răn đe khi công cụ đơn giản hoặc tập lệnh lệnh mà họ đang sử dụng không tìm thấy phiên bản máy chủ SQL trên máy của bạn (vì công cụ chỉ kiểm tra cổng mặc định).