An toàn để sử dụng số cổng cao? (lại: che khuất các dịch vụ web)

Tôi có một mạng gia đình nhỏ và tôi đang cố gắng cân bằng giữa nhu cầu bảo mật và sự tiện lợi. Cách an toàn nhất để bảo mật các máy chủ web nội bộ là chỉ kết nối bằng VPN nhưng điều này có vẻ quá mức để bảo vệ giao diện web từ xa của DVR (ví dụ).

Như một sự thỏa hiệp, sẽ tốt hơn nếu sử dụng số lượng cổng rất lớn? (ví dụ: năm chữ số lên tới 65531)

Tôi đã đọc rằng máy quét cổng thường chỉ quét 10.000 cổng đầu tiên nên sử dụng số cổng rất cao sẽ an toàn hơn một chút.

Điều này có đúng không?

Có cách nào tốt hơn để bảo vệ máy chủ web? (ví dụ: guis web cho các ứng dụng)

Tôi đã đọc rằng máy quét cổng thường chỉ quét 10.000 cổng đầu tiên nên sử dụng số cổng rất cao sẽ an toàn hơn một chút.

Nhiều người tin điều này. Tôi không.

Có lẽ nó an toàn hơn một chút, nhưng không nhiều. Các cổng được đánh số thấp là phổ biến hơn, vì vậy một số máy quét sẽ nhìn vào đó đầu tiên.

Nếu tôi là một cracker, tôi sẽ quét các cổng cao trước, chỉ để bắt những người dựa vào phương pháp này để bảo mật. Những người dựa vào bảo mật xuyên suốt có thể hiểu biết kém về bảo mật và có nhiều khả năng quên sử dụng các phương pháp bảo mật khác. Do đó, các dịch vụ đó có thể dễ bị tổn thương hơn và dễ bị bẻ khóa hơn.

Một số máy quét khai thác niềm tin này, và bắt đầu từ đầu và tìm đường xuống danh sách. Các lần quét khác sẽ chọn các cổng ngẫu nhiên trong toàn bộ phạm vi, vì vậy tất cả các cổng đều có cơ hội được quét như nhau.

Hãy tiếp tục và tự kiểm tra điều này bằng cách sử dụng NMAP . Chạy quét nmap với các cổng 1-10.000 và tìm máy chủ HTTP và so sánh với quét quét quét tất cả các cổng 1-65, xxx. Bạn sẽ thấy rằng sự khác biệt thường là 3-10 phút. Nếu tôi thực hiện quét chi tiết bằng cách sử dụng một cái gì đó như Nessus, sự khác biệt đôi khi là 20-60 phút.

Một cracker tốt là một cracker bệnh nhân. Họ sẽ chờ đợi.

Sử dụng số cổng lẻ hoàn toàn không bảo mật trừ khi bạn thực tế rằng nó cho phép bạn chạy ứng dụng của mình với tư cách là người dùng không phải root.

Loại điều này có thể được coi là bảo mật bởi sự tối nghĩa nhưng nó không thực sự bảo mật.

Bạn cũng có thể sử dụng đường hầm ssh nếu bạn đang sử dụng Linux ở cả hai đầu:

ssh -f -N -L 9090:localhost:9090 user@remote-host

Ví dụ: đó là những gì tôi sử dụng để chuyển tiếp cổng 9090 trên máy chủ từ xa sang cổng cục bộ 9090 cherokee-adminvà tôi sử dụng các thiết lập tương tự cho các GUI web khác. Bạn có thể bảo vệ các ứng dụng theo cách này bằng cách chỉ định trong cấu hình ứng dụng mà chúng chỉ chạy trên localhost, tức là trên 127.0.0.1. Bằng cách này, chúng không thể truy cập từ bên ngoài, nhưng bạn có thể chuyển tiếp chúng với ssh. Kiểm tra man sshcác tùy chọn khác bằng cách sử dụng chuyển tiếp cổng (bao gồm X, có thể giải quyết vấn đề của bạn theo cách hoàn toàn khác.)

Đây có thể là một cách phù hợp để đạt được mục tiêu của bạn mà không cần cài đặt / định cấu hình phần mềm bổ sung, tùy thuộc vào thiết lập của bạn.

Nếu tường lửa của bạn cho phép, bạn có thể thực hiện xác thực xảy ra ở cấp tường lửa trước, nếu độ phức tạp của mật khẩu của bạn đủ tốt, điều đó sẽ thực thi bảo mật của các dịch vụ bị lộ. bạn cũng có thể sử dụng đường hầm SSL bằng cách sử dụng stunnel và auth lẫn nhau.

Theo một cách chắc chắn, việc sử dụng số cổng cao hơn sẽ an toàn hơn, theo một cách nào đó, có thể liên quan đến các bot quét IP của bạn và thử một số khai thác, nhưng nếu ai đó thực sự muốn xâm phạm, sử dụng số cổng cao hơn sẽ không tăng cường bảo mật.