По-прежнему рекомендуется избегать использования портов по умолчанию для SQL Server?


21

Исторически было рекомендовано не использовать порты по умолчанию для соединений с SQL Server, как часть рекомендаций по безопасности. На сервере с одним экземпляром по умолчанию следующие порты будут использоваться по умолчанию:

  • Служба SQL Server - порт 1433 (TCP)
  • Служба браузера SQL Server - порт 1434 (UDP)
  • Выделенное административное соединение - порт 1434 (TCP)

ВОПРОСОВ:

  • Этот совет по-прежнему актуален?
  • Нужно ли менять ВСЕ вышеупомянутые порты?

1
Может быть, этот пост может помочь вам dba.stackexchange.com/questions/213810/…
igelr

Ответы:


68

Исторически было рекомендовано не использовать порты по умолчанию для соединений с SQL Server, как часть рекомендаций по безопасности.

Который был асинином тогда и все еще асинином сейчас. Безопасность через, возможно, неясность вовсе не является безопасностью.

Этот совет по-прежнему актуален

ИМХО это никогда не было актуально. Это было необходимо для некоторых целей соблюдения, потому что люди, разрабатывающие эти соответствия, не понимали, что они делают, опять же, ИМХО.

Нужно ли менять ВСЕ вышеупомянутые порты?

Я бы не стал ничего менять.


11

Хотя безопасность через неясность не является реальной безопасностью, я не скажу, что нет никаких случаев, когда это помогает.

Если злоумышленник хочет знать, где слушает ваш сервис, он может легко это выяснить, но в случае немой автоматической атаки вам может повезти, если вы измените порт.

Единственный раз, когда я могу вспомнить, где это действительно помогло, это во время SQL Slammer, где SQL Server 2000 был уязвим и червь распространялся, генерируя случайные ip и подключаясь к порту браузера SQL Server по умолчанию.

Если я правильно помню, в то время это был официальный совет по изменению портов до тех пор, пока вы не сможете подключить свой сервер (либо потому, что исправление не было доступно немедленно, либо из-за того, что у вас не было окна).

Чтобы этот червь входил в вашу сеть в то время, когда вам нужно было подключить SQL Server к Интернету, а не за брандмауэром, чего не следует делать, но в любом случае номер порта не по умолчанию мог бы помочь в этом конкретном случае.

Однако я согласен с тем, что, если вы располагаете надлежащей защитой, сложность, которую вы добавляете, вероятно, не перевешивает шансы предотвращения инцидента.


9

Исторически было рекомендовано не использовать порты по умолчанию для соединений с SQL Server, как часть рекомендаций по безопасности

Нет не было Некоторые заблуждающиеся люди, возможно, представили это так, но я уже более 20 лет занимаюсь безопасностью, и изменение портов по умолчанию всегда было своего рода «вот что вы можете сделать, если хотите, что иногда может быть в очень специфических обстоятельствах» немного дополнительной защиты от некоторых очень специфических угроз "вещь.

Этот совет по-прежнему актуален?

При определенных обстоятельствах, в зависимости от вашей модели угроз и анализа рисков, могут быть некоторые случаи, когда это хороший совет. В подавляющем большинстве случаев это не актуально и никогда не было.


7

Да , это все еще полезно.

Изменение портов по умолчанию имеет только одну реальную цель: защищаться от автоматического сканирования / атак, если ваш сервер баз данных открыт для хостов, которые могут быть скомпрометированы.

Хотя это может показаться не так уж важно, помните, что:

  • любой хост может быть скомпрометирован (или ваш сервер баз данных может быть открыт для Интернета в целом из-за какой-то ошибки)
  • Большинство атак в те дни - это автоматические атаки , и многие из них будут пробовать только порты по умолчанию (так как нацеливание на низко висящие плоды наиболее эффективно).

Так что да, хотя это само по себе мало чем поможет, если вы подвергаетесь целенаправленной атаке, использование случайных портов (и / или прослушивание только по случайным IPv6-адресам) сделает его гораздо менее видимым, что, по крайней мере, даст вам больше времени для обновить до того, как автоматическое сканирование на 0 дней подействует на вас (и может даже полностью защитить вас от такого автоматического сканирования!)

Кроме того (это поможет не только против всех автоматических атак против, но и против некоторых целевых атак), когда злоумышленники пытаются найти порт вашей базы данных, чтобы использовать его с помощью bruteforce portcans, он может быть обнаружен и защищен (путем внесения в черный список IP-адресов злоумышленников). и оповещение администраторов, если какой-либо внутренний хост был обнаружен в качестве источника атаки)

Также обратите внимание, что изменение порта по умолчанию для сервера и клиентов (особенно, если они развертываются автоматически) - это тривиальный объем работы, и обнаружение сканирования методом перебора также легко; так что вам действительно следует это делать (не только для серверов баз данных; но и для всех служб, где накладные расходы на его настройку не являются чрезмерными из-за проблем с удобством использования: например, изменение порта по умолчанию для веб-страниц 80не рекомендуется, как некоторые люди (и боты) это может испортить ситуацию, и случайные брандмауэры по всему миру могут не позволить установить соединение. Но RDP является отличной целью, например, для порта не по умолчанию)


1

Я бы не стал менять порт, но, тем не менее, никогда не выставлял бы службу базы данных напрямую через Интернет. Только через безопасный туннель, такой как SSH. Изменение порта SSH может быть хорошей идеей, чтобы минимизировать трафик сканеров.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.