SQL Server için varsayılan bağlantı noktalarını kullanmaktan kaçınmak hala en iyi yöntem midir?

21

Tarihsel olarak, güvenlik en iyi uygulamasının bir parçası olarak SQL Server'a bağlantı için varsayılan bağlantı noktalarını kullanmamanız önerildi. Tek, varsayılan örneği olan bir sunucuda, aşağıdaki bağlantı noktaları varsayılan olarak kullanılır:

  • SQL Server hizmeti - Port 1433 (TCP)
  • SQL Server Tarayıcı hizmeti - Port 1434 (UDP)
  • Özel Yönetici Bağlantısı - Bağlantı Noktası 1434 (TCP)

SORULAR:

  • Bu tavsiye hala geçerli mi?
  • Yukarıdaki portların TÜMÜ değiştirilmeli mi?
sql-server  security  best-practices  dynamic-ports 
James D
kaynak
1
Belki bu yazı size yardımcı olabilir dba.stackexchange.com/questions/213810/…
igelr 16:18

Yanıtlar:

68

Tarihsel olarak, güvenlik en iyi uygulamasının bir parçası olarak SQL Server'a bağlantı için varsayılan bağlantı noktalarını kullanmamanız önerildi.

O zamanlar asinine ve şimdi hala asinine sahipti. Muhtemelen belirsizlik yoluyla güvenlik hiç de güvenlik değildir.

Bu tavsiye hala geçerli mi?

IMHO asla alakalı değildi. Bazı uyum amaçları için gerekliydi, çünkü bu uygunlukları hazırlayan insanlar ne yaptıklarını anlamadılar, IMHO.

Yukarıdaki portların TÜMÜ değiştirilmeli mi?

Ben değişmezdim.

Sean Sara Chipps'i Söyledi
kaynak
11

Müstehcenlik yoluyla güvenlik gerçek güvenlik olmasa da, yardım edebileceği hiçbir durum olmadığını söylemeyeceğim.

Bir saldırgan servisinizin nerede dinlendiğini bilmek isterse kolayca öğrenebilir, ancak aptal bir otomatik saldırı durumunda, limanı değiştirdiyseniz şanslı olabilirsiniz.

Gerçekte nerede yardım ettiğini hatırlayabildiğim tek zaman SQL Slammer döneminde SQL Server 2000'in savunmasız olduğu ve rastgele ipler üreterek ve varsayılan SQL Server tarayıcı portuna bağlanarak bir solucanın yayıldığı .

Doğru hatırlıyorsam, sunucunuzu ekleyene kadar bağlantı noktalarını değiştirmek o zaman resmi bir tavsiyeydi (ya hemen kullanılabilir bir yama olmadığı için ya da bir pencereniz olmadığı için)

Bu solucanın ağınıza güvenlik duvarı arkasında olmak yerine, internete bağlı bir SQL Server olması için gerekli olan zamanda girmesi gerekmemişti, ancak bir şekilde varsayılan olmayan bir port numarası bu durumda yardımcı olabilirdi.

Bununla birlikte, eğer uygun bir güvenlik önlemine sahipseniz, eklediğiniz karmaşıklık muhtemelen bir olayı önleme ihtimalinden daha ağır basmadığını kabul ediyorum.

Tom V - Monica Takımı
kaynak
9

Tarihsel olarak, güvenlik en iyi uygulamasının bir parçası olarak, SQL Server'a bağlantı için varsayılan bağlantı noktalarını kullanmamanız önerildi.

Hayır değildi. Bazı yanlış yönlendirilmiş insanlar bunu sunmuş olabilir, ancak 20 yıldan beri güvenlik yapıyorum ve varsayılan portların değiştirilmesi her zaman bir tür "olmuştur. Bazı özel tehditlere karşı ek güvenlik biraz "şey.

Bu tavsiye hala geçerli mi?

Çok özel koşullar altında, tehdit modelinize ve risk analizinize bağlı olarak, bunun sağlam bir tavsiye olduğu bazı durumlar olabilir. Vakaların büyük çoğunluğunda, hayır, konuyla ilgisi yok ya da hiç.

Tom
kaynak
7

EVET , yine de kullanışlıdır.

Varsayılan bağlantı noktalarının değiştirilmesinin yalnızca tek bir amacı vardır: veritabanı sunucunuz tehlikeye girebilecek ana bilgisayarlara açıksa otomatik taramalara / saldırılara karşı savunma.

Bu büyük bir anlaşma gibi görünmese de, şunu unutmayın:

  • herhangi bir ana bilgisayar tehlikeye girebilir (veya veritabanı sunucunuz bir hata nedeniyle büyük oranda Internet’e maruz kalabilir)
  • Saldırıların çoğu o gün otomatik saldırılardır ve çoğu yalnızca varsayılan portları deneyecektir (düşük meyveli meyveleri hedeflemek en etkilidir).

Yani, evet, eğer hedef altındaysanız, başlı başına size yardımcı olmayacak saldırı , rastgele portları kullanmak (ve / veya sadece rastgele IPv6 adresini dinletmek) onu daha az görünür hale getirecek, böylece en azından size daha fazla zaman verecektir otomatik 0 gün istismar taramasından önceki yükseltme size isabet eder (ve hatta sizi tamamen bu tür otomatik taramaya karşı tamamen koruyabilir!)

Ek olarak (bu, yalnızca otomatik saldırılara karşı değil, aynı zamanda bazı hedefli saldırılara karşı da) yardımcı olacaktır. Saldırganlar bruteforce portcans tarafından istismar etmek için veritabanı portunuzu bulmaya çalıştığında, tespit edilebilir ve savunulabilir (saldırgan IP aralıklarını karalayarak ve bazı dahili konak saldırının kaynağı olarak algılanırsa yöneticileri uyarma)

Ayrıca, sunucu ve istemciler için varsayılan bağlantı noktasını değiştirmenin (özellikle otomatik olarak dağıtılırlarsa) önemsiz miktarda iş olduğunu ve bruteforce taramalarını tespit etmenin de kolay olduğunu unutmayın; bu yüzden gerçekten yapıyor olmalısınız (sadece veritabanı sunucuları için değil; fakat kurulum ek yükünün kullanılabilirlik sorunları nedeniyle yasaklayıcı olmadığı tüm servisler için: 80bazı insanlar (ve botlar için) web için varsayılan portu değiştirmek gibi bozacak ve dünyadaki rastgele güvenlik duvarları bağlantının kurulmasına izin vermeyebilir. Fakat RDP, örneğin varsayılan olmayan bağlantı noktaları için harika bir hedef.

Matija Nalis
kaynak
1

Bağlantı noktasını değiştirmeyeceğim, ancak veritabanı hizmetini hiçbir zaman doğrudan Internet üzerinden kullanmam. Sadece SSH gibi güvenli bir tünelden. SSH portunu değiştirmek, tarayıcılar tarafından trafiği en aza indirmek için iyi bir fikir olabilir.

Thomas
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.