SQL Server'ın varsayılan bağlantı noktası 1433'tür. Yöneticimiz tarafından bağlantı noktasının "güvenlik nedeniyle" değişmesi gerektiği söylendi.
Limanı değiştirmek gerçekten daha mı güvenli? Sunucu bir güvenlik duvarının arkasındaysa ve yalnızca belirli bir IP aralığından bağlantılara izin veriyorsa, bu yeterli değil mi?
Yanıtlar:
Bağlantı noktası tarama web siteleri aracılığıyla başlatılabilen yaygın bağlantı noktası taramalarına karşı yardımcı olur. Ancak kararlı bir saldırgana karşı yardımcı olmaz. Bu sadece başka bir katman, ancak belirttiğiniz gibi güvenlik duvarına fazla bir şey eklemiyor.
SQL Server'larınız doğrudan Internet'e bağlıysa (olmamalıdır), genel saldırı komut dosyalarının çoğu yalnızca varsayılan bağlantı noktası numaralarını kullandığından size biraz koruma sağlayabilir.
SQL Server'larınıza doğrudan İnternet'ten erişilemiyorsa, bu oldukça anlamsızdır. Herhangi bir güvenlik duvarının uzak bağlantı noktasına bağlanmasına izin vermesi gerekir. Makine üzerinde istemci yazılımı çalıştırır çalıştırmaz NET STAT komutunu kullanarak SQL Server'ın hangi portu kullandığını görebilirim. Bu noktada beni tam olarak 2-3 saniye yavaşlattın.
1433 numaralı bağlantı noktasını bekleyen
uygulamaları kıracaktır. Bazı uygulamalar bununla başa çıkmak üzere yapılandırılabilir, ancak bunun dağıtılması gerekir.
Sadece býrakýrým. 1433 numaralı bağlantı noktasında varsayılan örneğinizi "hackliyorlarsa" zaten bollixed olursunuz.
Adlandırılmış örnekler için bağlantı noktasını belirtebilirsiniz, ancak örneği bağlantı noktasına çözümlemek için 1434 numaralı bağlantı noktasının açılması gerekir ...
Bilgisayar korsanları sıkça kullanılan bağlantı noktaları için IP adreslerini sık sık tarar, bu nedenle "radarın altında uçmak" için farklı bir bağlantı noktası kullanmak nadir değildir. Bu, yalnızca farklı bir bağlantı noktası kullanarak ek bir güvenlik bulunmaması dışında, algılamayı önlemek içindir.
Bağlantı noktasına yalnızca sınırlı bir IP aralığı erişebiliyorsa, zaten "radar altındasınız", bu nedenle farklı bir bağlantı noktası kullanmak için iyi bir neden göremiyorum.
Aslında evet. Başka bir örnek kullanmak için, üniversitemin Linux laboratuvarının yöneticisi SSH portunu 22'den biraz belirsiz bir değere değiştirdi. Ağın günde ~ 10.000 ping / saldırıdan ayda yaklaşık 1 veya 2'ye düştüğünü bildirdi. Eğer böyle bir saldırıya maruz kalmıyorsanız, belki de çoğu durumda çabaya değmez. Yine de, gizli bir alternatif bağlantı noktasına geçerek, geniş prob saldırılarını ve ne olduğunu önlersiniz.
Bence bu iki bölümlü bir problem.
1) Ortak bağlantı noktası tarama yazılımı önce ortak bağlantı noktalarını deneyebilir, ancak tüm bağlantı noktalarını denemekten özel olarak sınırlayan bir şey yoktur ve açık bir bağlantı noktası bulduğunda protokolü parmak izi olarak yazabileceğini varsayabilmeniz gerekir. .
2) Daha agresif port taraması gerçekleştiğinde, onu tespit edebilmeniz ve bu bilgiyle (fail2ban vb.) Bir şeyler yapmanız gerekir.
Yöneticiniz (1) teklifinde bulunuyor, (2) ile ilgili fikirlerini sorun.
Belirsizlik yoluyla güvenlik hiç de güvenli değildir.
Düzenleme: sonra tekrar, bazı olduğunu söylüyor ! Şahsen, asıl amacımı benimsemeye devam edeceğim.
Bağlantı noktasını değiştirmek onları tarama yapmaya zorlar. Snort gibi bir güvenlik aracı kullandığınızda, ağ bağlantılarına veya SPAN'a sahipseniz, sunucunuzun bağlantı noktası taraması gibi bir şey belirgin hale gelir. Varsayılan bağlantı noktasındaki SQL sunucusuna yasal olarak bağlanan biri çok açık değildir.
Kabul ediyorum ki en iyi yaklaşım, anlaşılır olmayan güvenlik değildir. Bununla birlikte, herhangi bir uygulamadaki varsayılan bağlantı noktasını değiştirmek, mümkün olduğunda, kırmızı takım etkinliklerini, ağ güvenliği izleme ekiplerini ve yüklenen, olgunlaşan ve anlayan doğru enstrümanları içeren aşırı kemerli, daha derin bir stratejinin bir parçasıdır. kullananlar.
Tüm bunlara sahip olduğunuzda, sisteminizdeki bir davetsiz misafir ağrılı bir başparmak gibi göze çarpıyor. Sonuç olarak - bir kişi bir listedeki bir grup öğeyi kontrol ederek sistemlerinin güvenliğini artırabileceğini düşünürse, yanlıştır. Belirsiz bir şekilde limana niye ihtiyaç duyduklarını açıklayamıyorlarsa, o zaman size limanı değiştirmenizi söyleyen birinin rolüne ait değillerdir.
Bir uygulama TCPIP üzerinden MS SQL'e bağlandığında, konuşmanın ilk bölümü varsayılan adlandırılmamış örnekle 1433'te gerçekleşir - en azından adlandırılan örneklerin iletişim kurduğu bağlantı noktası numaralarının kaldırılmasıdır. Tüm güvenlik duvarları a) uygun ip aralıklarına izin vermeli, B) herhangi bir adlandırılmış örneğin kullanabileceği sabit bağlantı noktası numaralarına yapılandırılmalıdır. Bunlar SQL yapılandırma yöneticisinde sabit olarak yapılandırılmalıdır. Bağlantı dizesindeki (ip adresi 192.168.22.55): (bağlantı noktası numarası 12345) kullanarak herhangi bir örnekle iletişim kurabilirsiniz. SQL tarayıcı hizmeti etkin değilse, 1433 ilk konuşmayı sağlamaz. NT kimlik doğrulaması kullanıyorsanız, kazanılacak çok az şey vardır. SQL kimlik doğrulaması kullanıyorsanız, kazanılacak küçük bir miktar vardır.