Küçük web sitemi 80, 8080 veya 81 numaralı bağlantı noktasında mı çalıştırmalıyım?

20

Nginx kullanarak küçük bir web sitesi çalıştırıyorum. Sunucumun ömründe çok fazla trafik olmayacağı ve rastgele DoS saldırılarından kaçınacağı için, web sunucusunu 80 numaralı bağlantı noktası yerine alternatif bir bağlantı noktasını dinleyecek şekilde ayarlamayı düşünüyorum.

Alternatif bir bağlantı noktasında (81, 8080 vb.) Dinlemek gerçekten saldırı veya ihlal riskimi azaltır mı? Yoksa bunu sürdürme yükü faydalardan daha ağır mıdır? Bu durumda, gelecekte kurarsam bu alternatif bağlantı noktalarını diğer web hizmetleri için mi kullanmalıyım?

— oldmud0
kaynak

4

Neden bazı 'saldırganlar' irade (D) Küçük bir web sitesi için risk alır?

— Gilles Quenot

40

Burada dikkate alınması gereken iki şey var:

Kullanıcılarınız adında standart olmayan bir bağlantı noktası kullanmayı hatırlayacak mı? Varsayılan olarak, bağlantı noktası 80 standarttır ve bu nedenle URL'ye yazmanız gerekmez. Örneğin, http://superuser.combağlantı noktası 80'de çalışır ve tarayıcınız 80 yazarken demek istediğiniz bağlantı noktası olduğunu varsayar. Yazmaktan farklı değildir http://superuser.com:80. Eğer port 8080 üzerinde websever çalıştırırsanız, daha sonra kullanıcı vardır yazın http://superuser.com:8080. Ortalama bir kullanıcı bunu hatırlamayacaktır.
Standart dışı bir bağlantı noktasında bir web sunucusu çalıştırmak sizi DoS saldırılarına karşı korur mu? Pek sayılmaz. Birisi sitenizi gerçekten devirmek isterse, standart olmayan bir bağlantı noktasında çalışmak onları durdurmaz. Saldırganlar IP'nizdeki tüm bağlantı noktalarını tarar ve 8080'in (veya seçtiğiniz her şeyin) açık olduğunu ve HTTP isteklerine yanıt verdiğini hızlı bir şekilde bulur.

Bağlantı noktalarını değiştirmek gibi yöntemlere " Belirsiz güvenlik " denir ve ekstra iş ve rahatsızlığın değerli bir güvenlik sağlaması son derece şüphelidir .

— Keltari
kaynak

6

Belirsizlik yoluyla tüm Güvenliğin kötü olmadığını da eklemek istiyorum. Varsayılan Yönetici veya Kök kullanıcı adının değiştirilmesi iyi bir uygulama olarak kabul edilir. Bununla birlikte, bağlantı noktalarını değiştirmek gibi şeyler sadece 32k olduğundan ve bir bilgisayar saniyeler içinde tarayabildiğinden anlamsızdır.

— Keltari

2

Güvenlik eklemez, ancak özellikle de bir DNS kaydı varsa, ham tarama botlarının sitenizi yavaşlatmasını önler.

— Nathan MacInnes

1

Tamamen saldırının ölçeğine bağlıdır. Varsayılan olmayan bağlantı noktalarını kullanmak, zmap veya nmap kullanan web sunucusu güvenlik açıkları için / 0 gibi büyük ölçekli taramalardan kaçınmaya yardımcı olabilir. Ancak @Keltari doğrudur, eğer bir hedefseniz, bir saldırgan size tam bir tarama yapar, sunucunuzun hangi bağlantı noktasından çalıştığını belirler ve savunmasızsanız ;-) oyun biter.

— wi1

@NathanMacInnes bugün mevcut olan teknoloji ile, küçük bir siteyi tarayan botların # önemsiz olduğunu ve varsayılan bir port değiştirmenin dezavantajının oldukça büyük olduğunu varsayabilirim.

— ILikeTacos

2

Yanlış, /superuser/ve 443 numaralı bağlantı noktasında çalışıyor. Güvenli web siteleri 443 kullanıyor

— Elliot A.

5

Evet, alternatif bir bağlantı noktası ayarlamak saldırıları riske sokar, çünkü hatalı web uygulamasını bulmak için web'i tarayan botlar genellikle diğer bağlantı noktalarına bakmaz.

Bir insan saldırgan sunucunuzu hedefliyorsa, nginx'in dinlediği gerçek bağlantı noktasını bulmak çok kolay olacaktır (açık bağlantı noktalarını tarayarak).

Bu alternatif bağlantı noktalarını kullanmak nadirdir (proxy'ler veya ... alternatif web sunucuları hariç), bu yüzden korkmadan kullanabileceğinizi düşünüyorum.

Ancak, böyle bir alternatif bağlantı noktası kullanmanın "varsayılan" ziyaretçilerin web sitenizi bulmasını engelleyeceğini, http://yourserver.com:81/ gibi URL'leri kullanarak kullanıcılara doğru bağlantı noktasını söylemeniz (veya bağlantılara yazmanız) gerektiğini unutmayın . ..

— Mickaël
kaynak

2

Ek bir husus (Keltari tarafından sağlanan ikisine), standart olmayan bir bağlantı noktası kullanmanın, aksi belirtilmedikçe, web sitenizin Google gibi arama motoru web tarayıcıları tarafından göz ardı edilmesine neden olabileceğidir.

Niyetiniz, web sitenizi bağlantı sağladığınız kişiler dışında herkes için bulmak zorsa, standart olmayan bir bağlantı noktası kullanmak uygun görünecektir, ancak aksi takdirde standart bir bağlantı noktasıyla giderdim.

— Liang
kaynak

1

Değişir. "Küçük site" nin faydası nedir?

Başka insanlar tarafından kullanılacaksa, standart bağlantı noktalarını kullanmanızı şiddetle tavsiye ederim. Yanıtların çoğunda belirtildiği gibi, standart olmayan bir bağlantı noktasının kullanılması için bağlantı noktasının kullanıcı tarafından belirtilmesi gerekir (örn. Bağlantı noktası 81 -> siteniz.com:81 için). Standart bir bağlantı noktası kullanırsanız, tarayıcı bağlantı noktasını protokolden alır (http, https). http: // normalde 80 numaralı bağlantı noktasıdır ve https: // geçersiz kılınmadıkça normal olarak 443 numaralı bağlantı noktasıdır. Standart portlar kullanmanızı şiddetle tavsiye ederim. Elbette, arka bahçedeki bir evin tek girişini koyabilirsiniz, ancak ziyaretçiler orada olduğunu nasıl bilecekler?
Yalnızca sizin tarafınızdan kullanılan bir test sitesi ise, kendinize sormanız gereken iki şey vardır:
- Bir DNS kaydına (alan adı) eklenecek mi? (DNS referansı olmayan sunucularımın çok daha sessiz bir saldırı olduğunu düşünüyorum. NOT: Lütfen bunu daha güvenli olarak düşünmeyin. Değil; Saldırganların sizi DNS üzerinden bulmasını zorlaştırıyor)
- Bağlantı noktasını ve / veya IP'yi elle yazarken sorun yok mu?

TL; DR:

Diğer insanlar tarafından kullanılan: 80/443 kullanın
Özel: Size kalmış

— Luke Adams
kaynak

0

Http sunucusunu herhangi bir bağlantı noktasında çalıştırabilirsiniz, ancak sörfçülerinizin, kullanıcıların bağlantı noktasını hatırlaması zor olacaktır.

Saldırı veya ihlal riskini azaltacaktır, ancak sunucunuzu korumak ve HTTP sunucusunu 80 numaralı bağlantı noktasında tutmak gibi başka yollar da vardır.

— AMB
kaynak