Cambiare la porta di SQL Server è davvero molto più sicuro?


12

La porta predefinita di SQL Server è 1433. Il nostro amministratore mi ha detto che la porta deve cambiare "per motivi di sicurezza".

È davvero molto più sicuro cambiare la porta? Se il server si trova dietro un firewall e consente connessioni solo da un certo intervallo di IP, non è sufficiente?


Risposte:


18

Aiuta contro le scansioni delle porte comuni che possono essere avviate attraverso i siti Web di scansione delle porte. Ma non aiuterà contro un attaccante impegnato. È solo un altro livello, ma non aggiunge molto al firewall, come hai detto.


11

Se i tuoi server SQL sono collegati direttamente a Internet (cosa che non dovrebbero essere), ti può offrire una certa protezione poiché la maggior parte degli script di attacco generici utilizza solo i numeri di porta predefiniti.

Se i tuoi server SQL non sono accessibili direttamente da Internet, è abbastanza inutile. Qualsiasi firewall dovrà consentire la connettività alla porta remota. Non appena eseguo il software client sulla macchina, posso vedere quale porta sta utilizzando SQL Server tramite il comando NET STAT. A questo punto mi hai rallentato esattamente 2-3 secondi.


10

Romperà le applicazioni che prevedono la porta 1433.
Alcune app possono essere configurate per gestire questo problema, ma questo deve essere distribuito.

Lo lascerei e basta. Se "hackerano" l'istanza predefinita sulla porta 1433, allora sei già in bollix.

È possibile specificare la porta per le istanze denominate, ma è necessario aprire la porta 1434 per risolvere l'istanza in porta ...


1
Se ti connetti sempre per porta, anche SQL Server Browser (e quindi la porta 1434) può rimanere chiuso.
Nick Chammas,

7

Gli hacker scansionano frequentemente gli indirizzi IP per le porte comunemente utilizzate, quindi non è raro usare una porta diversa per "volare sotto il radar". Questo serve solo per evitare il rilevamento, a parte il fatto che non vi è alcuna sicurezza aggiuntiva utilizzando una porta diversa.

Se solo un intervallo IP limitato può accedere alla porta, allora sei già "sotto il radar", quindi non vedo una buona ragione per usare una porta diversa.


6

Attualmente si. Per usare un altro esempio, l'amministratore del laboratorio Linux della mia università ha cambiato la porta SSH da 22 a un valore oscuro. Ha riferito che la rete è passata da ~ 10.000 ping / attacchi al giorno a circa 1 o 2 al mese. Certo, se non stai già soffrendo quel tipo di attacco, forse non vale la pena nella maggior parte dei casi. Tuttavia, passando a una porta alternativa discreta, si prevengono assalti a larga sonda e quant'altro.


3

Penso che questo sia un problema in due parti.

1) Il software di scansione delle porte comuni può prima provare le porte comuni, ma non c'è nulla che lo limiti specificamente dal provare tutte le porte, e devi supporre che sarà in grado di imprimere il protocollo quando trova una porta aperta .

2) Quando si verifica il port-scan più aggressivo, devi essere in grado di rilevarlo e fare qualcosa con questa conoscenza (come fail2ban, ecc.)

Il tuo amministratore sta proponendo (1), chiedi quali idee ha (2).



2

La modifica della porta li costringerà a eseguire una scansione. Quando si utilizza uno strumento di sicurezza come snort, con tocchi di rete o SPAN, diventa evidente qualcosa come una scansione delle porte del server. Qualcuno che si connette legittimamente al server SQL sulla porta predefinita non è così ovvio.

L'approccio migliore, sono d'accordo, non è la sicurezza per oscurità. Tuttavia, la modifica della porta predefinita su qualsiasi e tutte le applicazioni, quando possibile, fa parte di una strategia più approfondita e più profonda che include le attività dei team rossi, i team di monitoraggio della sicurezza della rete e tutta la strumentazione corretta, installata, maturata e compresa da quelli che lo stanno usando.

Quando hai tutte queste cose, allora un intruso nel tuo sistema si distingue come un pollice dolorante. La linea di fondo: se qualcuno pensa di poter migliorare la sicurezza dei propri sistemi spuntando un sacco di elementi in un elenco, si sbagliano. Se non riescono a spiegare perché devono cambiare la porta, senza mezzi termini, non appartengono al ruolo di qualcuno che ti dice di cambiare porta.


-2

Quando un'applicazione si connette a MS SQL su TCPIP, la prima parte della conversazione si svolge sul 1433 con l'istanza senza nome predefinita, non ultimo è la deseminazione di tutti i numeri di porta su cui comunicano le istanze denominate. Tutti i firewall devono essere configurati come a) lasciar passare agli intervalli ip appropriati, B) i numeri di porta fissi che possono essere utilizzati da qualsiasi istanza denominata. Questi dovrebbero essere configurati nel gestore configurazione SQL come risolti. È possibile comunicare con qualsiasi istanza utilizzando (indirizzo IP 192.168.22.55): (numero porta 12345) nella stringa di connessione. Se il servizio browser SQL non è abilitato, 1433 non fornirà la conversazione iniziale. Se si utilizza l'autenticazione NT, c'è poco da guadagnare. Se si utilizza l'autenticazione SQL, è necessario guadagnare una piccola quantità.


Porta 1434 UDP per la risoluzione dell'istanza ... msdn.microsoft.com/en-us/library/ms165724(SQL.90).aspx
gbn

-1 perché non dovrebbe avere un voto
gbn
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.