La modifica del numero di porta predefinito aumenta effettivamente la sicurezza?

Ho visto dei consigli che dicevano che dovresti usare numeri di porta diversi per applicazioni private (es. Intranet, database privato, qualsiasi cosa che nessun estraneo userà).

Non sono del tutto convinto che possa migliorare la sicurezza perché

1. Esistono scanner per porte
2. Se un'applicazione è vulnerabile, rimane tale indipendentemente dal suo numero di porta.

Ho perso qualcosa o ho risposto alla mia domanda?

Non fornisce alcuna difesa seria contro un attacco mirato. Se il tuo server viene preso di mira, allora, come dici tu, ti effettueranno la scansione e scopriranno dove sono le tue porte.

Tuttavia, lo spostamento di SSH dalla porta predefinita di 22 scoraggia alcuni degli attacchi di tipo kiddie di script non mirati e amatoriali. Si tratta di utenti relativamente poco sofisticati che utilizzano script per eseguire il port scan di grandi blocchi di indirizzi IP alla volta, in particolare per vedere se la porta 22 è aperta e quando ne trovano uno, lanceranno una sorta di attacco su di essa (forza bruta, attacco del dizionario, eccetera). Se la tua macchina si trova in quel blocco di IP in fase di scansione e non sta eseguendo SSH sulla porta 22, allora non risponderà e quindi non comparirà nell'elenco delle macchine per questo script kiddie per attaccare. Ergo, c'è una certa sicurezza di basso livello fornita, ma solo per questo tipo di attacco opportunistico.

A titolo di esempio, se hai il tempo, registra l'immersione sul tuo server (supponendo che SSH sia sulla porta 22) ed estrai tutti gli unici tentativi SSH falliti che puoi. Quindi spostare SSH fuori da quella porta, attendere qualche istante e ricominciare a immergersi. Troverai senza dubbio meno attacchi.

Ero solito eseguire Fail2Ban su un server web pubblico ed era davvero ovvio quando spostavo SSH dalla porta 22. Tagliava gli attacchi opportunistici di ordini di grandezza.

È molto utile mantenere puliti i registri.

Se vedete tentativi falliti con sshd in esecuzione sulla porta 33201 è possibile tranquillamente supporre che la persona che si rivolge voi e si ha la possibilità di prendere i provvedimenti del caso se lo desiderano .. Come contattare le autorità, delle indagini, che questa persona può essere ( mediante riferimenti incrociati con gli IP degli utenti registrati o altro), ecc.

Se usi la porta predefinita, sarà impossibile sapere se qualcuno ti sta attaccando o è solo idioti casuali che eseguono scansioni casuali.

No, non lo fa. Non proprio. Il termine per questo è Security by Obscurity e non è una pratica affidabile. Hai ragione in entrambi i tuoi punti.

La sicurezza di Obscurity nella migliore delle ipotesi scoraggerà i tentativi casuali che vanno in giro alla ricerca di porte predefinite sapendo che a un certo punto troveranno qualcuno che ha lasciato la porta aperta. Tuttavia, se c'è mai una seria minaccia che si trova ad affrontare cambiando la porta diabolica rallenterà al massimo l'attacco iniziale, ma solo così marginalmente a causa di ciò che hai già sottolineato.

Fatevi un favore e lasciate le porte configurate correttamente, ma prendete le dovute precauzioni per bloccarle con un firewall adeguato, autorizzazioni, ACL, ecc.

È un leggero livello di oscurità, ma non un significativo ostacolo sulla strada per l'hacking. È una configurazione più difficile da supportare a lungo termine poiché tutto ciò che parla di quel particolare servizio deve essere raccontato sul diverso porto.

C'era una volta una buona idea per evitare worm di rete, poiché quelli tendevano a scansionare solo una porta. Tuttavia, il tempo del worm che si moltiplica rapidamente è ormai passato.

Come altri hanno sottolineato, la modifica del numero di porta non offre molta sicurezza.

Vorrei aggiungere che la modifica del numero di porta potrebbe effettivamente essere dannosa per la tua sicurezza.

Immagina il seguente scenario semplificato. Un cracker analizza 100 host. Novantanove di questi host hanno servizi disponibili su queste porte standard:

Port    Service
22      SSH
80      HTTP
443     HTTPS

Ma poi c'è un host che si distingue dalla massa, perché loro il proprietario del sistema ha cercato di offuscare i loro servizi.

Port    Service
2222    SSH
10080   HTTP
10443   HTTPS

Ora, questo potrebbe essere interessante per un cracker, perché la scansione suggerisce due cose:

1. Il proprietario dell'host sta cercando di nascondere i numeri di porta sul proprio sistema. Forse il proprietario pensa che ci sia qualcosa di prezioso nel sistema. Questo potrebbe non essere un sistema run-of-the-mill.
2. Hanno scelto il metodo sbagliato per proteggere il loro sistema. L'amministratore ha fatto un errore credendo nell'offuscamento del porto, il che indica che potrebbero essere un amministratore inesperto. Forse hanno usato l'offuscamento delle porte al posto di un firewall adeguato o di un IDS adeguato. Potrebbero aver commesso anche altri errori di sicurezza e potrebbero essere vulnerabili a ulteriori attacchi alla sicurezza. Analizziamo un po 'di più adesso, vero?

Se fossi un cracker, sceglieresti di dare un'occhiata a uno dei 99 host che eseguono servizi standard su porte standard o questo host che utilizza l'offuscamento delle porte?

Ho intenzione di andare contro la tendenza generale, almeno in parte.

Di per sé , il passaggio a una porta diversa potrebbe farti guadagnare un paio di secondi mentre viene cercato, quindi non ottenere nulla in termini reali. Tuttavia, se si combinano l'uso di porte non standard con misure anti-portoscan, si può ottenere un aumento della sicurezza davvero utile.

Ecco la situazione come si applica ai miei sistemi: i servizi non pubblici vengono eseguiti su porte non standard. Qualsiasi tentativo di connessione a più di due porte da un unico indirizzo di origine, con esito positivo o meno, entro un determinato periodo di tempo comporta la caduta di tutto il traffico proveniente da tale origine.

Per battere questo sistema richiederebbe o fortuna (colpire la porta giusta prima di essere bloccato) o una scansione distribuita, che innesca altre misure, o un tempo molto lungo, che sarebbe anche notato e agire.

A mio avviso, spostare la porta su cui viene eseguita un'applicazione non aumenta affatto la sicurezza, semplicemente per il motivo che la stessa applicazione è in esecuzione (con gli stessi punti di forza e di debolezza) solo su una porta diversa. Se l'applicazione presenta un punto debole, spostare la porta su cui è in ascolto verso un'altra porta non risolve il problema. Peggio ancora, ti incoraggia attivamente a NON affrontare la debolezza perché ora non viene costantemente martellato dalla scansione automatica. Nasconde il vero problema che è il problema che dovrebbe essere effettivamente risolto.

Qualche esempio:

• "Pulisce i registri" - Quindi hai un problema con il modo in cui gestisci i tuoi registri.
• "Riduce il sovraccarico della connessione" - Il sovraccarico è insignificante (come la maggior parte della scansione) o è necessario un qualche tipo di filtro / mitigazione del Denial-of-Service fatto a monte
• "Riduce l'esposizione dell'applicazione" - Se l'applicazione non è in grado di resistere alla scansione e allo sfruttamento automatizzati, l'applicazione presenta gravi carenze di sicurezza che devono essere risolte (vale a dire, mantenerlo aggiornato!).

Il vero problema è amministrativo: le persone si aspettano che SSH sia a 22, MSSQL a 1433 e così via. Spostarli è un ulteriore livello di complessità e documentazione richiesta. È molto fastidioso sedersi in una rete e usare nmap solo per capire dove sono state spostate le cose. Le aggiunte alla sicurezza sono effimere nella migliore delle ipotesi e gli aspetti negativi non sono insignificanti. Non farlo Risolvi il vero problema.

Hai ragione che non porterà molta sicurezza (poiché l'intervallo di porte del server TCP ha solo 16 bit di entropia), ma puoi farlo per altri due motivi:

• come altri hanno già detto: gli intrusi che provano molti accessi possono ingombrare i file di registro (anche se gli attacchi del dizionario da un singolo IP possono essere bloccati con fail2ban);
• SSH ha bisogno della crittografia a chiave pubblica per scambiare chiavi segrete per creare un tunnel sicuro (si tratta di un'operazione costosa che in condizioni normali non deve essere eseguita molto spesso); ripetute connessioni SSH potrebbero sprecare la potenza della CPU .

Nota: non sto dicendo che dovresti cambiare la porta del server. Sto solo descrivendo ragionevoli motivi (IMO) per modificare il numero di porta.

Se lo fai, penso che devi chiarire a tutti gli altri amministratori o utenti che questo non dovrebbe essere considerato una funzione di sicurezza e che il numero di porta utilizzato non è nemmeno un segreto e che lo descrive come una funzione di sicurezza ciò porta sicurezza reale non è considerato un comportamento accettabile.

Riesco a vedere una situazione ipotetica in cui ci sarebbe un potenziale vantaggio di sicurezza nell'esecuzione di sshd su porta alternativa. Questo sarebbe nello scenario in cui una vulnerabilità remota banalmente sfruttata viene rilevata nel software sshd in esecuzione. In un tale scenario, l'esecuzione di sshd su una porta alternativa potrebbe darti solo il tempo extra necessario per non essere un target drive-by casuale.

Io stesso eseguo lo sshd su una porta alternativa sulle mie macchine private, ma è principalmente una comodità per mantenere il disordine in /var/log/auth.log. Su un sistema multiutente, non considero davvero il piccolo ipotetico vantaggio in termini di sicurezza presentato sopra come motivo sufficiente per la seccatura aggiuntiva causata dal fatto che la sshd non si trova nella parte standard.

Aumenta leggermente la sicurezza. In quanto l'attaccante che ha trovato la porta aperta ora deve capire cosa è in esecuzione sulla porta. Non avendo accesso ai tuoi file di configurazione (ancora :-)) non ha idea se la porta 12345 stia eseguendo http, sshd o uno dei mille altri servizi comuni, quindi devono fare un lavoro extra per capire cosa sta funzionando prima che possano seriamente attaccalo.

Inoltre, come hanno sottolineato altri poster, mentre i tentativi di accedere alla porta 22, potrebbero essere kiddie di script indifferenti, trojan zombi o persino utenti autentici che hanno sbagliato a digitare un indirizzo IP. Un tentativo di accedere alla porta 12345 è quasi certo di essere un utente reale o un attaccante serio.

Un'altra strategia è quella di avere alcune porte "trappola per miele". Poiché nessun utente autentico sarebbe a conoscenza di questi numeri di porta, qualsiasi tentativo di connessione deve essere considerato dannoso e puoi bloccare / segnalare automaticamente l'indirizzo IP offensivo.

C'è un caso speciale in cui l'utilizzo di un numero di porta diverso renderà sicuramente il tuo sistema più sicuro. Se la tua rete esegue un servizio pubblico come un server Web ma esegue anche un server Web solo per uso interno, puoi assolutamente bloccare qualsiasi accesso esterno eseguendo un numero di porta diverso e bloccando qualsiasi accesso esterno da questa porta.

Non da solo. Tuttavia, non utilizzare la porta predefinita per una particolare applicazione (ad esempio, SQL Server) costringerà il tuo aggressore a scansionare le tue porte; questo comportamento può quindi essere rilevato dal firewall o da altre metriche di monitoraggio e l'IP dell'attaccante bloccato. Inoltre, lo "script kiddie" medio sarà probabilmente scoraggiato quando lo strumento semplice o lo script di comando che stanno utilizzando non trovano un'istanza del server SQL sul computer (poiché lo strumento controlla solo la porta predefinita).