Sicuro di usare numeri di porta elevati? (ri: oscurando i servizi web)

Ho una piccola rete domestica e sto cercando di bilanciare la necessità di sicurezza rispetto alla praticità. Il modo più sicuro per proteggere i server Web interni è connettersi solo tramite VPN, ma questo sembra eccessivo per proteggere un'interfaccia Web remota del DVR (ad esempio).

Come compromesso, sarebbe meglio usare numeri di porte molto grandi? (es. cinque cifre fino a 65531)

Ho letto che gli scanner delle porte in genere scansionano solo le prime 10.000 porte, quindi usare numeri di porta molto alti è un po 'più sicuro.

È vero?

Esistono modi migliori per proteggere i server Web? (ad es. web guis per le applicazioni)

Ho letto che gli scanner delle porte in genere scansionano solo le prime 10.000 porte, quindi usare numeri di porta molto alti è un po 'più sicuro.

Molte persone ci credono. Io non.

Forse è un po 'più sicuro, ma non molto. Le porte a basso numero sono più comuni, quindi alcuni scanner guarderanno prima lì.

Se fossi un cracker, analizzerei prima le porte alte, solo per catturare le persone che si affidano a questo metodo per motivi di sicurezza. Le persone che si affidano alla sicurezza attraverso l'oscurità probabilmente hanno una scarsa comprensione della sicurezza e hanno maggiori probabilità di dimenticare di usare altri metodi di sicurezza. Pertanto, tali servizi potrebbero essere più vulnerabili e più facili da decifrare.

Alcuni scanner sfruttano questo credo, e iniziano dall'alto e scendono la lista. Altre scansioni selezioneranno porte casuali su tutto l'intervallo, quindi tutte le porte hanno le stesse possibilità di essere scansionate.

Vai avanti e testalo tu stesso usando NMAP . Esegui una scansione nmap sulle porte 1-10.000 e cerca un server HTTP e confrontalo con una scansione che esegue la scansione su tutte le porte 1-65, xxx. Vedrai che la differenza è in genere di 3-10 minuti. Se eseguo una scansione dettagliata usando qualcosa come Nessus, la differenza è a volte 20-60 minuti.

Un buon cracker è un cracker paziente. Aspetteranno.

L'uso di numeri di porta dispari non è affatto sicurezza a meno che non si stia facendo il fatto che ti consenta di eseguire l'applicazione come utente non root.

Questo genere di cose può essere considerato sicurezza dall'oscurità, ma in realtà non è sicurezza.

Puoi anche usare un tunnel ssh se stai usando Linux ad entrambe le estremità:

ssh -f -N -L 9090:localhost:9090 user@remote-host

Ad esempio, è quello che uso per inoltrare la porta 9090 sull'host remoto alla mia porta locale 9090 cherokee-admine utilizzo configurazioni simili per altre GUI Web. È possibile proteggere le applicazioni in questo modo specificando nella configurazione dell'app che devono essere eseguite solo su localhost, ovvero su 127.0.0.1. In questo modo non sono raggiungibili dall'esterno, ma è possibile inoltrarli con ssh. Controlla man sshaltre opzioni usando il port forwarding (incluso X, che potrebbe risolvere completamente il tuo problema in un altro modo).

Questo potrebbe essere un modo adatto per raggiungere il tuo obiettivo senza installare / configurare software aggiuntivo, a seconda della configurazione.

Se il firewall lo consente, è possibile far sì che l'autenticazione avvenga prima a livello di firewall, se la complessità delle password è sufficientemente buona, ciò dovrebbe rafforzare la sicurezza dei servizi esposti. puoi anche usare il tunneling SSL usando ad esempio lo stunnel e l'autenticazione reciproca.

Considerando il fatto che l'utilizzo di un numero di porte superiore è più sicuro, in un certo senso, forse in riferimento ai bot che scansionano il tuo IP e provano alcuni exploit, ma se qualcuno vuole davvero violare, l'uso di un numero di porte più elevato non fornirà una maggiore sicurezza.