Devo eseguire il mio piccolo sito Web nelle porte 80, 8080 o 81?


20

Sto gestendo un piccolo sito Web utilizzando nginx. Dal momento che (probabilmente) non ci sarà molto traffico nella durata della vita del mio server e per evitare attacchi DoS casuali, sto pensando di impostare il server Web per l'ascolto su una porta alternativa anziché sulla porta 80.

L'ascolto su una porta alternativa (81, 8080, ecc.) Riduce effettivamente il mio rischio di attacchi o violazioni? O l'onere di mantenerlo supera i benefici? In tal caso, dovrei utilizzare quelle porte alternative per altri servizi Web nel caso in cui le avessi impostate in futuro?


4
Perché alcuni "aggressori" si assumono rischi per (D) fare un piccolo sito Web?
Gilles Quenot,

Risposte:


40

Ci sono due cose da considerare qui:

  1. I tuoi utenti ricorderanno di usare una porta non standard nel nome? Per impostazione predefinita, la porta 80 è lo standard e pertanto non è necessario digitarla nell'URL. Ad esempio, http://superuser.comfunziona sulla porta 80 e il tuo browser presuppone che 80 sia la porta che intendi quando la digiti. Non è diverso dalla digitazione http://superuser.com:80. Se si esegue il websever sulla porta 8080, l'utente deve digitare http://superuser.com:8080. L'utente medio probabilmente non lo ricorderà.
  2. L'esecuzione di un server Web su una porta non standard ti protegge dagli attacchi DoS? Non proprio. Se qualcuno volesse davvero smantellare il tuo sito, l'esecuzione su una porta non standard non li fermerà. Gli aggressori eseguiranno la scansione di tutte le porte del tuo IP e scopriranno rapidamente che 8080 (o qualunque cosa tu scelga) è aperto e risponde alle richieste HTTP.

Metodi come il cambio di porte sono chiamati " Sicurezza attraverso l'oscurità " ed è altamente discutibile che il lavoro extra e l'inconveniente forniscano una sicurezza preziosa.


6
Voglio aggiungere che non tutta la sicurezza attraverso l'oscurità è male. La modifica del nome utente amministratore o root predefinito è considerata una buona pratica. Tuttavia, cose come cambiare le porte sono inutili in quanto ci sono solo 32k e un computer può eseguire la scansione in pochi secondi.
Keltari,

2
Non aggiunge sicurezza, ma impedisce ai robot di scansione grezzi di rallentare il tuo sito, in particolare se il sito ha un record DNS.
Nathan MacInnes,

1
Dipende totalmente dalla scala dell'attacco. L'uso di porte non predefinite può aiutare a evitare scansioni su larga scala dire di / 0 per le vulnerabilità del web server usando zmap o nmap. Ma @Keltari è corretto, se sei un bersaglio, un utente malintenzionato eseguirà una scansione completa su di te, determinerà da quale porta è in esecuzione il tuo server e quindi il gioco, se sei vulnerabile ;-).
°

@NathanMacInnes con la tecnologia disponibile oggi, suppongo che il numero di bot che scansionano un piccolo sito sia trascurabile, e il rovescio della medaglia di cambiare una porta predefinita è piuttosto grande.
ILikeTacos,

2
È sbagliato, /superuser/e funziona sulla porta 443. I siti Web sicuri usano 443.
Elliot A.

5

Sì, l'impostazione di una porta alternativa in realtà riduce i rischi di attacchi, poiché i bot che strisciano sul Web per trovare webapp difettosi di solito non guardano altre porte.

Se un attaccante umano sta mirando al tuo server, sarà davvero facile scoprire la vera porta su cui nginx è in ascolto (scansionando le porte aperte).

L'uso di queste porte alternative è raro (tranne i proxy o ... server Web alternativi), quindi penso che tu possa usarlo senza paura.

Ma ricorda che l'uso di una porta così alternativa impedirà ai visitatori "predefiniti" di trovare il tuo sito Web, dovrai dire alle persone (o scriverlo nei link) la porta giusta usando URL come http://yourserver.com:81/ . ..


2

Un'ulteriore considerazione (tra le due fornite da Keltari) è che l'uso di una porta non standard può far sì che il tuo sito Web venga trascurato dai crawler Web dei motori di ricerca come Google, se non diversamente specificato.

Se è tua intenzione che il tuo sito web sia difficile da trovare per tutti tranne che per le persone a cui fornisci un link, allora l'utilizzo di una porta non standard sembrerebbe favorevole, ma altrimenti andrei con una porta standard.


1

Dipende. A che serve il "piccolo sito"?

  • Se verrà utilizzato da altre persone, consiglio vivamente di utilizzare le porte standard. Come indicato nella maggior parte delle risposte, l'utilizzo di una porta non standard richiede che la porta sia specificata dall'utente (ad es. Per la porta 81 -> yoursite.com:81). Se si utilizza una porta standard, il browser inserisce la porta dal protocollo (http, https). http: // è normalmente la porta 80 e https: // è normalmente la porta 443, a meno che non venga sovrascritto. Consiglio vivamente di usare porte standard. Certo, PUOI mettere l'unica entrata in una casa nel cortile, ma come faranno i visitatori a sapere che è lì?

  • Se è un sito di test utilizzato solo da te, ci sono due cose da porsi:

    • Sarà allegato a un record DNS (nome di dominio)? (Trovo che i miei server senza riferimenti DNS siano molto più silenziosi per quanto riguarda gli attacchi. NOTA: per favore, non considerarlo più sicuro. Non lo è; rende solo più difficile per gli attaccanti trovarti attraverso il DNS)
    • Stai bene digitando manualmente la porta e / o l'IP?

TL; DR:

  • Utilizzato da altre persone: utilizzare 80/443
  • Privato: a te

0

Puoi eseguire il server http su qualsiasi porta, ma sarà difficile per i tuoi navigatori, gli utenti ricordare la porta.

Ridurrà il rischio di attacchi o violazioni, ma ci sono anche altri modi, come proteggere il server e mantenere il server HTTP sulla porta 80

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.