เป็นการดีที่สุดที่จะหลีกเลี่ยงการใช้พอร์ตเริ่มต้นสำหรับ SQL Server หรือไม่

21

ในอดีตนั้นไม่แนะนำให้ใช้พอร์ตเริ่มต้นสำหรับการเชื่อมต่อกับ SQL Server ซึ่งเป็นส่วนหนึ่งของแนวปฏิบัติด้านความปลอดภัยที่ดีที่สุด บนเซิร์ฟเวอร์ที่มีอินสแตนซ์เริ่มต้นเดียวจะใช้พอร์ตต่อไปนี้เป็นค่าเริ่มต้น:

  • บริการ SQL Server - พอร์ต 1433 (TCP)
  • บริการเบราว์เซอร์เซิร์ฟเวอร์ SQL - พอร์ต 1434 (UDP)
  • การเชื่อมต่อผู้ดูแลระบบเฉพาะ - พอร์ต 1434 (TCP)

คำถาม:

  • คำแนะนำนี้ยังเกี่ยวข้องหรือไม่?
  • ควรเปลี่ยนพอร์ตด้านบนทั้งหมดหรือไม่
sql-server  security  best-practices  dynamic-ports 
เจมส์ดี
แหล่งที่มา
1
บางทีโพสต์นี้สามารถช่วยคุณได้dba.stackexchange.com/questions/213810/…
igelr

คำตอบ:

68

ในอดีตนั้นไม่แนะนำให้ใช้พอร์ตเริ่มต้นสำหรับการเชื่อมต่อกับ SQL Server ซึ่งเป็นส่วนหนึ่งของแนวปฏิบัติด้านความปลอดภัยที่ดีที่สุด

ซึ่งตอนนี้เป็นตอนแล้ว การรักษาความปลอดภัยผ่านเนื้อหาที่คลุมเครือนั้นไม่ใช่ความปลอดภัยเลย

คำแนะนำนี้ยังคงเกี่ยวข้องอยู่หรือไม่

IMHO มันไม่เคยเกี่ยวข้อง มันเป็นสิ่งจำเป็นสำหรับวัตถุประสงค์ในการปฏิบัติตามกฎระเบียบบางอย่างเพราะผู้คนในการร่างข้อร้องเรียนเหล่านั้นไม่เข้าใจว่าพวกเขากำลังทำอะไรอยู่ IMHO

ควรเปลี่ยนพอร์ตด้านบนทั้งหมดหรือไม่

ฉันจะไม่เปลี่ยนแปลงอะไร

ฌอนพูดว่าลบ Sara Chipps
แหล่งที่มา
11

แม้ว่าการรักษาความปลอดภัยด้วยความสับสนจะไม่ใช่การรักษาความปลอดภัยที่เกิดขึ้นจริงฉันจะไม่บอกว่าไม่มีกรณีใดที่จะช่วยได้

หากผู้โจมตีต้องการทราบว่าบริการของคุณรับฟังอยู่ที่ไหนพวกเขาสามารถค้นหาได้ง่าย แต่ในกรณีที่การโจมตีอัตโนมัติเป็นใบ้คุณอาจโชคดีถ้าคุณเปลี่ยนพอร์ต

ครั้งเดียวที่ฉันจำได้ว่ามันช่วยอะไรได้บ้างในช่วงเวลาของSQL Slammerที่ซึ่ง SQL Server 2000 มีช่องโหว่และเวิร์มแพร่กระจายโดยการสร้าง IP แบบสุ่มและเชื่อมต่อกับพอร์ตเบราว์เซอร์ SQL Server เริ่มต้น

ถ้าฉันจำได้ถูกต้องมันเป็นคำแนะนำอย่างเป็นทางการในเวลาที่เปลี่ยนพอร์ตจนกว่าคุณจะสามารถแก้ไขเซิร์ฟเวอร์ของคุณได้ (อาจเป็นเพราะไม่มี patch ที่ใช้งานได้ทันทีหรือเพราะคุณไม่มีหน้าต่าง)

เพื่อให้เวิร์มนั้นเข้าสู่เครือข่ายของคุณในเวลาที่คุณต้องการให้ SQL Server เชื่อมต่อกับอินเทอร์เน็ตแทนที่จะอยู่หลังไฟร์วอลล์ซึ่งคุณไม่ควรทำ แต่อย่างใดหมายเลขพอร์ตที่ไม่ใช่ค่าเริ่มต้นอาจช่วยได้ในกรณีเฉพาะนั้น

อย่างไรก็ตามฉันยอมรับว่าหากคุณมีความปลอดภัยที่เหมาะสมในสถานที่ความซับซ้อนที่คุณเพิ่มอาจไม่เกินความเป็นไปได้ที่จะป้องกันเหตุการณ์

Tom V - ทีมโมนิก้า
แหล่งที่มา
9

ในอดีตนั้นไม่แนะนำให้ใช้พอร์ตเริ่มต้นสำหรับการเชื่อมต่อกับ SQL Server ซึ่งเป็นส่วนหนึ่งของแนวปฏิบัติด้านความปลอดภัยที่ดีที่สุด

ไม่มันไม่ใช่ คนที่เข้าใจผิดบางคนอาจนำเสนอเป็นเช่นนี้ แต่ฉันได้รับการรักษาความปลอดภัยมานานกว่า 20 ปีและการเปลี่ยนพอร์ตเริ่มต้นมักจะเป็นแบบ "ที่นี่เป็นสิ่งที่คุณสามารถทำได้ถ้าคุณต้องการซึ่งบางครั้งในสถานการณ์ที่เฉพาะเจาะจง การรักษาความปลอดภัยเพิ่มเติมเล็กน้อยจากภัยคุกคามบางอย่าง

คำแนะนำนี้ยังเกี่ยวข้องหรือไม่?

ภายใต้สถานการณ์ที่เฉพาะเจาะจงมากขึ้นอยู่กับรูปแบบการคุกคามและการวิเคราะห์ความเสี่ยงของคุณ ในกรณีส่วนใหญ่ไม่ไม่เกี่ยวข้องหรือไม่เคยมีมาก่อน

ทอม
แหล่งที่มา
7

ใช่มันยังคงมีประโยชน์

การเปลี่ยนแปลงพอร์ตเริ่มต้นมีวัตถุประสงค์ที่แท้จริงเพียงอย่างเดียวเท่านั้น: ป้องกันการสแกน / การโจมตีอัตโนมัติหากเซิร์ฟเวอร์ฐานข้อมูลของคุณเปิดไปยังโฮสต์ที่อาจถูกโจมตี

ในขณะที่อาจไม่ฟังดูเป็นเรื่องใหญ่โปรดจำไว้ว่า:

  • โฮสต์ใด ๆ อาจได้รับอันตราย (หรือเซิร์ฟเวอร์ฐานข้อมูลของคุณอาจได้รับผลกระทบจากอินเทอร์เน็ตเนื่องจากมีข้อผิดพลาดบางอย่าง)
  • การโจมตีส่วนใหญ่ในสมัยนั้นเป็นการโจมตีแบบอัตโนมัติและส่วนมากจะพยายามพอร์ตเริ่มต้นเท่านั้น (เนื่องจากการเล็งที่ผลไม้แขวนต่ำนั้นมีประสิทธิภาพมากที่สุด)

ดังนั้นใช่แม้ว่ามันจะไม่ช่วยคุณได้มากนักหากอยู่ภายใต้การโจมตีเป้าหมายการใช้พอร์ตสุ่ม (และ / หรือทำให้ฟังบนที่อยู่ IPv6 แบบสุ่มเท่านั้น) จะทำให้มองเห็นได้น้อยลงดังนั้นอย่างน้อยก็ทำให้คุณมีเวลามากขึ้น อัปเกรดก่อนการสแกนหาประโยชน์โดยอัตโนมัติในวันที่ 0 คุณ (และอาจปกป้องคุณจากการสแกนอัตโนมัติทั้งหมดด้วยตัวเอง!)

นอกจากนี้ (สิ่งนี้จะช่วยไม่เพียง แต่ต่อต้านการโจมตีอัตโนมัติทั้งหมด แต่ยังต่อต้านการโจมตีเป้าหมายบางอย่างเช่นกัน) เมื่อผู้โจมตีพยายามค้นหาพอร์ตฐานข้อมูลของคุณเพื่อใช้ประโยชน์จากพอร์ตสแกนโดย bruteforce มันสามารถตรวจจับและป้องกันได้ และแจ้งเตือนผู้ดูแลระบบหากตรวจพบโฮสต์ภายในบางแหล่งว่าเป็นแหล่งที่มาของการโจมตี)

นอกจากนี้โปรดทราบว่าการเปลี่ยนพอร์ตเริ่มต้นสำหรับเซิร์ฟเวอร์และไคลเอนต์ (โดยเฉพาะหากมีการปรับใช้โดยอัตโนมัติ) นั้นเป็นเรื่องเล็กน้อยสำหรับการทำงาน ดังนั้นคุณควรจะทำมันจริงๆ (ไม่เพียง แต่สำหรับเซิร์ฟเวอร์ฐานข้อมูล แต่สำหรับบริการทั้งหมดที่ค่าใช้จ่ายในการตั้งค่าไม่ได้ถูกห้ามเนื่องจากปัญหาการใช้งาน: 80ไม่แนะนำให้เปลี่ยนพอร์ตเริ่มต้นสำหรับเว็บจากบางคน (และบอท) จะทำให้มันยุ่งเหยิงและไฟร์วอลล์แบบสุ่มทั่วโลกอาจไม่อนุญาตให้สร้างการเชื่อมต่อ แต่ RDP นั้นเป็นเป้าหมายที่ยอดเยี่ยมสำหรับพอร์ตที่ไม่ใช่ค่าเริ่มต้น)

Matija Nalis
แหล่งที่มา
1

ฉันจะไม่เปลี่ยนพอร์ต แต่ไม่เคยเปิดเผยบริการฐานข้อมูลโดยตรงผ่านอินเทอร์เน็ต ผ่านอุโมงค์ที่ปลอดภัยเช่น SSH เท่านั้น การเปลี่ยนพอร์ตของ SSH อาจเป็นความคิดที่ดีในการลดทราฟฟิกโดยสแกนเนอร์

โทมัส
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.