การเปลี่ยนหมายเลขพอร์ตเริ่มต้นจะเพิ่มความปลอดภัยหรือไม่?


69

ฉันเห็นคำแนะนำว่าคุณควรใช้หมายเลขพอร์ตที่แตกต่างกันสำหรับแอปพลิเคชันส่วนตัว (เช่นอินทราเน็ตฐานข้อมูลส่วนตัวอะไรที่ไม่มีคนนอกใช้)

ฉันไม่เชื่ออย่างเต็มที่ว่าจะสามารถปรับปรุงความปลอดภัยได้เพราะ

  1. สแกนเนอร์พอร์ตอยู่
  2. หากแอพพลิเคชั่นมีความเสี่ยงจะยังคงอยู่โดยไม่คำนึงถึงหมายเลขพอร์ต

ฉันคิดถึงอะไรบางอย่างหรือว่าฉันตอบคำถามของฉันเอง?


30
สิ่งหนึ่งที่ฉันทำคือใช้พอร์ตเริ่มต้นที่แน่นอน (เช่น SSH พอร์ต 22) เป็นหม้อน้ำผึ้ง ทุกคนที่พยายามเชื่อมต่อกับพอร์ตเหล่านั้นจะถูกบล็อกโดยสิ้นเชิงเป็นxระยะเวลา มันพิสูจน์แล้วว่ามีประสิทธิภาพต่อการสแกนพอร์ต แน่นอนว่านี่เป็นเพียงเครื่องมือเดียวในกล่องเครื่องมือรักษาความปลอดภัย
Belmin Fernandez

คำถามทั่วไปเกี่ยวกับความปลอดภัยผ่านความสับสนถูกถามที่นี่: security.stackexchange.com/questions/2430/…
Tony Meyer

มันอาจเป็นอุปสรรคสำหรับ "scripting kids"
ลูคัสมาดอน

1
@BelminFernandez "เครื่องมือหนึ่งในกล่องเครื่องมือความปลอดภัย"หรือไม่? ไม่นี่คือการลดโหลดเซิร์ฟเวอร์ (ประสิทธิภาพ) และไม่มีอะไรเกี่ยวข้องกับความปลอดภัยนอกเหนือจากภาพลวงตาของมัน การรักษาความปลอดภัยนั้นไม่จำเป็นเลยหากเซิร์ฟเวอร์มีความปลอดภัยอยู่แล้วและหากเซิร์ฟเวอร์มีความเสี่ยงจะไม่ทำให้มีความปลอดภัยมากขึ้น
Pacerier

@Pierier เห็นด้วยว่าความพยายามและการมุ่งเน้นควรดำเนินการตามแนวทางปฏิบัติด้านความปลอดภัยที่มั่นคงยิ่งขึ้น อย่างไรก็ตามไม่มีเหตุผลใดที่คุณไม่สามารถทำได้ทั้งสองอย่าง
Belmin Fernandez

คำตอบ:


68

มันไม่ได้ให้การป้องกันที่จริงจังกับการโจมตีเป้าหมาย หากเซิร์ฟเวอร์ของคุณได้รับการกำหนดเป้าหมายอย่างที่คุณพูดพวกเขาจะทำการสแกนพอร์ตและค้นหาว่าประตูของคุณอยู่ที่ไหน

อย่างไรก็ตามการย้าย SSH ออกจากพอร์ตเริ่มต้นที่ 22 จะขัดขวางการโจมตีประเภทตัวเล็กของสคริปต์ที่ไม่ใช่เป้าหมายและสมัครเล่น ผู้ใช้ที่ไม่ค่อยมีความซับซ้อนซึ่งใช้สคริปต์เพื่อสแกนพอร์ตของที่อยู่ IP จำนวนมากในแต่ละครั้งโดยเฉพาะเพื่อดูว่าพอร์ต 22 เปิดอยู่หรือไม่และพวกเขาพบที่อยู่หนึ่งหรือไม่พวกเขาจะเปิดการโจมตีบางประเภท ฯลฯ ) หากเครื่องของคุณอยู่ในบล็อกของ IP ที่กำลังสแกนและไม่ได้รัน SSH บนพอร์ต 22 เครื่องจะไม่ตอบสนองดังนั้นจะไม่ปรากฏในรายการเครื่องสำหรับสคริปต์ตัวเล็กเพื่อโจมตี ดังนั้นมีการรักษาความปลอดภัยระดับต่ำให้ แต่เฉพาะสำหรับการโจมตีแบบฉวยโอกาสนี้

ตัวอย่างเช่นถ้าคุณมีเวลา - บันทึกการดำน้ำบนเซิร์ฟเวอร์ของคุณ (สมมติว่า SSH อยู่ที่พอร์ต 22) และดึง SSH ที่ล้มเหลวทั้งหมดที่ไม่ซ้ำกันซึ่งคุณสามารถทำได้ จากนั้นย้าย SSH ออกจากพอร์ตนั้นรอสักครู่แล้วไปบันทึกการดำน้ำอีกครั้ง คุณจะพบการโจมตีน้อยลงอย่างไม่ต้องสงสัย

ฉันเคยใช้ Fail2Ban บนเว็บเซิร์ฟเวอร์สาธารณะและมันชัดเจนจริงๆเมื่อฉันย้าย SSH ออกจากพอร์ต 22 มันลดการโจมตีที่ฉวยโอกาสจากคำสั่งขนาด


3
ตกลง ฉันเห็นการหล่นคล้ายกันมากเมื่อทำการทดลองกับการย้าย SSH ไปยังพอร์ตที่ไม่ได้มาตรฐาน โชคดีที่มีการปิดใช้งานรหัสผ่านถูกปิดใช้งานจริง ๆ มันไม่ใช่ปัญหา
EEAA

3
คำตอบที่ดีที่สุดที่นี่จนถึง ทุกอย่างลงมาเพื่อโจมตีใคร ฉันเคยช่วยผู้ดูแลระบบที่ถูกโจมตีด้วยการโจมตี zero-day จากการสแกนตัวเล็ก น่าจะเป็นใน MS-RDP เนื่องจากเราไม่มี IIS ที่เปิดเผยโดยไฟร์วอลล์ โฮสต์ของเราไม่อนุญาตให้เราเปลี่ยนพอร์ต RDP (โฮสติ้งที่มีการจัดการ) ดังนั้นโดยทั่วไปเราต้องนั่งที่นั่นในขณะที่พวกเขาทำงานในรูปแบบใหม่สำหรับการกรอง IDS / IPS ของพวกเขา แม้ว่ามันอาจจะไม่ได้ช่วยอะไรมากสำหรับเซิร์ฟเวอร์ที่จัดตั้งขึ้นเช่น SSH ซึ่งดูเหมือนว่าจะมีปัญหาด้านความปลอดภัยน้อยกว่าผลิตภัณฑ์ MS บางตัว
Matt Molnar

9
เห็นด้วยอย่างแน่นอน ความปลอดภัยเป็นเรื่องของเลเยอร์และยิ่งคุณมีมากเท่าไหร่ก็ยิ่งมีความปลอดภัยมากเท่านั้น นี่อาจเป็นเลเยอร์ที่อ่อนแอ แต่ก็ยังเป็นเลเยอร์อยู่ดี ตราบใดที่มันไม่ได้พึ่งพิงเพียงอย่างเดียวมันสามารถเพิ่มความปลอดภัยได้เท่านั้น
Paul Kroon

1
อีกจุดหนึ่งที่จะย้าย SSH ออกจากพอร์ต 22 คือ SSH จำนวนมากพยายามบวกบริการเนื่องจาก Fail2Ban อาจใช้เวลา CPU ที่มีค่า อาจไม่มีความสำคัญอยู่ด้านบนของฮาร์ดแวร์สาย แต่บางเซิร์ฟเวอร์ที่เก่ากว่าอาจพบ CPU spikes เวลาซีพียูหน่วยความจำและแบนด์วิดท์ของมันที่คุณสามารถใช้เพื่อสิ่งอื่น ๆ
artifex

ฉันทำเช่นเดียวกันกับ RDP บน Server 2003 - มันลดปริมาณการตรวจสอบสิทธิ์ที่ล้มเหลวใน Event Viewer อย่างมาก
Moshe

43

มันมีประโยชน์มากในการรักษาบันทึกให้สะอาด

หากคุณเห็นความพยายามที่ล้มเหลวขณะที่ sshd ทำงานบนพอร์ต 33201 คุณสามารถสันนิษฐานได้อย่างปลอดภัยว่าบุคคลนั้นกำลังกำหนดเป้าหมายคุณและคุณมีตัวเลือกในการดำเนินการที่เหมาะสมหากคุณต้องการ .. เช่นการติดต่อกับเจ้าหน้าที่ โดยอ้างอิงข้ามกับ IP ของผู้ใช้ที่ลงทะเบียนของคุณหรืออะไรก็ตาม) ฯลฯ

หากคุณใช้พอร์ตเริ่มต้นคุณจะไม่สามารถทราบได้ว่ามีใครบางคนกำลังโจมตีคุณหรือเป็นเพียงคนโง่ที่สุ่มที่ทำการสแกนแบบสุ่ม


8
ความแตกต่างที่ยอดเยี่ยม
ZJR

3
+1 นี่คืออาร์กิวเมนต์ที่ดีที่สุดสำหรับการเปลี่ยนหมายเลขพอร์ตที่ฉันเคยได้ยินและจนถึงตอนนี้สิ่งเดียวที่จะดึงดูดฉันให้ทำเช่นนั้น
squillman

2
+1 นี่คือจุดที่ดี ภัยคุกคามที่กำหนดเป้าหมายมีความอันตรายมากกว่าโพรบแบบสุ่ม (สคริปต์ kiddies จะย้ายไปยังเป้าหมายที่ง่ายขึ้นหากคุณมีความปลอดภัยที่เหมาะสม) ผู้โจมตีเป้าหมายอาจรู้มากขึ้นเกี่ยวกับช่องโหว่เฉพาะหรือแม้แต่รูปแบบรหัสผ่าน เป็นการดีที่จะสามารถรับรู้การโจมตีเหล่านี้นอกกลุ่มสแปมบนพอร์ต 22
สตีเวนทีสไนเดอร์

1
นี่เป็นเท็จ ฉันเคยเห็นเซิร์ฟเวอร์อย่างน้อยหนึ่งตัวถูกบุกรุกโดยการสแกนพอร์ต SSH ที่ไม่ได้มาตรฐาน ไม่มีเหตุผลโดยธรรมชาติที่ทำให้ผู้โจมตีไม่สามารถสแกนพอร์ตอื่นได้เช่นกัน
Sven Slootweg

@SvenSlootweg ทรูโดยเฉพาะอย่างยิ่งกับเครื่องคอมพิวเตอร์ได้เร็วขึ้นและราคาถูกสแกนการ 65535 ครั้งนานจะไม่มากอีกต่อไปใด ๆ เพิ่มเติม
Pacerier

28

ไม่เลย ไม่ได้จริงๆ คำนี้คือความปลอดภัยโดยความสับสนและไม่ใช่วิธีปฏิบัติที่เชื่อถือได้ คุณถูกต้องทั้งสองประเด็น

การรักษาความปลอดภัยโดยความสับสนที่ดีที่สุดจะขัดขวางความพยายามชั่วคราวที่เพิ่งไปรอบ ๆ เพื่อค้นหาพอร์ตเริ่มต้นโดยรู้ว่าในบางครั้งพวกเขาจะพบคนที่เปิดประตูหน้าทิ้งไว้ อย่างไรก็ตามหากมีภัยคุกคามร้ายแรงใด ๆ ที่คุณต้องเผชิญกับการเปลี่ยนพอร์ต deault จะทำให้การโจมตีเริ่มต้นช้าลง แต่จะมีเพียงเล็กน้อยเท่านั้นเพราะสิ่งที่คุณได้ชี้ไปแล้ว

ทำตัวเองให้เป็นที่โปรดปรานและปล่อยให้พอร์ตของคุณกำหนดค่าไว้อย่างเหมาะสม แต่ใช้ความระมัดระวังที่เหมาะสมในการล็อคมันด้วยไฟร์วอลล์ที่เหมาะสมการอนุญาต ACL ฯลฯ


17
ประมาณการของรหัสผ่าน (แรง) และการเข้ารหัสลับเข้าไปในความคิดของการรักษาความปลอดภัยจากความสับสนเป็นบิตของการยืดในความต่ำต้อยของตัวเอง ...
squillman

5
ใช้เพียง 8 ตัวอักษรที่มีช่วงเต็มของตัวอักษรและตัวเลข (และไม่อนุญาตให้ใช้อักขระพิเศษ) จำนวนชุดค่าผสมที่เป็นไปได้คือ 62 ^ 8 (218,340,105,584,896) 65535 ไม่ได้อยู่ในเอกภพเดียวกันแม้กระทั่งเมื่อใช้เครื่องตรวจจับการสแกนพอร์ต หมายเหตุฉันกำลังลดรหัสผ่านที่อ่อนแอ
squillman

3
อีกครั้ง "ไม่ใช่ว่าพอร์ตที่ไม่ได้มาตรฐานเป็นอุปกรณ์รักษาความปลอดภัยทั้งหมด" ทุก ๆ เล็กน้อยช่วย เป็นเวลา 10 วินาทีที่ไม่มีอะไรจะหยุดเซิร์ฟเวอร์ของคุณไม่ให้คนอื่นมองหา SSH เพื่อเริ่มเคาะประตู
ceejayoz

8
Meh การติดตามพอร์ตที่ไม่ได้มาตรฐานนั้นไม่คุ้มค่าในหนังสือของฉัน ฉันจะเห็นด้วยที่จะไม่เห็นด้วยกับใคร ... การเพิ่มมาตรการตอบโต้เพิ่มเติมนอกเหนือจากการเปลี่ยนพอร์ตนั้นเป็นส่วนหนึ่งของสมการอย่างแน่นอนและฉันอยากจะทิ้งทุกอย่างไว้ในส่วนของปริศนาเหล่านั้น
squillman

6
จากสิ่งที่ฉันได้เห็นพอร์ตที่ไม่ได้มาตรฐานได้กลายเป็นมาตรฐานค่อนข้าง 2222 สำหรับ ssh, 1080, 8080, 81, 82, 8088 สำหรับ HTTP มิเช่นนั้นจะคลุมเครือเกินไปและคุณสงสัยว่าบริการใดอยู่บนพอร์ต 7201 และทำไมคุณไม่สามารถเชื่อมต่อกับ ssh ได้ที่ 7102
BillThor

13

มันเป็นระดับของความสับสนเล็กน้อย แต่ไม่ใช่ความเร็วในการเจาะที่สำคัญบนท้องถนน เป็นการกำหนดค่าที่หนักกว่าที่จะสนับสนุนในระยะยาวเนื่องจากทุกสิ่งที่พูดกับบริการนั้น ๆ ต้องได้รับการบอกเล่าเกี่ยวกับพอร์ตต่าง ๆ

กาลครั้งหนึ่งมันเป็นความคิดที่ดีเพื่อหลีกเลี่ยงเวิร์มเครือข่ายเนื่องจากสิ่งเหล่านั้นมีแนวโน้มที่จะสแกนเพียงพอร์ตเดียว อย่างไรก็ตามเวลาของเวิร์มที่ทวีคูณอย่างรวดเร็วได้ผ่านพ้นไปแล้ว


2
+1 สำหรับปัญหาการกำหนดค่าและการสนับสนุนที่ยากขึ้น ทำให้คุณเสียเวลาที่สามารถใช้ในการรักษาความปลอดภัยประตู (แทนที่จะต้องค้นหาที่บ้านของคุณได้ใส่ไว้)
Macke

12

ดังที่คนอื่น ๆ ชี้ให้เห็นการเปลี่ยนหมายเลขพอร์ตไม่ได้ให้ความปลอดภัยมากนัก

ฉันต้องการเพิ่มว่าการเปลี่ยนหมายเลขพอร์ตอาจเป็นอันตรายต่อความปลอดภัยของคุณ

ลองนึกภาพสถานการณ์ที่ง่ายขึ้นดังต่อไปนี้ แครกเกอร์สแกนโฮสต์ 100 รายการ เก้าสิบเก้าของโฮสต์เหล่านี้มีบริการบนพอร์ตมาตรฐานเหล่านี้:

Port    Service
22      SSH
80      HTTP
443     HTTPS

แต่มีโฮสต์หนึ่งที่โดดเด่นจากฝูงชนเพราะเจ้าของระบบพยายามทำให้บริการของพวกเขาสับสน

Port    Service
2222    SSH
10080   HTTP
10443   HTTPS

ตอนนี้สิ่งนี้อาจน่าสนใจสำหรับแครกเกอร์เพราะการสแกนแนะนำสองสิ่ง:

  1. เจ้าของโฮสต์พยายามซ่อนหมายเลขพอร์ตในระบบของพวกเขา บางทีเจ้าของคิดว่ามีบางสิ่งที่มีค่าในระบบ นี่อาจไม่ใช่ระบบที่หมดสิ้นแล้ว
  2. พวกเขาเลือกวิธีที่ผิดเพื่อรักษาความปลอดภัยระบบของพวกเขา ผู้ดูแลระบบทำผิดพลาดโดยเชื่อในการทำให้พอร์ตสับสนซึ่งบ่งชี้ว่าพวกเขาอาจเป็นผู้ดูแลระบบที่ไม่มีประสบการณ์ บางทีพวกเขาใช้พอร์ต obfuscation แทนไฟร์วอลล์ที่เหมาะสมหรือ IDS ที่เหมาะสม พวกเขาอาจทำผิดพลาดด้านความปลอดภัยอื่น ๆ เช่นกันและอาจเสี่ยงต่อการโจมตีความปลอดภัยเพิ่มเติม ลองสำรวจอีกหน่อยตอนนี้เราจะได้ไหม

หากคุณเป็นคนแคร็กเกอร์คุณจะเลือกดูหนึ่งใน 99 โฮสต์ที่ใช้บริการมาตรฐานบนพอร์ตมาตรฐานหรือโฮสต์นี้ซึ่งใช้พอร์ตทำให้งงงวยหรือไม่


14
ฉันจะดู 99 โฮสต์ยกเว้นว่าประสบการณ์จะสอนฉันเป็นอย่างอื่น คนที่กำลังเคลื่อนย้ายพอร์ตรอบ ๆ อาจมีแนวโน้มที่จะแก้ไขและปลอดภัยถ้าคุณถามฉัน
ceejayoz

4
ฉันจะดูโฮสต์ 1 รายการที่โดดเด่นถ้าโอกาสที่ PFY บางคนคิดว่า "ถ้าฉันเปลี่ยนหมายเลขพอร์ต แต่ตั้งค่ารหัสผ่านรูทเป็น "รหัสผ่าน"
แอนดรู

3
@Ceejayoz เห็นด้วยอย่างสมบูรณ์ ฉันใช้ SSH ใน 2222 ไม่มีค่าความปลอดภัย แต่ลดลง kiddies สคริปต์ ฉันคิดว่าพวกเขามีแนวโน้มที่จะไม่สนใจฉันเช่นกันใส่ใจที่จะเปลี่ยนพอร์ตอาจใช้มาตรการอื่นเช่นกัน เห็นได้ชัดว่าจะไม่ทั้งหมดกำหนดค่าเริ่มต้น ...
คริส S

1
ฉันเข้าใจว่าทุกคนไม่เห็นด้วยกับความคิดเห็นของฉัน แต่จากประสบการณ์ของฉันมีเจ้าของระบบจำนวนมากที่จะใช้พอร์ตการทำให้งงงวย แต่พวกเขาจะทำผิดพลาดเช่นไม่อัปเดต OpenSSH หลังจากที่มีการเปิดเผยช่องโหว่ด้านความปลอดภัยที่สำคัญหรือจะใช้กุญแจ SSH ที่ไม่ได้เข้ารหัสจากระบบมหาวิทยาลัยที่ใช้ร่วมกัน ระบบเหล่านี้เป็นเป้าหมายที่ฉ่ำ
Stefan Lasiewski

3
โดยการขยาย: การย้ายไปที่พอร์ตที่ไม่ได้มาตรฐานคุณมีแนวโน้มที่จะกีดกันตัวบทสคริปต์ แต่ก็มีแนวโน้มที่จะทำให้แฮ็กเกอร์ที่มีประสบการณ์สูงขึ้น คำถามแบบไหนที่คุณกลัวว่าจะถูกตั้งเป้าด้วย?
ทำให้เข้าใจผิด

9

ฉันจะไปกับแนวโน้มทั่วไปอย่างน้อยบางส่วน

ด้วยตัวของมันเองการเปลี่ยนไปใช้พอร์ตอื่นอาจทำให้คุณได้รับสองสามวินาทีในขณะที่กำลังค้นหา อย่างไรก็ตามหากคุณรวมการใช้พอร์ตที่ไม่ได้มาตรฐานร่วมกับมาตรการป้องกันพอร์ตสแกนก็สามารถเพิ่มความปลอดภัยที่คุ้มค่ามากยิ่งขึ้น

นี่คือสถานการณ์ที่ใช้กับระบบของฉัน: บริการที่ไม่ใช่แบบสาธารณะทำงานบนพอร์ตที่ไม่ได้มาตรฐาน ความพยายามในการเชื่อมต่อใด ๆ กับพอร์ตมากกว่าสองพอร์ตจากแหล่งที่อยู่เดียวซึ่งประสบความสำเร็จหรือไม่ภายในระยะเวลาที่กำหนดส่งผลให้การรับส่งข้อมูลทั้งหมดจากแหล่งนั้นถูกทิ้ง

หากต้องการเอาชนะระบบนี้จะต้องใช้โชค (การกดพอร์ตที่ถูกต้องก่อนที่จะถูกบล็อก) หรือการสแกนแบบกระจายซึ่งเป็นต้นเหตุของมาตรการอื่น ๆ หรือเป็นเวลานานซึ่งจะสังเกตเห็นและดำเนินการต่อไป


รวมสิ่งนี้เข้ากับประเด็นโดย Andreas Bonini เกี่ยวกับการโจมตีเป้าหมายและเป็นข้อโต้แย้งที่แข็งแกร่งสำหรับการใช้พอร์ตทางเลือก
JivanAmara

5

ในความคิดของฉันการย้ายพอร์ตที่แอปพลิเคชันทำงานไม่ได้เพิ่มความปลอดภัยเลยเพียงเพราะแอปพลิเคชันเดียวกันนั้นกำลังทำงานอยู่ (ด้วยจุดแข็งและจุดอ่อนเดียวกัน) บนพอร์ตอื่น หากแอปพลิเคชันของคุณมีจุดอ่อนในการย้ายพอร์ตที่ฟังไปยังพอร์ตอื่นไม่ได้ระบุจุดอ่อน ที่แย่กว่านั้นคือมันสนับสนุนให้คุณไม่พูดถึงจุดอ่อนเพราะตอนนี้มันไม่ได้ถูกใช้อย่างต่อเนื่องโดยการสแกนอัตโนมัติ มันซ่อนปัญหาจริงซึ่งเป็นปัญหาที่ควรแก้ไขจริง

ตัวอย่างบางส่วน:

  • "มันล้างข้อมูลบันทึก" - จากนั้นคุณมีปัญหาเกี่ยวกับวิธีจัดการบันทึกของคุณ
  • "ช่วยลดค่าใช้จ่ายในการเชื่อมต่อ" - ค่าโสหุ้ยไม่สำคัญ (ตามที่สแกนส่วนใหญ่) หรือคุณต้องการการกรอง / การปฏิเสธการรับบริการบางอย่างจากต้นทาง
  • "ช่วยลดการเปิดเผยของแอปพลิเคชัน" - หากแอปพลิเคชันของคุณไม่สามารถยืนขึ้นเพื่อสแกนและใช้ประโยชน์โดยอัตโนมัติแอปพลิเคชันของคุณจะมีข้อบกพร่องด้านความปลอดภัยที่ร้ายแรงซึ่งจำเป็นต้องได้รับการแก้ไข

ปัญหาที่แท้จริงคือการบริหาร: ผู้คนคาดหวังว่า SSH จะอยู่ที่ 22, MSSQL จะอยู่ที่ 1433 เป็นต้น การเคลื่อนย้ายสิ่งเหล่านี้ไปสู่อีกชั้นหนึ่งของความซับซ้อนและเอกสารที่จำเป็น มันน่ารำคาญมากที่จะนั่งที่เครือข่ายและต้องใช้ nmap เพื่อหาว่าสิ่งใดถูกย้ายไป ส่วนเพิ่มเติมของการรักษาความปลอดภัยเป็นสิ่งที่ดีที่สุดและข้อเสียก็ไม่สำคัญ อย่าทำมัน แก้ไขปัญหาจริง


2

คุณถูกต้องที่จะไม่นำมาซึ่งความปลอดภัยมาก (เนื่องจากช่วงพอร์ตเซิร์ฟเวอร์ TCP มีเอนโทรปีเพียง 16 บิต) แต่คุณสามารถทำได้ด้วยเหตุผลสองประการ:

  • ดังที่คนอื่น ๆ ได้กล่าวไว้แล้ว: ผู้บุกรุกที่พยายามเข้าสู่ระบบจำนวนมากสามารถทำให้ไฟล์บันทึกของคุณยุ่งเหยิง (แม้ว่าการโจมตีด้วยพจนานุกรมจาก IP เดียวสามารถถูกบล็อกด้วย fail2ban);
  • SSH ต้องการการเข้ารหัสลับพับลิกคีย์เพื่อแลกเปลี่ยนคีย์ลับเพื่อสร้าง tunnel ที่ปลอดภัย (นี่เป็นการดำเนินการที่มีค่าใช้จ่ายสูงซึ่งภายใต้สภาวะปกติไม่จำเป็นต้องทำบ่อยมาก); ซ้ำแล้วซ้ำอีก Connexions SSH อาจเสียพลังงาน

หมายเหตุ: ฉันไม่ได้บอกว่าคุณควรเปลี่ยนพอร์ตเซิร์ฟเวอร์ ฉันแค่อธิบายเหตุผลที่สมเหตุสมผล (IMO) เพื่อเปลี่ยนหมายเลขพอร์ต

หากคุณทำเช่นนั้นฉันคิดว่าคุณต้องทำให้ชัดเจนต่อผู้ดูแลระบบหรือผู้ใช้ทุกคนว่านี่ไม่ควรพิจารณาคุณสมบัติความปลอดภัยและหมายเลขพอร์ตที่ใช้ไม่ได้เป็นความลับและอธิบายว่านี่เป็นคุณลักษณะด้านความปลอดภัย ที่นำมาซึ่งความปลอดภัยที่แท้จริงไม่ถือว่าเป็นพฤติกรรมที่ยอมรับได้


ไฟล์บันทึกสามารถกระจายตัวได้อย่างง่ายดายด้วยตัวกรองที่เหมาะสม หากคุณกำลังพูดถึงประสิทธิภาพของเซิร์ฟเวอร์เนื่องจากบันทึกที่ลดลงเราจะไม่พูดถึงความปลอดภัยอีกต่อไป ประสิทธิภาพเป็นหัวข้อที่แตกต่างอย่างสิ้นเชิงโดยสิ้นเชิง
Pacerier

ไม่ใช่เมื่อคอมพิวเตอร์ไม่สามารถใช้งานได้เนื่องจากดิสก์มีการใช้งานมากเกินไป
curiousguy

ใช่นั่นเป็นปัญหาด้านประสิทธิภาพ ประสิทธิภาพก็มีความสำคัญเช่นกัน แต่เธรดนี้โดยเฉพาะกำลังพูดถึงเกี่ยวกับความปลอดภัยเท่านั้น (สำหรับวัตถุประสงค์ของหัวข้อนี้เพียงแค่คิดคุณเป็น Google ขนาดและ Google ไม่จริงต้องการข้อมูลเหล่านั้นสำหรับการวิเคราะห์และ / หรือขายวัตถุประสงค์.)
Pacerier

1

ฉันสามารถดูสถานการณ์สมมุติหนึ่งสถานการณ์ซึ่งจะมีประโยชน์ด้านความปลอดภัยที่อาจเกิดขึ้นในการรัน sshd ของคุณบนพอร์ตอื่น นั่นจะเป็นในสถานการณ์ที่พบช่องโหว่จากระยะไกลที่ถูกเอารัดเอาเปรียบในซอฟต์แวร์ sshd ที่คุณใช้งานอยู่ ในสถานการณ์ดังกล่าวที่เรียกใช้ sshd ของคุณบนพอร์ตทางเลือกอาจให้เวลาเพิ่มเติมที่คุณไม่จำเป็นต้องเป็นเป้าหมายแบบไดรฟ์แบบสุ่ม

ตัวฉันเองใช้ sshd บนพอร์ตทางเลือกบนเครื่องส่วนตัวของฉัน แต่นั่นก็เพื่อความสะดวกในการลดความยุ่งเหยิงใน /var/log/auth.log ในระบบที่มีผู้ใช้หลายคนฉันไม่ได้พิจารณาถึงประโยชน์ด้านความปลอดภัยที่คาดการณ์ไว้เล็กน้อยที่นำเสนอข้างต้นว่าเป็นเหตุผลเพียงพอสำหรับความยุ่งยากเพิ่มเติมที่เกิดจาก sshd ที่ไม่พบในส่วนมาตรฐาน


สถานการณ์จะใช้ได้เฉพาะในกรณีที่ผู้ดูแลระบบทั้งหมดไม่ใช้เวลามากเกินไปกับ "เวลาพิเศษ" นี้เพื่อไปทานอาหารกลางวันและอื่น ๆ
Pacerier

1

มันเพิ่มความปลอดภัยเล็กน้อย ในกรณีที่ผู้โจมตีพบพอร์ตที่เปิดอยู่ในขณะนี้จะต้องจัดการกับสิ่งที่เรียกใช้บนพอร์ต ไม่สามารถเข้าถึงไฟล์ปรับแต่งของคุณได้ (แต่ยัง :-)) เขาไม่รู้ว่าพอร์ต 12345 กำลังเรียกใช้ http, sshd หรือหนึ่งในพันบริการทั่วไปอื่น ๆ ดังนั้นพวกเขาจึงจำเป็นต้องทำงานพิเศษเพื่อหาว่าอะไรที่ทำงานก่อนที่พวกเขาจะจริงจัง โจมตีมัน

ในขณะที่ผู้โพสต์คนอื่นชี้ให้เห็นในขณะที่พยายามล็อกอินเข้าสู่พอร์ต 22 อาจเป็นตัวย่อสคริปต์ตัวตลกซอมบี้โทรจันหรือแม้แต่ผู้ใช้ของแท้ที่พิมพ์ที่อยู่ IP ผิดพลาด ความพยายามในการเข้าสู่พอร์ต 12345 เกือบจะแน่นอนว่าเป็นผู้ใช้ของแท้หรือผู้โจมตีที่ร้ายแรง

อีกกลยุทธ์คือการมีพอร์ต "ฮันนี่ดัก" ไม่กี่พอร์ต เนื่องจากผู้ใช้ของแท้จะไม่ทราบเกี่ยวกับหมายเลขพอร์ตเหล่านี้ดังนั้นความพยายามในการเชื่อมต่อใด ๆ จะต้องถือว่าเป็นอันตรายและคุณสามารถบล็อก / รายงานที่อยู่ IP ที่ละเมิดโดยอัตโนมัติ

มีกรณีพิเศษที่การใช้หมายเลขพอร์ตอื่นจะทำให้ระบบของคุณปลอดภัยยิ่งขึ้น หากเครือข่ายของคุณใช้บริการสาธารณะเช่นเว็บเซิร์ฟเวอร์ แต่ใช้งานเว็บเซิร์ฟเวอร์ภายในเท่านั้นคุณสามารถปิดกั้นการเข้าถึงภายนอกโดยการใช้หมายเลขพอร์ตอื่นและบล็อกการเข้าถึงภายนอกจากพอร์ตนี้


การเพิ่มความปลอดภัย ~ 0.1% จะต้องถูกชั่งน้ำหนักเทียบกับการลดลงของความปลอดภัยที่เกี่ยวข้องซึ่งอาจส่งผลให้สูญเสียความปลอดภัยสุทธิทั้งหมดขึ้นอยู่กับกรณีและบริบทการใช้งาน
Pacerier

0

ไม่ได้ด้วยตัวเอง อย่างไรก็ตามการไม่ใช้พอร์ตเริ่มต้นสำหรับแอปพลิเคชันเฉพาะ (เช่น SQL Server) จะบังคับให้ผู้โจมตีสแกนพอร์ตของคุณโดยทั่วไป พฤติกรรมนี้สามารถตรวจพบได้โดยไฟร์วอลล์ของคุณหรือตัวชี้วัดการตรวจสอบอื่น ๆ และ IP ของผู้โจมตีถูกบล็อก นอกจากนี้ "สคริปต์ตัวเล็ก" โดยเฉลี่ยจะมีแนวโน้มมากขึ้นเมื่อเครื่องมือหรือสคริปต์คำสั่งที่ใช้ไม่พบอินสแตนซ์ของเซิร์ฟเวอร์ SQL บนเครื่องของคุณ (เนื่องจากเครื่องมือตรวจสอบพอร์ตเริ่มต้นเท่านั้น)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.