Frage Erhöht die Änderung der Standardportnummer die Sicherheit?


Ich habe Ratschläge erhalten, dass Sie für private Anwendungen (z. B. Intranet, private Datenbank, alles, was kein Außenstehender verwenden wird) unterschiedliche Portnummern verwenden sollten.

Ich bin nicht ganz davon überzeugt, dass das die Sicherheit verbessern kann

  1. Port-Scanner existieren
  2. Wenn eine Anwendung anfällig ist, bleibt sie unabhängig von ihrer Portnummer bestehen.

Habe ich etwas vermisst oder habe ich meine eigene Frage beantwortet?


64
2017-09-28 19:04


Ursprung


Eine Sache, die ich getan habe, ist die Verwendung bestimmter Standard-Ports (z. B. SSH-Port 22) als Honigtöpfe. Jeder, der versucht, sich mit diesen Ports zu verbinden, wird vollständig blockiert xZeitraum. Es hat sich als wirksam gegen Port-Scans erwiesen. Natürlich ist dies nur ein Werkzeug in der Sicherheits-Toolbox. - Belmin Fernandez
Die allgemeine Frage nach Sicherheit durch Dunkelheit wird hier gestellt: Sicherheit.stackexchange.com/questions/2430/... - Tony Meyer
Nun, es ist vielleicht ein Hindernis für "Scripting Kids" - Lukasz Madon
@BelminFernandez, "ein Werkzeug in der Sicherheits-Toolbox"? Nein, dies dient zur Reduzierung der Serverlast (Leistung) und hat nichts mit Sicherheit zu tun außer der bloßen Illusion davon. In Bezug auf die Sicherheit ist es völlig unnötig, wenn der Server bereits stark ist, und wenn der Server verwundbar ist, macht er es nicht sicherer. - Pacerier
@Pacerier, stimmte zu, dass die Bemühungen und der Schwerpunkt auf der Umsetzung soliderer Sicherheitspraktiken liegen sollten. Es gibt jedoch keinen Grund, warum Sie beides nicht tun können. - Belmin Fernandez


Antworten:


Es bietet keine ernsthafte Verteidigung gegen einen gezielten Angriff. Wenn Ihr Server anvisiert wird, werden Sie, wie Sie sagen, einen Port scannen und herausfinden, wo sich Ihre Türen befinden.

Wenn SSH jedoch vom Standard-Port 22 entfernt wird, werden einige der nicht zielgerichteten und Amateur-Skript-Angriffe vom Typ Kiddie abgehalten. Dies sind relativ einfache Benutzer, die Skripte verwenden, um große Blöcke von IP-Adressen gleichzeitig zu portieren, um zu sehen, ob Port 22 offen ist. Wenn sie einen finden, werden sie eine Art Angriff darauf starten (Brute Force, Dictionary Attack, usw). Wenn sich Ihr Computer in diesem Block von IPs befindet, der gescannt wird, und SSH nicht an Port 22 ausgeführt wird, reagiert er nicht und wird daher nicht in der Liste der Computer angezeigt, für die dieses Skript-Kiddie angreifen soll. Ergo, es gibt einige Low-Level-Sicherheit, aber nur für diese Art von opportunistischen Angriff.

Zum Beispiel, wenn Sie den Zeitprotokoll-Tauchgang auf Ihrem Server haben (vorausgesetzt, SSH ist auf Port 22) und ziehen Sie alle einzigartigen fehlgeschlagenen SSH-Versuche heraus, die Sie können. Dann bewegst du SSH von diesem Port, warte einige Zeit und geh wieder Logging. Sie werden zweifellos weniger Angriffe finden.

Ich habe Fail2Ban auf einem öffentlichen Webserver laufen lassen und es war wirklich sehr offensichtlich, als ich SSH von Port 22 entfernte. Es schnitt die opportunistischen Angriffe um Größenordnungen ab.


66
2017-09-28 19:19



Einverstanden. Ich habe einen sehr ähnlichen Tropfen gesehen, als ich mit dem Bewegen von SSH zu einem Nicht-Standard-Port experimentierte. Glücklicherweise ist die Deaktivierung des Passworts wirklich kein Problem. - EEAA
Beste Antwort hier bis jetzt. Es kommt darauf an, wer angreift. Ich habe einmal dazu beigetragen, ein System zu verwalten, das von einem Scan-Kiddie mit einer Zero-Day-Attacke getroffen wurde. Vermutlich in MS-RDP, da wir IIS nicht von der Firewall verfügbar gemacht haben. Unser Host erlaubte uns nicht, den RDP-Port (Managed Hosting) zu ändern, also mussten wir dort sitzen bleiben, während sie an einem neuen Muster für ihre IDS / IPS-Filterung arbeiteten. Für etablierte Server wie SSH, die weniger Sicherheitsprobleme als einige MS-Produkte zu haben scheinen, kann dies jedoch nicht so hilfreich sein. - Matt Molnar
Definitiv einverstanden. Bei der Sicherheit dreht sich alles um Schichten, und je mehr Sie haben, desto sicherer sind Sie. Dies kann eine schwache Schicht sein, aber dennoch eine Schicht. Solange es sich nicht allein darauf verlässt, kann es nur zur Sicherheit beitragen. - Paul Kroon
Ein weiterer Punkt, SSH von Port 22 zu verschieben, ist, dass eine große Menge von SSH plus Services versucht, da Fail2Ban zeitweise eine brauchbare CPU-Zeit benötigt. Es mag auf der Line-Hardware vernachlässigbar sein, aber einige ältere Server können CPU-Spitzen erfahren. Seine CPU-Zeit, Speicher und Bandbreite können Sie für andere Dinge verwenden. - artifex
Ich habe das gleiche mit RDP auf Server 2003 getan - es reduziert wesentlich die Anzahl der fehlgeschlagenen Authentifizierungseinträge in der Ereignisanzeige. - Moshe


Es ist sehr hilfreich, die Protokolle sauber zu halten.

Wenn Sie bei sshd, das auf Port 33201 ausgeführt wird, fehlgeschlagene Versuche sehen, können Sie davon ausgehen, dass die Person das Targeting durchführt Sie und Sie haben die Möglichkeit, die geeigneten Maßnahmen zu ergreifen, wenn Sie dies wünschen. Wie die Behörden zu kontaktieren, zu untersuchen, wer diese Person ist (durch Querverweisen mit den IPs Ihrer registrierten Benutzer oder was auch immer), etc.

Wenn Sie den Standard-Port verwenden, ist es unmöglich zu wissen, ob jemand Sie angreift, oder es sind nur zufällige Idioten, die zufällige Scans durchführen.


42
2017-09-28 22:58



wunderbare Unterscheidung - ZJR
+1 Das ist das beste Argument, um Portnummern zu ändern, die ich je gehört habe und bisher das Einzige, was mich dazu verleiten würde - squillman
+1 Das ist ein toller Punkt. Gezielte Bedrohungen sind weitaus gefährlicher als zufällige Tests (das Skript kiddies geht einfach zu einfacheren Zielen über, wenn Sie anständige Sicherheit haben). Der anvisierte Angreifer weiß möglicherweise viel mehr über bestimmte Sicherheitslücken oder sogar Passwortmuster. Es ist gut, diese Angriffe außerhalb des Spam-Schwarms an Port 22 erkennen zu können. - Steven T. Snyder
Das ist falsch. Ich habe gesehen, dass mindestens ein Server durch einen Scan an einem nicht standardmäßigen SSH-Port kompromittiert wurde. Es gibt keinen Grund, warum ein Angreifer nicht auch andere Ports scannen könnte. - Sven Slootweg
@SvenSlootweg, True, vor allem mit Computern immer schneller und billiger, ein Scan dauert 65535 mal länger nicht mehr viel länger nicht mehr. - Pacerier


Nein, tut es nicht. Nicht wirklich. Der Ausdruck dafür ist Sicherheit durch Obscurity und es ist keine zuverlässige Praxis. Sie haben Recht in beiden Punkten.

Sicherheit durch Obscurity wird im besten Fall die Gelegenheitsversuche abschrecken, die einfach nach Standard-Ports suchen und wissen, dass sie irgendwann finden werden jemand Wer hat die Haustür offen gelassen? Wenn es jedoch jemals eine ernste Bedrohung gibt, mit der Sie konfrontiert werden, wird der Angriffs-Port den anfänglichen Angriff höchstens verlangsamen, aber nur geringfügig aufgrund dessen, worauf Sie bereits hingewiesen haben.

Tun Sie sich einen Gefallen und lassen Sie Ihre Ports richtig konfiguriert, aber ergreifen Sie die entsprechenden Vorsichtsmaßnahmen, um sie mit einer geeigneten Firewall, Autorisierungen, ACLs usw. zu sperren.


28
2017-09-28 19:10



Die Projektion von (starken) Passwörtern und Verschlüsselung in die Idee der Sicherheit durch Dunkelheit ist meiner bescheidenen Meinung nach ein bisschen weit fortgeschritten ... - squillman
Wenn Sie nur 8 Zeichen mit dem vollen Bereich alphabetischer und numerischer Zeichen (und nicht einmal Sonderzeichen) verwenden, beträgt die Anzahl der möglichen Kombinationen 62 ^ 8 (218, 340, 105, 584, 896). 65535 ist nicht einmal im selben Universum, selbst wenn Port-Scan-Detektoren verwendet werden. Beachten Sie, dass ich schwache Kennwörter ablehne. - squillman
Nochmal"Es ist nicht so, als ob der Nicht-Standard-Port das gesamte Sicherheitsgerät ist". Jedes bisschen hilft. Es ist ein 10-Sekunden-Tweak, der, wenn nichts anderes, Ihren Server davon abhalten wird, jemandem zu zeigen, der nach SSH sucht, um an die Tür zu klopfen. - ceejayoz
Meh. Den Überblick über Nicht-Standard-Ports zu behalten, ist es in meinem Buch nicht wert. Ich stimme zu, mit niemandem zuzustimmen ... Das Hinzufügen weiterer Gegenmaßnahmen, die über die Änderung des Hafens hinausgehen, ist sicherlich ein Teil der Gleichung, und ich würde lieber die Dinge den Puzzlestücken überlassen. - squillman
Von dem, was ich gesehen habe, sind die Nicht-Standard-Ports ziemlich Standard geworden. 2222 für ssh, 1080, 8080, 81, 82, 8088 für HTTP. Andernfalls wird es zu dunkel und Sie fragen sich, welcher Dienst auf Port 7201 ist und warum Sie keine Verbindung zu ssh unter 7102 herstellen können. - BillThor


Es ist eine leichte Ebene der Unklarheit, aber keine signifikante Geschwindigkeitsbrücke auf dem Weg zum Hacker. Es ist eine schwierigere Konfiguration, um langfristig zu unterstützen, da alles, was zu diesem bestimmten Dienst gehört, über den anderen Port erzählt werden muss.

Es war einmal eine gute Idee, Netzwerkwürmer zu vermeiden, da diese nur einen Port scannten. Die Zeit des sich schnell vermehrenden Wurms ist jedoch vorbei.


13
2017-09-28 19:10



+1 für härteres config & support Problem. Damit verlieren Sie Zeit, die Sie für die Sicherung der Tür aufwenden könnten (anstatt nach der Stelle suchen zu müssen, an der Sie sie abgegeben haben). - Macke


Wie andere darauf hingewiesen haben, bietet die Änderung der Portnummer nicht viel Sicherheit.

Ich möchte hinzufügen, dass die Änderung der Portnummer tatsächlich schädlich für Ihre Sicherheit sein kann.

Stellen Sie sich das folgende vereinfachte Szenario vor. Ein Cracker scannt 100 Hosts. Neunundneunzig dieser Hosts verfügen über Dienste, die für diese Standardports verfügbar sind:

Port    Service
22      SSH
80      HTTP
443     HTTPS

Aber dann gibt es einen Host, der sich von der Masse abhebt, weil der Systembesitzer versucht hat, ihre Dienste zu verschleiern.

Port    Service
2222    SSH
10080   HTTP
10443   HTTPS

Nun, das könnte für einen Cracker interessant sein, weil der Scan zwei Dinge vorschlägt:

  1. Der Besitzer des Hosts versucht, die Portnummern auf seinem System zu verbergen. Vielleicht denkt der Besitzer, dass etwas Wertvolles auf dem System ist. Dies ist möglicherweise kein gewöhnliches System.
  2. Sie haben die falsche Methode gewählt, um ihr System zu sichern. Der Administrator hat einen Fehler gemacht, indem er an die Verschleierung des Ports geglaubt hat, was darauf hindeutet, dass es sich um einen unerfahrenen Administrator handelt. Vielleicht benutzten sie eine Portverschleierung anstelle einer richtigen Firewall oder eines richtigen IDS. Sie könnten auch andere Sicherheitsfehler begangen haben und könnten anfällig für zusätzliche Sicherheitsangriffe sein. Lass uns jetzt ein bisschen weiter forschen, sollen wir?

Wenn Sie ein Cracker wären, würden Sie sich einen der 99 Hosts anschauen, auf denen Standard-Ports auf Standard-Ports ausgeführt werden, oder diesen einen Host, der Port-Verschleierung verwendet?


12
2017-09-28 19:45



Ich würde mir die 99 Gastgeber anschauen, wenn mich die Erfahrung nicht anders gelehrt hätte. Jemand, der die Ports umstellt, wird wahrscheinlich eher Patches und Sicherungen erstellen, wenn Sie mich fragen. - ceejayoz
Ich würde mir den einen Wirt anschauen, der auffiel, auf die Chance, dass ein PJ dachte: "Wenn ich die Portnummern ändere, bin ich UNVERWECHSELBAR!" aber das root-Passwort ist auf "password" gesetzt. - Andrew
@Ceejayoz, stimme voll und ganz zu. Ich lief SSH auf 2222, kein Sicherheitswert, aber schneidet auf Skriptkinder herunter. Ich würde mir vorstellen, dass sie mich auch eher ignorieren würden, ich habe mir die Mühe gemacht, den Hafen zu wechseln, wahrscheinlich haben sie auch andere Maßnahmen ergriffen. Offensichtlich ist es nicht alles Standardkonfiguration ... - Chris S
Ich verstehe, dass nicht alle meiner Meinung sind. Aber nach meiner Erfahrung gab es viele Systembesitzer, die die Port-Verschleierung benutzten, aber sie würden Fehler machen, wenn sie OpenSSH nicht aktualisieren, nachdem einige kritische Sicherheitslücken aufgedeckt wurden, oder unverschlüsselte SSH-Schlüssel von einem gemeinsamen Universitätssystem benutzen würden Diese Systeme waren saftige Ziele. - Stefan Lasiewski
Durch die Erweiterung: zu einem Nicht-Standard-Port zu wechseln, ist es wahrscheinlicher, dass Sie die Skript-Kiddies entmutigen, aber auch eher einen erfahrenen Hacker intrigieren. Was die Frage aufwirft: Vor welcher Angst fürchten Sie sich? - tardate


Ich werde zumindest teilweise gegen den allgemeinen Trend gehen.

AlleinWenn du zu einem anderen Port wechselst, erhältst du möglicherweise ein paar Sekunden, während du gesucht wirst. Wenn Sie jedoch die Verwendung von Nicht-Standard-Ports zusammen mit Anti-Portscan-Maßnahmen kombinieren, kann dies zu einer wirklich lohnenswerten Erhöhung der Sicherheit führen.

Hier ist die Situation, wie sie für meine Systeme gilt: Nicht-öffentliche Dienste werden auf Nicht-Standard-Ports ausgeführt. Jeder Verbindungsversuch zu mehr als zwei Ports von einer einzelnen Quelladresse, ob erfolgreich oder nicht, innerhalb einer bestimmten Zeitspanne führt dazu, dass der gesamte Datenverkehr von dieser Quelle gelöscht wird.

Um dieses System zu schlagen, würde entweder Glück (das Treffen des richtigen Hafens, bevor es blockiert wird) oder ein verteilter Scan, der andere Maßnahmen auslöst, oder eine sehr lange Zeit, die ebenfalls bemerkt und bearbeitet werden würde.


9
2017-09-29 01:11



Kombinieren Sie dies mit dem Punkt von Andreas Bonini über zielgerichtete Angriffe und es ist ein starkes Argument für die Verwendung alternativer Ports. - JivanAmara


Meiner Meinung nach erhöht das Verschieben des Ports, auf dem eine Anwendung ausgeführt wird, die Sicherheit überhaupt nicht - einfach deshalb, weil dieselbe Anwendung (mit denselben Stärken und Schwächen) nur an einem anderen Port ausgeführt wird. Wenn Ihre Anwendung eine Schwachstelle hat, die den Port, den sie überwacht, auf einen anderen Port überträgt, wird die Schwachstelle nicht behoben. Schlimmer noch, es ermutigt Sie aktiv dazu, die Schwäche NICHT anzugehen, denn jetzt wird es nicht ständig durch automatisiertes Scannen gehämmert. Es verbirgt die echtes Problem Welches ist das Problem, das eigentlich gelöst werden sollte.

Einige Beispiele:

  • "Es räumt die Protokolle auf" - Dann haben Sie ein Problem damit, wie Sie Ihre Protokolle handhaben.
  • "Es reduziert den Verbindungsoverhead" - Der Overhead ist entweder unbedeutend (wie es bei den meisten Scans der Fall ist) oder Sie benötigen eine Filterung / Denial-of-Service-Mitigation, die upstream durchgeführt wird
  • "Es reduziert die Aussetzung der Anwendung" - Wenn Ihre Anwendung einem automatisierten Scannen und Ausnutzen nicht standhalten kann, weist Ihre Anwendung schwerwiegende Sicherheitsmängel auf, die behoben werden müssen (d. H., Sie müssen gepatcht werden!).

Das eigentliche Problem ist administrativ: Die Leute erwarten SSH bei 22, MSSQL bei 1433 und so weiter. Diese zu verschieben ist eine weitere Ebene der Komplexität und der erforderlichen Dokumentation. Es ist sehr ärgerlich, sich in ein Netzwerk zu setzen und nmap zu benutzen, nur um herauszufinden, wohin die Dinge bewegt wurden. Die Ergänzungen zur Sicherheit sind bestenfalls vergänglich und die Nachteile sind nicht unbedeutend. Tu es nicht. Beheben Sie das eigentliche Problem.


5
2017-09-29 16:56





Sie haben Recht, dass es nicht viel Sicherheit bringen wird (da der TCP-Server-Port-Bereich nur 16 Bit Entropie hat), aber Sie können es aus zwei anderen Gründen tun:

  • wie andere schon gesagt haben: Eindringlinge, die viele Logins versuchen, können Ihre Protokolldateien überladen (auch wenn Wörterbuchangriffe von einer einzelnen IP mit fail2ban blockiert werden können);
  • SSH braucht Verschlüsselung mit öffentlichen Schlüsseln geheime Schlüssel austauschen, um einen sicheren Tunnel zu schaffen (dies ist eine kostspielige Operation, die unter normalen Bedingungen nicht sehr oft durchgeführt werden muss); wiederholte SSH-Verbindungen könnten CPU-Leistung verschwenden.

Anmerkung: Ich sage nicht, dass Sie den Server-Port ändern sollten. Ich beschreibe nur vernünftige Gründe (IMO), die Portnummer zu ändern.

Wenn Sie das tun, denke ich, dass Sie jedem anderen Administrator oder Benutzer klar machen müssen, dass dies nicht als Sicherheitsmerkmal betrachtet werden sollte, und dass die verwendete Portnummer nicht einmal ein Geheimnis ist und dies als Sicherheitsmerkmal beschreibt Das bringt echte Sicherheit, wird nicht als akzeptables Verhalten angesehen.


2
2017-09-29 00:53



Protokolldateien können problemlos mit geeigneten Filtern aufgeräumt werden. Wenn Sie aufgrund der reduzierten Protokolle von Serverleistung sprechen, sprechen wir nicht mehr von Sicherheit. Performance ist ein völlig anderes Thema. - Pacerier
Nicht, wenn der Computer aufgrund übermäßiger Festplattennutzung unbrauchbar wird. - curiousguy
Ja, das ist ein Leistungsproblem. Leistung ist definitiv wichtig, aber dieser spezielle Thread diskutiert speziell nur über Sicherheit. (Stellen Sie sich zum Zweck dieses Threads einfach vor, dass Sie Google-Größe haben und Google dies tut tatsächlich wollen diese Daten für Analyse- und / oder Verkaufszwecke.) - Pacerier


Ich kann eine hypothetische Situation sehen, in der es einen potenziellen Sicherheitsvorteil beim Ausführen Ihres sshd auf dem alternativen Port geben würde. Das wäre in dem Szenario, in dem eine trivial ausgenutzte Remote-Sicherheitslücke in der von Ihnen ausgeführten sshd-Software entdeckt wird. In einem solchen Szenario kann die Ausführung Ihres sshd auf einem alternativen Port Ihnen nur die zusätzliche Zeit geben, die Sie benötigen, um kein zufälliges Drive-by-Ziel zu sein.

Ich selbst führe die sshd auf einem alternativen Port auf meinen privaten Rechnern, aber das ist hauptsächlich eine Annehmlichkeit, um die Unordnung in /var/log/auth.log zu vermeiden. Bei einem Mehrbenutzersystem halte ich den oben dargelegten kleinen hypothetischen Sicherheitsvorteil nicht für einen ausreichenden Grund für den zusätzlichen Aufwand, der dadurch verursacht wird, dass sshd nicht auf dem Standardteil zu finden ist.


1
2017-09-28 19:55



Das Szenario wäre nur dann gültig, wenn alle Admins absolut keinen Spielraum mit dieser "Extrazeit" haben zum Mittagessen gehen und ETC. - Pacerier