Действительно ли изменение порта SQL Server намного безопаснее?

Порт SQL Server по умолчанию - 1433. Наш администратор сказал мне, что порт должен меняться «по соображениям безопасности».

Действительно ли намного безопаснее поменять порт? Если сервер находится за брандмауэром и разрешает подключения к нему только с определенного диапазона IP-адресов, разве этого недостаточно?

Это помогает против обычного сканирования портов, которое может быть инициировано через веб-сайты сканирования портов. Но это не поможет против преданного злоумышленника. Это просто еще один слой, но, как вы упомянули, он не добавляет ничего через брандмауэр.

Если ваши SQL-серверы напрямую подключены к Интернету (а это не должно быть), то он может предложить вам некоторую защиту, так как большинство сценариев атаки используют только номера портов по умолчанию.

Если ваши SQL-серверы не доступны напрямую из Интернета, это довольно бессмысленно. Любой брандмауэр должен разрешить подключение к удаленному порту. Как только я запускаю клиентское программное обеспечение на компьютере, я вижу, какой порт использует SQL Server, с помощью команды NET STAT. В этот момент вы замедлили меня ровно на 2-3 секунды.

Это сломает приложения, которые ожидают порт 1433.
Некоторые приложения могут быть настроены для решения этой проблемы, но это необходимо развернуть.

Я бы просто оставил это. Если они «взломают» ваш экземпляр по умолчанию на порту 1433, значит, вы уже безрассудны.

Вы можете указать порт для именованных экземпляров, но затем необходимо открыть порт 1434, чтобы преобразовать экземпляр в порт ...

Хакеры часто сканируют IP-адреса на предмет часто используемых портов, поэтому нередко использовать другой порт, чтобы «летать под радаром». Это просто для того, чтобы избежать обнаружения, кроме того, что нет никакой дополнительной безопасности при использовании другого порта.

Если только ограниченный диапазон IP-адресов может получить доступ к порту, то вы уже находитесь «под радаром», поэтому я не вижу веской причины использовать другой порт.

На самом деле да. Чтобы использовать другой пример, администратор Linux-лаборатории моего университета изменил SSH-порт с 22 до неясного значения. Он сообщил, что сеть сократилась с ~ 10 000 пингов / атак в день до примерно 1 или 2 в месяц. Конечно, если вы уже не страдаете подобной атакой, возможно, в большинстве случаев это не стоит усилий. Тем не менее, переключаясь на осторожный альтернативный порт, вы предотвращаете атаки с широким зондом и все такое.

Я думаю, что это проблема из двух частей.

1) Обычное программное обеспечение для сканирования портов может сначала попробовать общие порты, но ничто не ограничивает его от попытки пробовать все порты, и вы должны быть в состоянии предположить, что оно сможет произвести отпечаток пальца по протоколу, когда обнаружит открытый порт. ,

2) Когда происходит более агрессивное сканирование портов, вам нужно уметь его обнаруживать и что-то делать с этим знанием (например, fail2ban и т. Д.)

Ваш администратор предлагает (1), спросите, какие у него есть идеи относительно (2).

Безопасность через неизвестность вовсе не является безопасностью.

Редактировать: опять же, некоторые говорят, что это так ! Лично я буду продолжать принимать мою первоначальную точку зрения.

Изменение порта заставит их сделать сканирование. Когда вы используете средство безопасности, такое как snort, с сетевыми подключениями или SPAN, то становится очевидным что-то вроде сканирования портов вашего сервера. Кто-то законно подключается к серверу SQL через порт по умолчанию, это не так очевидно.

Я согласен, что лучший подход - это не безопасность по неизвестности. Тем не менее, изменение порта по умолчанию во всех приложениях, когда это возможно, является частью всеобъемлющей, более глубокой стратегии, которая включает в себя действия групповых специалистов, группы мониторинга сетевой безопасности и все правильные контрольно-измерительные приборы, установленные, исправленные и понятные для те, кто его использует.

Когда у вас есть все эти вещи, злоумышленник в вашей системе выделяется, как больной большой палец. Суть в том, что если кто-то считает, что он может повысить безопасность своих систем, отметив несколько элементов в списке, он ошибается. Если они не могут объяснить, почему они нуждаются в смене порта, недвусмысленно, тогда они не принадлежат к роли кого-то, говорящего вам, чтобы изменить порт.

Когда приложение подключается к MS SQL через TCPIP, первая часть диалога происходит в 1433 году с неназванным экземпляром по умолчанию - не в последнюю очередь это определение номеров портов, с которыми взаимодействуют именованные экземпляры. Любые брандмауэры должны быть настроены на: а) пропускание до подходящих диапазонов ip, б) фиксированных номеров портов, которые могут использовать любые именованные экземпляры. Они должны быть настроены в диспетчере конфигурации SQL как фиксированные. Вы можете связаться с любым экземпляром, используя (IP-адрес 192.168.22.55): (номер порта 12345) в строке подключения. Если служба браузера SQL не включена, то 1433 не будет обеспечивать первоначальный диалог. Если вы используете NT-аутентификацию, то мало что можно получить. Если вы используете аутентификацию SQL, тогда вам нужно будет получить небольшую сумму.