Должен ли я запустить свой маленький веб-сайт в порт 80, 8080 или 81?

20

Я использую небольшой веб-сайт, используя nginx. Поскольку (вероятно) не будет много трафика в течение срока службы моего сервера и чтобы избежать случайных DoS-атак, я подумываю настроить веб-сервер для прослушивания альтернативного порта вместо порта 80.

Снижает ли прослушивание через альтернативный порт (81, 8080 и т. Д.) Риск атак или нарушений? Или бремя поддержания его перевешивает выгоды? В таком случае, следует ли мне использовать эти альтернативные порты для других веб-служб на случай, если я их настрою в будущем?

oldmud0
источник
4
Почему некоторые «злоумышленники» рискуют (D) сделать небольшой сайт?
Жиль Квено,

Ответы:

39

Здесь нужно учитывать две вещи:

  1. Будут ли ваши пользователи помнить использовать нестандартный порт в названии? По умолчанию порт 80 является стандартным, и поэтому вам не нужно вводить его в URL. Например, http://superuser.comработает на порте 80, и ваш браузер предполагает, что 80 - это порт, который вы имеете в виду при вводе. Он ничем не отличается от ввода http://superuser.com:80. Если вы запускаете свой веб-сервер через порт 8080, то пользователь должен ввести http://superuser.com:8080. Обычный пользователь вряд ли запомнит это.
  2. Защищает ли запуск веб-сервера через нестандартный порт от DoS-атак? На самом деле, нет. Если кто-то действительно хочет отключить ваш сайт, работа на нестандартном порту не остановит его. Злоумышленники просканируют все порты вашего IP-адреса и быстро обнаружат, что 8080 (или что бы вы ни выбрали) открыт и отвечает на запросы HTTP.

Такие методы, как смена портов, называются « Безопасность через неизвестность », и весьма сомнительно, что дополнительная работа и неудобства обеспечивают какую-либо ценную безопасность.

Keltari
источник
6
Я хочу добавить, что не все Безопасность через Obscurity - это плохо. Смена администратора по умолчанию или имени пользователя root считается хорошей практикой. Однако такие вещи, как смена портов, не имеют смысла, поскольку их всего 32 КБ, и компьютер может сканировать их за считанные секунды.
Келтари
2
Это не повышает безопасность, но предотвращает замедление вашего сайта простыми сканирующими роботами, особенно если на сайте есть запись DNS.
Натан Макиннес
1
Это полностью зависит от масштаба атаки. Использование портов не по умолчанию может помочь избежать масштабного сканирования, например, / 0 для уязвимостей веб-сервера, используя zmap или nmap. Но @Keltari верен, если вы цель, злоумышленник выполнит полное сканирование вас, определит, с какого порта работает ваш сервер, и затем завершит игру, если вы уязвимы ;-).
wi1
@NathanMacInnes с технологией, доступной сегодня, я бы предположил, что количество ботов, сканирующих небольшой сайт, ничтожно мало, а обратная сторона изменения порта по умолчанию довольно велика.
ILikeTacos
2
Неправильно, https://superuser.comи он работает на порту 443. Защищенные сайты используют 443.
Эллиот А.
5

Да, установка альтернативного порта на самом деле снижает риск атак, так как боты, просматривающие Интернет и находящие некорректное веб-приложение, обычно не смотрят на другие порты.

Если злоумышленник нацеливает ваш сервер, будет действительно легко обнаружить реальный порт, на котором прослушивает nginx (сканируя открытые порты).

Использование этих альтернативных портов встречается редко (кроме прокси-серверов или ... альтернативных веб-серверов), поэтому я думаю, что вы можете использовать его без страха.

Но помните, что использование такого альтернативного порта не позволит посетителям «по умолчанию» найти ваш сайт, вам нужно будет сообщить людям (или написать это в ссылках) правильный порт, используя URL-адреса, такие как http://yourserver.com:81/ . ..

Микаэль
источник
2

Дополнительное соображение (к двум, предоставленным Keltari) заключается в том, что использование нестандартного порта может привести к тому, что ваш веб-сканер, такой как Google, пропустит ваш сайт, если вы не укажете иное.

Если вы планируете, что ваш сайт будет трудно найти для всех, кроме людей, на которых вы предоставляете ссылку, то использование нестандартного порта будет выгодным, но в противном случае я бы выбрал стандартный порт.

Liang
источник
1

По-разному. Какая польза от «маленького сайта»?

  • Если он будет использоваться другими людьми, я настоятельно рекомендую использовать стандартные порты. Как упоминалось в большинстве ответов, использование нестандартного порта требует , чтобы порт был указан пользователем (например, для порта 81 -> yoursite.com:81). Если вы используете стандартный порт, браузер выводит порт из протокола (http, https). http: // обычно является портом 80, а https: // обычно является портом 443, если не переопределен. Я настоятельно рекомендую использовать стандартные порты. Конечно, вы МОЖЕТЕ поставить единственный вход в дом на заднем дворе, но как посетители узнают, что он там?

  • Если этот сайт используется только вами, спросите себя о двух вещах:

    • Будет ли он прикреплен к записи DNS (имя домена)? (Я считаю, что мои серверы без DNS-ссылок гораздо тише в атаке. ПРИМЕЧАНИЕ: пожалуйста, не считайте это более безопасным. Это не так; просто злоумышленникам будет труднее найти вас через DNS)
    • Вы в порядке с ручным вводом порта и / или IP?

TL; DR:

  • Используется другими людьми: использовать 80/443
  • Частное лицо: до вас
Люк Адамс
источник
0

Вы можете запустить http-сервер на любом порту, но вашим пользователям будет сложно запомнить этот порт.

Это снизит риск атак или нарушений, но есть и другие способы, такие как защита вашего сервера и сохранение HTTP-сервера на порту 80

AMB
источник