it-swarm.com.de

Ist es immer noch empfehlenswert, die Verwendung der Standardports für SQL Server zu vermeiden?

In der Vergangenheit wurde empfohlen, die Standardports für Verbindungen zu SQL Server nicht als Teil der bewährten Sicherheitsmethode zu verwenden. Auf einem Server mit einer einzelnen Standardinstanz werden standardmäßig die folgenden Ports verwendet:

  • SQL Server-Dienst - Port 1433 (TCP)
  • SQL Server-Browserdienst - Port 1434 (UDP)
  • Dedizierte Administratorverbindung - Port 1434 (TCP)

FRAGEN :

  • Ist dieser Rat noch relevant?
  • Sollten ALLE oben genannten Ports geändert werden?
21
James D

In der Vergangenheit wurde empfohlen, die Standardports für Verbindungen zu SQL Server nicht als Teil der bewährten Sicherheitsmethode zu verwenden.

Welches war damals asinine und heute noch asinine. Sicherheit durch wohl Dunkelheit ist überhaupt keine Sicherheit.

Ist dieser Rat noch relevant?

IMHO war es nie relevant. Es war für einige Compliance-Zwecke erforderlich, da die Personen, die diese Compliance-Richtlinien erstellten, nicht verstanden, was sie wiederum taten, IMHO.

Sollten ALLE oben genannten Ports geändert werden?

Ich würde nichts ändern.

68
Sean Gallardy

Auch wenn Sicherheit durch Dunkelheit keine tatsächliche Sicherheit ist, kann ich nicht sagen, dass es keine Fälle gibt, in denen dies hilfreich ist.

Wenn ein Angreifer wissen möchte, wo Ihr Dienst zuhört, kann er dies leicht herausfinden. Im Falle eines dummen automatisierten Angriffs können Sie jedoch Glück haben, wenn Sie den Port ändern.

Ich kann mich nur daran erinnern, wo es tatsächlich geholfen hat, während der Zeit von SQL Slammer , in der SQL Server 2000 anfällig war und sich ein Wurm verbreitete, indem zufällige IPs generiert und eine Verbindung zum Standard-SQL Server-Browserport hergestellt wurden.

Wenn ich mich richtig erinnere, war es damals ein offizieller Rat, die Ports zu ändern, bis Sie Ihren Server patchen konnten (entweder weil kein Patch sofort verfügbar war oder weil Sie kein Fenster hatten).

Damit dieser Wurm zu dem Zeitpunkt in Ihr Netzwerk eindringen kann, muss ein SQL Server mit dem Internet verbunden sein, anstatt hinter einer Firewall. Dies sollte nicht der Fall sein. In diesem speziellen Fall hätte jedoch eine nicht standardmäßige Portnummer hilfreich sein können.

Ich bin jedoch damit einverstanden, dass die Komplexität, die Sie hinzufügen, bei angemessener Sicherheit wahrscheinlich nicht die Wahrscheinlichkeit überwiegt, dass ein Vorfall verhindert wird.

In der Vergangenheit wurde empfohlen, die Standardports für Verbindungen zu SQL Server nicht als Teil der bewährten Sicherheitsmethode zu verwenden

Nein, das war es nicht. Einige fehlgeleitete Leute haben es vielleicht als solches dargestellt, aber ich mache seit über 20 Jahren Sicherheit und das Ändern von Standardports war immer eine Art "Hier ist etwas, was Sie tun können, wenn Sie möchten, was vielleicht manchmal unter ganz bestimmten Umständen eine bietet ein bisschen zusätzliche Sicherheit gegen einige sehr spezifische Bedrohungen "Sache.

Ist dieser Rat noch relevant?

Abhängig von Ihrem Bedrohungsmodell und Ihrer Risikoanalyse kann es unter bestimmten Umständen vorkommen, dass dies ein guter Rat ist. In den allermeisten Fällen ist dies weder relevant noch jemals relevant.

9
Tom

JA , es ist immer noch nützlich.

Das Ändern von Standardports hat nur einen eigentlichen Zweck: Schutz vor automatisierten Scans/Angriffen, wenn Ihr Datenbankserver für Hosts geöffnet ist, die möglicherweise gefährdet sind.

Das klingt vielleicht nicht nach einer großen Sache, aber denken Sie daran:

  • Jeder Host kann kompromittiert werden (oder Ihr Datenbankserver kann aufgrund eines Fehlers dem Internet ausgesetzt sein)
  • die meisten Angriffe dieser Tage sind automatisierte Angriffe, und viele von ihnen versuchen nur Standard-Ports (da das Streben nach niedrig hängenden Früchten am effizientesten ist).

Also, ja, obwohl es für sich genommen nicht viel hilft, wenn Sie unter gezielt angegriffen werden, wird es durch die Verwendung zufälliger Ports (und/oder das Abhören nur zufälliger IPv6-Adressen) viel weniger sichtbar Auf diese Weise haben Sie zumindest mehr Zeit für ein Upgrade, bevor der automatische 0-Tage-Exploit-Scan Sie trifft (und Sie möglicherweise sogar vollständig vor einem solchen automatisierten Scan schützt!).

Darüber hinaus (dies hilft nicht nur gegen alle automatisierten Angriffe gegen, sondern auch gegen einige gezielte Angriffe) kann Angreifer, wenn sie versuchen, Ihren Datenbankport zu finden, um ihn von Bruteforce-Portscans auszunutzen, erkannt und verteidigt werden (indem sie die IP-Bereiche des Angreifers auf die schwarze Liste setzen und Benachrichtigung von Administratoren, wenn ein interner Host als Angriffsquelle erkannt wurde)

Beachten Sie außerdem, dass das Ändern des Standardports für Server und Clients (insbesondere wenn diese automatisch bereitgestellt werden) nur einen geringen Arbeitsaufwand darstellt und das Erkennen von Bruteforce-Scans ebenfalls einfach ist. Sie sollten es also wirklich tun (nicht nur für Datenbankserver, sondern für alle Dienste, bei denen der Aufwand für die Einrichtung aufgrund von Usability-Problemen nicht unerschwinglich ist: wie das Ändern des Standardports für das Web von 80 wird nicht empfohlen, da einige Leute (und Bots) es vermasseln und zufällige Firewalls auf der ganzen Welt möglicherweise nicht zulassen, dass eine Verbindung hergestellt wird. Aber RDP ist ein großartiges Ziel, zum Beispiel für nicht standardmäßige Ports.

7
Matija Nalis

Ich würde den Port nicht ändern, aber niemals den Datenbankdienst direkt über das Internet verfügbar machen. Nur durch einen sicheren Tunnel wie SSH. Das Ändern des SSH-Ports ist möglicherweise eine gute Idee, um den Datenverkehr durch Scanner zu minimieren.

1
Thomas