Apakah mengubah port SQL Server jauh lebih aman?

Port default SQL Server adalah 1433. Saya telah diberitahu oleh admin kami bahwa port harus diubah "untuk alasan keamanan".

Apakah benar-benar jauh lebih aman untuk mengubah port? Jika server berada di belakang firewall dan hanya memungkinkan koneksi ke sana dari rentang IP tertentu, apakah itu tidak cukup baik?

Ini membantu terhadap pemindaian port umum yang dapat dimulai melalui situs pemindaian port. Tapi itu tidak akan membantu melawan penyerang yang berkomitmen. Ini hanya lapisan lain, tetapi tidak menambah banyak firewall, seperti yang Anda sebutkan.

Jika SQL Server Anda terhubung langsung ke Internet (yang seharusnya tidak) maka ia dapat menawarkan Anda perlindungan karena sebagian besar skrip serangan generik hanya menggunakan nomor port default.

Jika SQL Server Anda tidak dapat diakses langsung dari Internet, ini tidak ada gunanya. Firewall apa pun harus memungkinkan konektivitas ke port jarak jauh. Segera setelah saya menjalankan perangkat lunak klien pada mesin saya dapat melihat port apa yang SQL Server gunakan melalui perintah STAT STAT. Pada titik ini Anda telah memperlambat saya tepat 2-3 detik.

Ini akan merusak aplikasi yang mengharapkan port 1433.
Beberapa aplikasi dapat dikonfigurasikan untuk menangani ini tetapi ini harus digunakan.

Saya hanya akan meninggalkannya. Jika mereka "meretas" instance default Anda pada port 1433 maka Anda sudah bollix.

Anda dapat menentukan port untuk instance yang bernama tetapi port 1434 perlu dibuka untuk menyelesaikan instance ke port ...

Peretas sering memindai alamat IP untuk port yang biasa digunakan, jadi tidak jarang menggunakan port lain untuk "terbang di bawah radar". Ini hanya untuk menghindari deteksi, selain itu tidak ada keamanan tambahan dengan menggunakan port yang berbeda.

Jika hanya rentang IP terbatas yang dapat mengakses port, maka Anda sudah "di bawah radar", jadi saya tidak melihat alasan yang baik untuk menggunakan port yang berbeda.

Sebenarnya ya. Untuk menggunakan contoh lain, administrator lab Linux universitas saya mengubah port SSH dari 22 menjadi beberapa nilai yang tidak jelas. Dia melaporkan bahwa jaringan turun dari ~ 10.000 ping / serangan per hari menjadi sekitar 1 atau 2 per bulan. Memang, jika Anda belum menderita serangan semacam itu, mungkin itu tidak sepadan dengan usaha dalam banyak kasus. Namun, dengan mengubah ke port alternatif diam-diam, Anda mencegah serangan probe luas dan yang lainnya.

Saya pikir ini adalah masalah dua bagian.

1) Perangkat lunak pemindaian port umum dapat mencoba port umum terlebih dahulu, tetapi tidak ada yang secara khusus membatasi untuk mencoba semua port, dan Anda harus dapat berasumsi bahwa itu akan dapat mencetak dengan jari protokol ketika menemukan port terbuka .

2) Ketika pemindaian port yang lebih agresif terjadi, Anda harus dapat mendeteksinya, dan melakukan sesuatu dengan pengetahuan ini (seperti fail2ban, dll.)

Admin Anda mengusulkan (1), tanyakan ide apa yang ia miliki tentang (2).

Keamanan melalui ketidakjelasan sama sekali bukan keamanan.

Sunting: sekali lagi, ada yang bilang itu ! Secara pribadi, saya akan terus mengadopsi poin asli saya.

Mengubah port akan memaksa mereka untuk melakukan pemindaian. Ketika Anda menggunakan alat keamanan seperti mendengus, dengan keran jaringan atau SPAN, maka sesuatu seperti pemindaian port server Anda menjadi jelas. Seseorang yang secara sah terhubung ke server SQL pada port default tidak begitu jelas.

Saya setuju, pendekatan terbaik bukanlah keamanan karena ketidakjelasan. Namun, mengubah port default pada setiap dan semua aplikasi, jika memungkinkan, adalah bagian dari strategi yang lebih melengkung, lebih dalam yang mencakup aktivitas tim merah, tim pemantauan keamanan jaringan, dan semua instrumentasi yang benar, dipasang, matang, dan dipahami oleh mereka yang menggunakannya.

Ketika Anda memiliki semua hal ini, maka penyusup dalam sistem Anda menonjol seperti jempol yang sakit. Intinya - jika ada yang berpikir bahwa mereka dapat meningkatkan keamanan sistem mereka dengan memeriksa banyak item dalam daftar, mereka salah. Jika mereka tidak dapat menjelaskan mengapa mereka membutuhkan port berubah, tanpa syarat yang tidak pasti, maka mereka tidak termasuk dalam peran seseorang yang memberitahu Anda untuk mengubah port.

Ketika sebuah aplikasi terhubung ke MS SQL melalui TCPIP, bagian pertama dari percakapan terjadi pada 1433 dengan instance tak bernama default - paling tidak adalah penghilangan nomor port mana pun yang bernama instance berkomunikasi. Setiap firewall harus dikonfigurasikan ke a) biarkan ini melewati rentang ip yang sesuai, B) nomor port tetap yang dapat digunakan oleh setiap instance bernama. Ini harus dikonfigurasikan dalam manajer konfigurasi SQL sebagai diperbaiki. Anda dapat berkomunikasi dengan setiap instance menggunakan (alamat ip 192.168.22.55): (nomor port 12345) dalam string koneksi. Jika layanan browser SQL tidak diaktifkan maka 1433 tidak akan menyediakan percakapan awal. Jika Anda menggunakan otentikasi NT maka ada sedikit yang bisa diperoleh. Jika Anda menggunakan authenetication SQL maka ada sejumlah kecil yang bisa diperoleh.