Блог

Главная - Вопросы по программированию - Следует ли мне избегать использования порта веб-сервера, базы данных и т. Д. По умолчанию для производства?

Следует ли мне избегать использования порта веб-сервера, базы данных и т. Д. По умолчанию для производства?

#security #web-applications #port #port-scanning

#Безопасность #веб-приложения #порт #сканирование портов

Вопрос:

Существует много портов по умолчанию, хорошо известных как конкретные приложения, такие как 3306 для MySQL,
80 (или 8080) Для HTTP-запроса и т. Д.

Должен ли я использовать переадресацию портов при создании веб-приложения для производства, чтобы избежать прямого использования
этих портов по умолчанию?

С точки зрения безопасности я предполагаю, что будет лучше избегать портов по умолчанию,
но я не специалист по безопасности и не уверен, что это стоит делать.
Если это вообще не помогает безопасности, я бы хотел использовать порты по умолчанию только из
-за того, что нужно настроить на одну вещь меньше.

Ответ №1:

Это зависит от вашей модели злоумышленника, т.е. кто, по вашему мнению, будет атаковать ваше приложение, от кого вы хотите его защитить.

Злоумышленник, который специально нацелен на ваш веб-сайт, довольно легко найдет ваши сервисы, независимо от используемого ими порта. Таким образом, против опытного, целенаправленного злоумышленника это имеет почти нулевую выгоду. Ваши службы должны быть защищены от злоумышленника, который знает порт, через который они прослушивают (вы должны предполагать, что они знают это при разработке средств контроля безопасности).

Однако большинство «атак» (если их можно так назвать), с которыми вы столкнетесь, — это просто сканирование портов в поисках интересных серверов. Это будет иметь два важных последствия.

  1. Если вы используете порты по умолчанию, в ваших журналах будет много шума. Это может привести к DoS (заполнению корневого раздела), если он настроен недостаточно неправильно, или просто к затруднению поиска соответствующей информации в ваших журналах, когда это необходимо.
  2. В любое время в будущем ваш сервер может оказаться достаточно уязвимым, чтобы такая автоматическая атака могла обнаружить и скомпрометировать его. Рассмотрим, например, уязвимость, которую вы должны были исправить, но еще не сделали этого. Большинство автоматических проверок будут использоваться для порта по умолчанию и не будут беспокоиться о полном сканировании (но некоторые могут).

Так что это не так черно-белое, но по вышеуказанным причинам все еще может иметь смысл использовать порты, отличные от портов по умолчанию (или нет, это ваше решение, основанное на вашей склонности к риску и модели угроз).

Комментарии:

1. Спасибо за ваше подробное руководство! Это полностью имеет смысл, и на самом деле я решил использовать порты, отличные от стандартных, с учетом случая моего приложения.

Метки: