Безопасный использовать высокие номера портов? (ре: затемнение веб-сервисов)
У меня есть небольшая домашняя сеть, и я пытаюсь сбалансировать потребность в безопасности по сравнению с удобством. Самый безопасный способ защитить внутренние веб-серверы состоит в том, чтобы только соединить использование VPNs, но это кажется излишеством для защиты удаленного веб-интерфейса DVRs (например).
Как компромисс, было бы лучше использовать очень большие номера портов? (например, пять цифр до 65 531)
Я считал, что сканеры портов обычно только сканируют первые 10 000 портов, настолько использующие очень высокие номера портов немного более безопасны.
Действительно ли это верно?
Там лучшие пути состоят в том, чтобы защитить веб-серверы? (т.е. сеть guis для приложений)
4 ответа
Я считал, что сканеры портов обычно только сканируют первые 10 000 портов, настолько использующие очень высокие номера портов немного более безопасны.
Многие люди верят этому. Я не делаю.
Возможно, это немного более безопасно, но не очень. Низкие пронумерованные порты более распространены, таким образом, некоторые сканеры будут выглядеть там первыми.
Если бы я был взломщиком, то я просканировал бы высокие порты сначала, только для ловли людей, которые полагаются на этот метод для безопасности. Люди, которые полагаются на безопасность через мрак, вероятно, имеют плохое понимание безопасности и, более вероятно, забудут использовать другие методы защиты. Поэтому те сервисы могли бы быть более уязвимыми, и легче расколоться.
Некоторые сканеры используют, это верит, и запускается наверху и прокладывает себе путь вниз список. Другие сканирования выберут случайные порты всюду по всему диапазону, таким образом, все порты будут иметь равный шанс того, чтобы быть просканированным.
Разрешение и тест это самостоятельно использующее NMAP. Выполните сканирование nmap против портов 1-10 000 и ищите сервер HTTP и сравните это со сканированием, которое сканирует против всех 1-65, xxx порты. Вы будете видеть, что различием обычно являются 3-10 минут. Если я делаю подробное сканирование с помощью чего-то как Nessus, различием иногда являются 20-60 минут.
Хороший взломщик является терпеливым взломщиком. Они будут ожидать.
Используя нечетный порт числа не являются никакой безопасностью вообще, если Вы не ведете то, что он позволяет Вам запускать свое приложение как некорневому пользователю.
Этот вид вещи может рассмотреть как безопасность с помощью мрак, но это не на самом деле безопасность.
Можно также использовать туннель ssh при использовании Linux на обоих концах:
ssh -f -N -L 9090:localhost:9090 user@remote-host
Например, для именно это я использую для порта передачи 9090 на удаленном хосте моего локального порта 9090 cherokee-admin, и я использую подобные установки для других веб-графический интерфейсов пользователя. Можно защитить приложения таким образом путем указывания в конфигурации приложения, что они только работают на localhost, т.е. на 127.0.0.1. Таким образом они не достижимы снаружи, но можно передать им с ssh. Проверить man ssh для большего количества опций с помощью перенаправления портов (включая X, который мог бы решить проблему в другом отношении полностью.)
Это могло бы быть подходящим способом достигнуть Вашей цели, не устанавливая / конфигурирование дополнительного программного обеспечения, в зависимости от Вашей установки.
Если Ваш брандмауэр разрешает его, можно заставить аутентификацию произойти на уровне брандмауэра сначала, если сложность паролей достаточно хороша, который должен осуществить безопасность подвергнутых сервисов. можно также использовать туннелирование SSL, использующее, например, stunnel и взаимного автора.
Рассмотрение того, что использование более высокого номера портов более безопасно, определенным способом, возможно, в отношении ботов, сканируя Ваш IP и пробуя некоторое использование, но если кто-то хочет действительно повредиться в, с помощью более высоких номеров портов, не обеспечит увеличенную безопасность.