SQL सर्वर के लिए डिफ़ॉल्ट पोर्ट का उपयोग करने से बचने के लिए अभी भी सबसे अच्छा अभ्यास है?

21

ऐतिहासिक रूप से, यह SQL सर्वर से कनेक्शन के लिए डिफ़ॉल्ट पोर्ट का उपयोग नहीं करने की सिफारिश की गई है, सुरक्षा सर्वोत्तम अभ्यास के भाग के रूप में। एकल, डिफ़ॉल्ट उदाहरण वाले सर्वर पर, निम्नलिखित पोर्ट डिफ़ॉल्ट रूप से उपयोग किए जाएंगे:

  • SQL सर्वर सेवा - पोर्ट 1433 (TCP)
  • SQL सर्वर ब्राउज़र सेवा - पोर्ट 1434 (UDP)
  • समर्पित व्यवस्थापक कनेक्शन - पोर्ट 1434 (टीसीपी)

प्रशन:

  • क्या यह सलाह अभी भी प्रासंगिक है?
  • क्या उपरोक्त सभी बंदरगाहों को बदलना चाहिए?
sql-server  security  best-practices  dynamic-ports 
जेम्स डी
स्रोत
1
शायद यह पोस्ट आपको dba.stackexchange.com/questions/213810/…
igelr

जवाबों:

68

ऐतिहासिक रूप से, यह SQL सर्वर से कनेक्शन के लिए डिफ़ॉल्ट पोर्ट का उपयोग नहीं करने की सिफारिश की गई है, सुरक्षा सर्वोत्तम अभ्यास के भाग के रूप में।

जो तब तब और अब भी असिनिन थी। यकीनन अश्लीलता के माध्यम से सुरक्षा बिल्कुल भी सुरक्षा नहीं है।

क्या यह सलाह अभी भी प्रासंगिक है

IMHO यह कभी भी प्रासंगिक नहीं था। कुछ अनुपालन उद्देश्यों के लिए यह आवश्यक था क्योंकि उन अनुपालनों को प्रारूपित करने वाले लोगों को यह समझ नहीं आया कि वे क्या कर रहे थे, फिर से, आईएमएचओ।

क्या उपरोक्त सभी बंदरगाहों को बदलना चाहिए?

मैं किसी भी बदल नहीं होगा।

सीन कहता है सारा सर्प निकालें
स्रोत
11

यद्यपि अस्पष्टता के माध्यम से सुरक्षा वास्तविक सुरक्षा नहीं है, लेकिन मैं यह नहीं कहूंगा कि ऐसे कोई मामले नहीं हैं जहां यह मदद करता है।

यदि कोई हमलावर जानना चाहता है कि आपकी सेवा कहाँ सुन रही है तो वे आसानी से पता लगा सकते हैं, लेकिन एक डंबल स्वचालित हमले की स्थिति में यदि आप पोर्ट बदल देते हैं तो आप भाग्यशाली हो सकते हैं।

केवल एक बार मैं याद कर सकता हूं कि एसक्यूएल स्लैमर के समय वास्तव में यह कहां मदद करता है जहां एसक्यूएल सर्वर 2000 असुरक्षित था और एक कीड़ा यादृच्छिक आईपी उत्पन्न करके और डिफ़ॉल्ट एसक्यूएल सर्वर ब्राउज़र पोर्ट से कनेक्ट करके फैल गया था।

यदि मुझे सही ढंग से याद है कि यह पोर्ट बदलने के लिए उस समय तक आधिकारिक सलाह थी जब तक आप अपने सर्वर को पैच नहीं कर सकते थे (या तो क्योंकि वहां पैच तुरंत उपलब्ध नहीं था या क्योंकि आपके पास विंडो नहीं थी)

उस कृमि के लिए आपके नेटवर्क में उस समय प्रवेश करने के लिए जब आपके पास एक फ़ायरवॉल के पीछे SQL सर्वर इंटरनेट से जुड़ा होना चाहिए, जिसे आपको नहीं करना चाहिए, लेकिन किसी भी तरह, एक गैर-डिफ़ॉल्ट पोर्ट नंबर उस विशिष्ट मामले में मदद नहीं कर सकता है।

हालाँकि मैं इस बात से सहमत हूँ कि यदि आपके पास उचित सुरक्षा है, तो आप जो जटिलता जोड़ते हैं, वह संभवत: एक घटना को रोकने की संभावना को कम नहीं करता है।

टॉम वी - टीम मोनिका
स्रोत
9

ऐतिहासिक रूप से, यह SQL सर्वर से कनेक्शन के लिए डिफ़ॉल्ट पोर्ट का उपयोग नहीं करने की सिफारिश की गई है, सुरक्षा सर्वोत्तम अभ्यास के भाग के रूप में

नहीं, यह नहीं था। कुछ गुमराह लोगों ने इसे इस तरह प्रस्तुत किया हो सकता है, लेकिन मैं 20+ वर्षों से सुरक्षा कर रहा हूं और डिफ़ॉल्ट पोर्ट को बदलना हमेशा से एक प्रकार का रहा है "यहाँ कुछ ऐसा है जो आप कर सकते हैं यदि आप चाहते हैं तो कभी-कभी बहुत विशिष्ट परिस्थितियों में एक प्रदान करता है" कुछ बहुत विशिष्ट खतरों के खिलाफ अतिरिक्त सुरक्षा की बात "।

क्या यह सलाह अभी भी प्रासंगिक है?

बहुत विशिष्ट परिस्थितियों में, आपके खतरे के मॉडल और जोखिम विश्लेषण के आधार पर, कुछ उदाहरण हो सकते हैं जिसमें यह ध्वनि सलाह है। अधिकांश मामलों में, नहीं, यह प्रासंगिक नहीं है और न ही यह कभी था।

टॉम
स्रोत
7

हाँ , यह अभी भी उपयोगी है।

डिफ़ॉल्ट पोर्ट्स को बदलना केवल एक वास्तविक उद्देश्य है: स्वचालित स्कैन / हमलों से बचाव, यदि आप डेटाबेस सर्वर मेजबानों की ओर खुले हैं, जो समझौता हो सकता है।

हालांकि यह एक बड़ी बात की तरह नहीं लग सकता है, याद रखें कि:

  • किसी भी होस्ट से समझौता हो सकता है (या आपका डेटाबेस सर्वर कुछ गलती के कारण बड़े पैमाने पर इंटरनेट पर उजागर हो सकता है)
  • उन दिनों के अधिकांश हमले स्वचालित हमले हैं , और उनमें से कई केवल डिफ़ॉल्ट बंदरगाहों की कोशिश करेंगे (जैसा कि कम लटकने वाले फलों पर लक्ष्य करना सबसे अधिक कुशल है)।

तो, हाँ, जबकि यह स्वयं आपको बहुत मदद नहीं करेगा यदि आप लक्षित हमले के तहत हैं , तो यादृच्छिक बंदरगाहों का उपयोग करके (और / या इसे यादृच्छिक आईपीवी 6 पते पर ही सुनें) यह बहुत कम दिखाई देगा, इस प्रकार कम से कम आपको अधिक समय देने के लिए। स्वचालित 0day शोषण स्कैन से पहले अपग्रेड आपको हिट करता है (और यहां तक ​​कि पूरी तरह से इस तरह के स्वचालित स्कैन के खिलाफ आपकी रक्षा कर सकता है!)

इसके अलावा (यह न केवल सभी स्वचालित हमलों के खिलाफ, बल्कि कुछ लक्षित हमलों के खिलाफ भी मदद करेगा) जब हमलावर आपके डेटाबेस पोर्ट को ब्रूटफोर्स पोर्टस्कैन द्वारा इसका फायदा उठाने के लिए खोजने की कोशिश करते हैं, तो इसका पता लगाया जा सकता है और इसके खिलाफ बचाव किया जा सकता है (हमलावर को आईपी ब्लैकलिस्ट करके) , और अगर कुछ आंतरिक मेजबान को हमले के स्रोत के रूप में पाया गया है, तो उसे चेतावनी देना)

यह भी ध्यान दें कि सर्वर और क्लाइंट के लिए डिफ़ॉल्ट पोर्ट बदलना (विशेष रूप से यदि वे स्वचालित रूप से तैनात हैं) काम की तुच्छ राशि है, और ब्रूटफोर्स स्कैन का पता लगाना आसान है; इसलिए आपको वास्तव में ऐसा करना चाहिए (न केवल डेटाबेस सर्वरों के लिए; बल्कि सभी सेवाओं के लिए जहां इसे स्थापित करने की अधिकता प्रयोज्य मुद्दों के कारण निषेधात्मक नहीं है: जैसे वेब से डिफ़ॉल्ट पोर्ट को बदलने 80की अनुशंसा नहीं की जाती है, जैसा कि कुछ लोग (और बॉट) करते हैं। इसे गड़बड़ कर देगा, और दुनिया भर में यादृच्छिक फ़ायरवॉल कनेक्शन को स्थापित करने की अनुमति नहीं दे सकता है। लेकिन आरडीपी गैर-डिफ़ॉल्ट पोर्ट के लिए उदाहरण के लिए महान लक्ष्य है)

मतिजा नलिस
स्रोत
1

मैं पोर्ट नहीं बदलूंगा, लेकिन फिर भी इंटरनेट पर सीधे डेटाबेस सेवा को उजागर नहीं करता। केवल SSH जैसी सुरक्षित सुरंग के माध्यम से। SSH के बंदरगाह को बदलना स्कैनर द्वारा यातायात को कम करने के लिए एक अच्छा विचार हो सकता है।

थॉमस
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.