Ist es immer noch empfehlenswert, die Verwendung der Standardports für SQL Server zu vermeiden?

In der Vergangenheit wurde empfohlen, die Standardports nicht für Verbindungen zu SQL Server zu verwenden, um die Sicherheit zu verbessern. Auf einem Server mit einer einzelnen Standardinstanz werden standardmäßig die folgenden Ports verwendet:

• SQL Server-Dienst - Port 1433 (TCP)
• SQL Server-Browserdienst - Port 1434 (UDP)
• Dedizierte Administratorverbindung - Port 1434 (TCP)

FRAGEN:

• Ist dieser Rat immer noch relevant?
• Sollten ALLE oben genannten Ports geändert werden?

In der Vergangenheit wurde empfohlen, die Standardports nicht für Verbindungen zu SQL Server zu verwenden, um die Sicherheit zu verbessern.

Welches war damals und heute noch asinin. Sicherheit durch wohl obskur ist überhaupt keine Sicherheit.

Ist dieser Hinweis noch relevant?

IMHO war es nie relevant. Es war für einige Compliance-Zwecke erforderlich, da die Personen, die diese Compliance-Anforderungen erarbeiteten, IMHO nicht verstanden, was sie gerade taten.

Sollten ALLE oben genannten Ports geändert werden?

Ich würde nichts ändern.

Auch wenn Sicherheit durch Dunkelheit keine wirkliche Sicherheit ist, kann ich nicht sagen, dass es keine Fälle gibt, in denen sie hilft.

Wenn ein Angreifer wissen möchte, wo Ihr Dienst lauscht, kann er dies leicht herausfinden. Im Falle eines dummen automatisierten Angriffs können Sie jedoch glücklich sein, wenn Sie den Port geändert haben.

Das einzige Mal, an das ich mich erinnern kann, wo es tatsächlich geholfen hat, ist die Zeit von SQL Slammer, als SQL Server 2000 anfällig war und sich ein Wurm ausbreitete, indem zufällige IPs generiert und eine Verbindung zum standardmäßigen SQL Server-Browser-Port hergestellt wurde.

Wenn ich mich richtig erinnere, war es zu der Zeit offizieller Rat, die Ports zu ändern, bis Sie Ihren Server patchen konnten (entweder weil kein Patch sofort verfügbar war oder weil Sie kein Fenster hatten)

Damit dieser Wurm zu dem Zeitpunkt in Ihr Netzwerk eindringen konnte, als Sie einen SQL Server mit dem Internet verbunden haben mussten, anstatt sich hinter einer Firewall zu befinden, hätte dies in diesem speziellen Fall hilfreich sein können.

Ich stimme jedoch zu, dass die von Ihnen hinzugefügte Komplexität bei angemessener Sicherheit die Wahrscheinlichkeit, dass ein Vorfall verhindert wird, wahrscheinlich nicht überwiegt.

In der Vergangenheit wurde empfohlen, die Standardports nicht für Verbindungen zu SQL Server zu verwenden, um die Sicherheit zu verbessern

Nein, das war es nicht. Einige irreführende Leute haben es vielleicht als solches dargestellt, aber ich mache seit über 20 Jahren Sicherheit und das Ändern von Standardports war schon immer eine Art von "Hier können Sie etwas tun, wenn Sie wollen, was vielleicht manchmal unter ganz bestimmten Umständen eine liefert ein bisschen zusätzliche Sicherheit gegen einige sehr spezifische Bedrohungen ".

Ist dieser Rat immer noch relevant?

Abhängig von Ihrem Bedrohungsmodell und Ihrer Risikoanalyse kann es unter bestimmten Umständen vorkommen, dass dies ein guter Rat ist. In den allermeisten Fällen ist dies weder relevant noch jemals der Fall.

JA , es ist immer noch nützlich.

Das Ändern der Standardports hat nur einen einzigen Zweck: Sie können sich vor automatisierten Scans / Angriffen schützen, wenn der Datenbankserver für Hosts offen ist, die möglicherweise kompromittiert werden.

Das klingt vielleicht nicht nach einer großen Sache, aber denken Sie daran:

• Jeder Host könnte kompromittiert werden (oder Ihr Datenbankserver könnte aufgrund eines Fehlers dem gesamten Internet ausgesetzt sein).
• Bei den meisten Angriffen handelt es sich heutzutage um automatisierte Angriffe , und viele von ihnen versuchen nur Standardports (da das Zielen auf niedrig hängende Früchte am effizientesten ist).

Also, ja, obwohl es Ihnen selbst nicht viel hilft, wenn Sie gezielt angegriffen werden, wird es durch die Verwendung von zufälligen Ports (und / oder durch das Abhören nur von zufälligen IPv6-Adressen) viel weniger sichtbar, sodass Sie zumindest mehr Zeit haben Upgrade, bevor der automatische 0-Tage-Exploit-Scan Sie trifft (und Sie möglicherweise sogar vollständig vor einem solchen automatischen Scan schützt!)

Außerdem (dies hilft nicht nur gegen alle automatisierten Angriffe, sondern auch gegen einige gezielte Angriffe) kann Ihr Datenbankport, der von Bruteforce-Portscans ausgenutzt wird, erkannt und verteidigt werden (indem Angreifer-IP-Bereiche auf die schwarze Liste gesetzt werden), wenn Angreifer versuchen, ihn auszunutzen und Benachrichtigung von Administratoren, wenn ein interner Host als Angriffsquelle erkannt wurde)

Beachten Sie auch, dass das Ändern des Standardports für Server und Clients (insbesondere, wenn diese automatisch bereitgestellt werden) nur geringfügig ist und das Erkennen von Bruteforce-Scans ebenfalls einfach ist. Sie sollten es also wirklich tun (nicht nur für Datenbankserver, sondern für alle Dienste, bei denen der Aufwand für die Einrichtung aufgrund von Usability-Problemen nicht unerschwinglich ist: Das Ändern des Standardports für das Web von 80wird nicht empfohlen, da einige Leute (und Bots) wird es vermasseln und zufällige Firewalls auf der ganzen Welt können möglicherweise keine Verbindung herstellen. Aber RDP ist ein großartiges Ziel, zum Beispiel für nicht standardmäßige Ports.)

Ich würde den Port nicht ändern, aber niemals den Datenbankdienst direkt über das Internet verfügbar machen. Nur durch einen sicheren Tunnel wie SSH. Das Ändern des SSH-Ports ist möglicherweise eine gute Idee, um den Datenverkehr durch Scanner zu minimieren.