এসকিউএল সার্ভারের জন্য ডিফল্ট পোর্ট ব্যবহার না করা কি এখনও সেরা অনুশীলন?


21

Orতিহাসিকভাবে, এটি সুরক্ষা সর্বোত্তম অনুশীলনের অংশ হিসাবে এসকিউএল সার্ভারের সংযোগের জন্য ডিফল্ট বন্দরগুলি ব্যবহার না করার পরামর্শ দেওয়া হয়েছে। একটি একক, ডিফল্ট উদাহরণ সহ সার্ভারে নিম্নলিখিত পোর্টগুলি ডিফল্টরূপে ব্যবহৃত হবে:

  • এসকিউএল সার্ভার পরিষেবা - পোর্ট 1433 (টিসিপি)
  • এসকিউএল সার্ভার ব্রাউজার পরিষেবা - পোর্ট 1434 (ইউডিপি)
  • উত্সর্গীকৃত প্রশাসন সংযোগ - পোর্ট 1434 (টিসিপি)

প্রশ্ন:

  • এই পরামর্শ কি এখনও প্রাসঙ্গিক?
  • উপরের সমস্ত বন্দরগুলি পরিবর্তন করা উচিত?

1
হতে পারে এই পোস্টটি আপনাকে সাহায্য করতে পারে dba.stackexchange.com/questions/213810/…
igelr

উত্তর:


68

Orতিহাসিকভাবে, এটি সুরক্ষা সর্বোত্তম অনুশীলনের অংশ হিসাবে এসকিউএল সার্ভারের সংযোগের জন্য ডিফল্ট বন্দরগুলি ব্যবহার না করার পরামর্শ দেওয়া হয়েছে।

যা তখন অসিনাইন ছিল এবং এখনও অ্যাসিনাইন ছিল। মাধ্যমে নিরাপত্তা তর্কসাপেক্ষে দুর্বোধ্যতা এ সব নিরাপত্তা নয়।

এই পরামর্শ কি এখনও প্রাসঙ্গিক?

আইএমএইচও এটি কখনও প্রাসঙ্গিক ছিল না। কিছু মেনে চলার উদ্দেশ্যে এটি প্রয়োজনীয় ছিল কারণ এই বাধ্যবাধকতার খসড়া তৈরি করা লোকেরা তারা কী করছে তা বুঝতে পারে নি, আবার, আইএমএইচও।

উপরের সমস্ত বন্দরগুলি পরিবর্তন করা উচিত?

আমি কোন পরিবর্তন করব না।


11

যদিও অস্পষ্টতার মাধ্যমে সুরক্ষা প্রকৃত সুরক্ষা না আমি বলব না এটির ক্ষেত্রে এমন কোনও মামলা নেই যেখানে এটি সহায়তা করে।

যদি কোনও আক্রমণকারী জানতে চান যে কোথায় আপনার পরিষেবাটি শুনছে তারা সহজেই তা জানতে পারে তবে বোবা স্বয়ংক্রিয় আক্রমণে আপনি বন্দরটি পরিবর্তন করলে আপনি ভাগ্যবান হতে পারেন।

এসকিউএল স্ল্যামার চলাকালীন যেখানে এসকিউএল সার্ভার 2000 দুর্বল ছিল এবং এলোমেলো আইপি তৈরি করে এবং ডিফল্ট এসকিউএল সার্ভার ব্রাউজার পোর্টের সাথে সংযোগ স্থাপনের মাধ্যমে একটি কীট ছড়িয়েছিল কেবল তখনই আমি এটি স্মরণ করতে পারি ।

যদি আমি সঠিকভাবে মনে করি তবে আপনার সার্ভারটি প্যাচ না করা পর্যন্ত পোর্টগুলি পরিবর্তন করার সময় এটির সরকারী পরামর্শ ছিল (হয় কারণ প্যাচটি অবিলম্বে উপলব্ধ ছিল না বা আপনার উইন্ডো নেই বলে)

সেই কীটটি আপনার নেটওয়ার্কে প্রবেশের জন্য যখন আপনার একটি ফায়ারওয়ালের পিছনে একটি এসকিউএল সার্ভারের সাথে ইন্টারনেটের সাথে সংযুক্ত থাকা দরকার ছিল, যা আপনার করা উচিত নয়, তবে কোনও ডিফল্ট পোর্ট নম্বর সেই নির্দিষ্ট ক্ষেত্রে সহায়তা করতে পারে।

তবে আমি সম্মত হই যে আপনার যদি যথাযথ সুরক্ষার জায়গায় জায়গা করে থাকেন তবে জটিলতা যুক্ত করার কারণে এটি কোনও ঘটনা রোধ করার সম্ভাবনা ছাড়িয়ে যাবে না।


9

Orতিহাসিকভাবে, সুরক্ষা সর্বোত্তম অনুশীলনের অংশ হিসাবে, এসকিউএল সার্ভারের সংযোগের জন্য ডিফল্ট বন্দরগুলি ব্যবহার না করার পরামর্শ দেওয়া হয়েছে

না, তা হয়নি। কিছু বিভ্রান্ত ব্যক্তি এটিকে উপস্থাপন করতে পারে তবে আমি ২০++ বছর ধরে সুরক্ষা করছি এবং ডিফল্ট বন্দরগুলি সবসময়ই এক ধরণের হয়ে থাকে "আপনি যদি এমন কিছু করতে পারেন যা আপনি চান যা সম্ভবত খুব নির্দিষ্ট পরিস্থিতিতে কখনও কখনও সরবরাহ করে provides কিছু অতি নির্দিষ্ট হুমকি "জিনিসটির বিরুদ্ধে কিছুটা অতিরিক্ত সুরক্ষা।

এই পরামর্শ কি এখনও প্রাসঙ্গিক?

খুব নির্দিষ্ট পরিস্থিতিতে আপনার হুমকির মডেল এবং ঝুঁকি বিশ্লেষণের উপর নির্ভর করে কিছু উদাহরণ থাকতে পারে যাতে এটি যথাযথ পরামর্শ। বেশিরভাগ ক্ষেত্রে, না, এটি প্রাসঙ্গিক নয় এবং এটি কখনও ছিল না।


7

হ্যাঁ , এটি এখনও দরকারী।

ডিফল্ট পোর্টগুলি পরিবর্তনের কেবলমাত্র একটি আসল উদ্দেশ্য রয়েছে: স্বয়ংক্রিয় স্ক্যান / আক্রমণগুলির বিরুদ্ধে প্রতিরক্ষা করুন, যদি আপনার ডাটাবেস সার্ভার হোস্টগুলির দিকে উন্মুক্ত থাকে যা আপস হতে পারে।

যদিও এটি কোনও বড় চুক্তির মতো শোনায় না, মনে রাখবেন:

  • যে কোনও হোস্ট আপোস করতে পারে (বা কোনও ভুলের কারণে আপনার ডেটাবেসস সার্ভারটি ইন্টারনেটের সামনে উন্মুক্ত হতে পারে)
  • এই দিনগুলিতে বেশিরভাগ আক্রমণগুলি স্বয়ংক্রিয় আক্রমণ হয় এবং তাদের মধ্যে অনেকে কেবলমাত্র ডিফল্ট বন্দর চেষ্টা করে দেখায় (কম ঝুলন্ত ফলগুলিকে লক্ষ্য করা সবচেয়ে কার্যকর)।

সুতরাং, হ্যাঁ, এটি স্বয়ংক্রিয়ভাবে আপনাকে খুব বেশি সাহায্য করবে না যদি লক্ষ্যযুক্ত আক্রমণে থাকে তবে এলোমেলো বন্দরগুলি ব্যবহার করে (এবং / অথবা এলোমেলো আইপিভি 6 ঠিকানায় এটি শোনার জন্য) এটি কম দৃশ্যমান করে তুলবে, কমপক্ষে আপনাকে আরও সময় দেওয়ার জন্য স্বয়ংক্রিয় 0 দিনের শোষণ স্ক্যান আপনাকে হিট করার আগে আপগ্রেড করুন (এবং এমনকি আপনাকে নিজেরাই এ জাতীয় স্বয়ংক্রিয় স্ক্যানের বিরুদ্ধে সম্পূর্ণরূপে রক্ষা করতে পারে!)

এছাড়াও (এটি কেবলমাত্র সমস্ত অটোমেটেড আক্রমণগুলির বিরুদ্ধে নয় কেবল কিছু লক্ষ্যবস্তু আক্রমণগুলির বিরুদ্ধেও সহায়তা করবে) যখন আক্রমণকারীরা ব্রুটফোর্ড পোর্টসক্যান্স দ্বারা আপনার ডাটাবেস বন্দরটিকে কাজে লাগানোর জন্য এটি অনুসন্ধান করার চেষ্টা করে, তখন এটি সনাক্ত করা যায় এবং আক্রমণকারী আইপি রেঞ্জকে কালো তালিকাভুক্ত করে সনাক্ত করতে পারে , এবং যদি কোনও অভ্যন্তরীণ হোস্ট আক্রমণের উত্স হিসাবে সনাক্ত করা থাকে তবে প্রশাসকদের সতর্ক করে দেওয়া)

এছাড়াও নোট করুন যে সার্ভার এবং ক্লায়েন্টদের জন্য ডিফল্ট পোর্ট পরিবর্তন করা (বিশেষত যদি তারা স্বয়ংক্রিয়ভাবে মোতায়েন করা হয়) কাজ তুচ্ছ পরিমাণে, এবং ব্রুটফোর্স স্ক্যানগুলি সনাক্ত করা খুব সহজ; সুতরাং আপনার সত্যই এটি করা উচিত (কেবলমাত্র ডাটাবেস সার্ভারের জন্য নয়; তবে সমস্ত সেবার ক্ষেত্রে যেখানে ব্যবহারের বিষয়গুলির কারণে এটি সেট আপ করা ওভারহেড নিষিদ্ধ নয়: 80যেমন কিছু লোকের (এবং বটস) থেকে ওয়েবের জন্য ডিফল্ট পোর্ট পরিবর্তন করার পরামর্শ দেওয়া হয় না) like এটি বিশৃঙ্খলা সৃষ্টি করবে এবং বিশ্বজুড়ে এলোমেলো ফায়ারওয়ালগুলি সংযোগ স্থাপনের অনুমতি নাও দিতে পারে। তবে আরডিপি উদাহরণ হিসাবে নন-ডিফল্ট পোর্টের জন্য দুর্দান্ত লক্ষ্য)


1

আমি বন্দরটি পরিবর্তন করব না, তবে সরাসরি ইন্টারনেটের মাধ্যমে ডাটাবেস পরিষেবাটি কখনই প্রকাশ করব না। কেবল এসএসএইচের মতো সুরক্ষিত টানেলের মাধ্যমে। এসএসএইচ-র বন্দর পরিবর্তন করা স্ক্যানার দ্বারা ট্রাফিক হ্রাস করার জন্য ভাল ধারণা হতে পারে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.