এসকিউএল সার্ভার পোর্ট পরিবর্তন করা কি আসলেই অনেক বেশি নিরাপদ?

12

এসকিউএল সার্ভারের ডিফল্ট বন্দরটি 1433 I've আমাদের প্রশাসক আমাকে জানিয়ে দিয়েছেন যে "সুরক্ষার কারণে" পোর্টটি পরিবর্তন করতে হবে।

বন্দরটি পরিবর্তন করা কি আসলেই অনেক বেশি নিরাপদ? যদি সার্ভার কোনও ফায়ারওয়ালের পিছনে থাকে এবং এটি কেবলমাত্র আইপির একটি নির্দিষ্ট পরিসর থেকে সংযোগের অনুমতি দেয় তবে এটি কি যথেষ্ট ভাল নয়?

sql-server 
CarllDev
সূত্র
সম্পর্কিত: dba.stackexchange.com/q/1813/630
gbn

উত্তর:

18

এটি পোর্ট স্ক্যানিং ওয়েবসাইটগুলির মাধ্যমে সূচনা করা যেতে পারে এমন সাধারণ পোর্ট স্ক্যানগুলির বিরুদ্ধে সহায়তা করে। তবে এটি প্রতিশ্রুতিবদ্ধ আক্রমণকারীর বিরুদ্ধে সহায়তা করবে না। এটি অন্য একটি স্তর, তবে আপনি উল্লিখিত হিসাবে ফায়ারওয়ালের উপর বেশি কিছু যোগ করেন না।

11

যদি আপনার এসকিউএল সার্ভারগুলি সরাসরি ইন্টারনেটে সংযুক্ত থাকে (যা সেগুলি হওয়া উচিত নয়) তবে এটি জেনেরিক আক্রমণ স্ক্রিপ্টগুলির বেশিরভাগই কেবল ডিফল্ট পোর্ট নম্বর ব্যবহার করে বলে আপনাকে কিছুটা সুরক্ষা দিতে পারে।

যদি আপনার এসকিউএল সার্ভারগুলি সরাসরি ইন্টারনেট থেকে অ্যাক্সেসযোগ্য না হয় তবে এটি বেশ অর্থহীন। যে কোনও ফায়ারওয়াল দূরবর্তী বন্দরে সংযোগের অনুমতি দিতে হবে। মেশিনে ক্লায়েন্ট সফটওয়্যারটি চালানোর সাথে সাথেই আমি দেখতে পাচ্ছি যে এসকিউএল সার্ভারটি নেট স্ট্যাট কমান্ডের মাধ্যমে কী পোর্ট ব্যবহার করছে। এই মুহুর্তে আপনি আমাকে ঠিক ২-৩ সেকেন্ডের গতি কমিয়ে দিয়েছেন।

mrdenny
সূত্র
10

এটি এমন অ্যাপ্লিকেশনগুলিকে ভেঙে দেবে যা 1433 পোর্টটি প্রত্যাশা করে
Some কিছু অ্যাপস এটি মোকাবেলায় কনফিগার করা যেতে পারে তবে এটি মোতায়েন করতে হবে।

আমি শুধু এটি ছেড়ে দিতে হবে। যদি তারা 1433 পোর্টে আপনার ডিফল্ট উদাহরণটিকে "হ্যাক" করে তবে আপনি ইতিমধ্যে বোলিক্সড।

আপনি নামযুক্ত দৃষ্টান্তের জন্য পোর্টটি নির্দিষ্ট করতে পারেন তবে তারপরে পোর্টে উদাহরণটি সমাধানের জন্য 1434 বন্দরটি খুলতে হবে ...

gbn
সূত্র
1
আপনি যদি সর্বদা বন্দরের মাধ্যমে সংযুক্ত হন তবে এসকিউএল সার্ভার ব্রাউজার (এবং এইভাবে, পোর্ট 1434) এছাড়াও বন্ধ থাকতে পারে।
নিক চ্যামাস
7

হ্যাকাররা সাধারণত ব্যবহৃত বন্দরগুলির জন্য প্রায়শই আইপি ঠিকানাগুলি স্ক্যান করে, তাই "রাডারের নীচে উড়তে" আলাদা পোর্ট ব্যবহার করা অস্বাভাবিক কিছু নয়। এটি কেবল সনাক্তকরণ এড়ানোর জন্য, অন্যটি ছাড়া অন্য কোনও বন্দর ব্যবহার করে কোনও সুরক্ষা নেই।

যদি কেবলমাত্র সীমিত আইপি পরিসীমাটি বন্দরটি অ্যাক্সেস করতে পারে তবে আপনি ইতিমধ্যে "রাডারের নীচে" রয়েছেন, সুতরাং আমি অন্য কোনও বন্দর ব্যবহার করার কোনও ভাল কারণ দেখতে পাচ্ছি না।

Guffa
সূত্র
6

সত্যি বলতে হ্যা. অন্য উদাহরণটি ব্যবহার করতে, আমার বিশ্ববিদ্যালয়ের লিনাক্স ল্যাব-এর প্রশাসক এসএসএইচ পোর্টটি 22 থেকে দূরে কিছু অস্পষ্ট মান হিসাবে পরিবর্তন করেছেন। তিনি রিপোর্ট করেছেন যে নেটওয়ার্কটি প্রতি দিন 10,000 ডলার / আক্রমণ থেকে প্রায় 1 বা 2 প্রতি মাসে নেমেছে। মঞ্জুর, আপনি যদি ইতিমধ্যে এই ধরণের আক্রমণটি না ভোগেন তবে বেশিরভাগ ক্ষেত্রে এটি চেষ্টা করার পক্ষে উপযুক্ত নয়। তবুও, একটি বিচক্ষণ বিকল্প বন্দরে পরিবর্তন করে, আপনি বিস্তৃত তদন্ত আক্রমণ এবং হোয়াট নোট রোধ করেন।

TheBuzzSaw
সূত্র
3

আমি মনে করি এটি একটি দ্বি-অংশ সমস্যা।

1) কমন পোর্ট স্ক্যানিং সফ্টওয়্যার প্রথমে সাধারণ বন্দরগুলি চেষ্টা করে দেখতে পারে, তবে এটি সমস্ত বন্দর ব্যবহার করার চেষ্টা থেকে সীমাবদ্ধভাবে কিছুই সীমাবদ্ধ করে না, এবং এটি আপনাকে যখন কোনও উন্মুক্ত বন্দর খুঁজে পায় তখন প্রোটোকলটি আঙুল-মুদ্রণ করতে সক্ষম হবে এটি ধরে নিতে সক্ষম হতে হবে ।

২) যখন আরও আক্রমণাত্মক পোর্ট-স্ক্যান হচ্ছে তখন আপনাকে এটি সনাক্ত করতে সক্ষম হতে হবে এবং এই জ্ঞানটি দিয়ে কিছু করতে হবে (যেমন ব্যর্থ2ban ইত্যাদি)

আপনার প্রশাসক প্রস্তাব দিচ্ছেন (1), জিজ্ঞাসা করুন তিনি (2) সম্পর্কিত কোন ধারণাগুলি রয়েছে।

মরগান টকার
সূত্র
2

পোর্ট পরিবর্তন করা তাদের একটি স্ক্যান করতে বাধ্য করবে। আপনি যখন সুরক্ষা জাতীয় নেটওয়ার্ক ট্যাপ বা স্প্যান সহ কোনও সুরক্ষা সরঞ্জাম ব্যবহার করেন, তখন আপনার সার্ভারের পোর্ট স্ক্যানের মতো কিছু স্পষ্ট হয়ে যায়। ডিফল্ট পোর্টে এসকিউএল সার্ভারের সাথে বৈধভাবে কেউ সংযুক্ত হওয়া এতটা সুস্পষ্ট নয়।

আমি সম্মত, সেরা পদ্ধতির বিষয়টি অস্পষ্টতার দ্বারা সুরক্ষা নয়। যাইহোক, যে কোনও এবং সমস্ত অ্যাপ্লিকেশনগুলিতে ডিফল্ট পোর্ট পরিবর্তন করা যখন সম্ভব হয় তখন একটি ওভার-আর্চিংয়ের একটি অংশ, গভীর কৌশল যার মধ্যে লাল দলের ক্রিয়াকলাপ, নেটওয়ার্ক সুরক্ষা মনিটরিং দল এবং সমস্ত সঠিক উপকরণ ইনস্টল, পরিপক্ক এবং দ্বারা বোঝা যায় যারা এটি ব্যবহার করছেন।

আপনার যখন এই সমস্ত জিনিস থাকে, তখন আপনার সিস্টেমে একটি অনুপ্রবেশকারী একটি ব্যথার থাম্বের মতো দাঁড়িয়ে থাকে। নীচের অংশটি - যদি কেউ মনে করেন যে তারা তালিকার একটি গুচ্ছ আইটেমগুলি পরীক্ষা করে তাদের সিস্টেমের সুরক্ষা উন্নত করতে পারে, তবে তারা ভুল। যদি কোনও অনিশ্চিত শর্তে তাদের কেন বন্দরের পরিবর্তন প্রয়োজন হয় তা যদি তারা ব্যাখ্যা করতে না পারে তবে তারা আপনাকে কেউ বন্দর পরিবর্তন করতে বলার ভূমিকায় অন্তর্ভুক্ত নয়।

RelativitySQL
সূত্র
-2

যখন কোনও অ্যাপ্লিকেশন টিএসসিআইপি-র সাথে এমএস এসকিউএল-এর সাথে সংযোগ করে তখন কথোপকথনের প্রথম অংশটি ১৪৩৩ এ ডিফল্ট নামবিহীন দৃষ্টান্তের সাথে ঘটে থাকে - নামকরণগুলির সাথে যোগাযোগ করা এমন কোনও পোর্ট সংখ্যা হ্রাস করা কম নয়। যে কোনও ফায়ারওয়ালগুলি একটিতে কনফিগার করা উচিত) এটি যথাযথ আইপি রেঞ্জগুলির মধ্যে দিয়ে দিন, খ) নির্দিষ্ট নাম্বার ব্যবহার করা যেতে পারে এমন কোনও নির্দিষ্ট পোর্ট নম্বর। এগুলি এসকিউএল কনফিগারেশন ম্যানেজারে ঠিক করা হিসাবে কনফিগার করা উচিত। আপনি সংযোগ স্ট্রিংয়ে (আইপি ঠিকানা 192.168.22.55): (পোর্ট নম্বর 12345) ব্যবহার করে যে কোনও উদাহরণের সাথে যোগাযোগ করতে পারেন। যদি এসকিউএল ব্রাউজার পরিষেবা সক্ষম না করা থাকে তবে 1433 অন্তরঙ্গ কথোপকথন সরবরাহ করবে না। আপনি যদি এনটি প্রমাণীকরণ ব্যবহার করছেন তবে তা অর্জন করার খুব কম রয়েছে। আপনি যদি এসকিউএল প্রমাণীকরণ ব্যবহার করেন তবে অল্প পরিমাণে অর্জন করতে হবে।

আয়ান পি
সূত্র
জন্য উদাহরণস্বরূপ রেজল্যুশন ... পোর্ট 1434 এর ফলে UDP msdn.microsoft.com/en-us/library/ms165724(SQL.90).aspx
gbn
-1 কারণ একটি উচিৎ হওয়া উচিত নয়
gbn
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.