ডিফল্ট পোর্ট নম্বর পরিবর্তন করা কি আসলে সুরক্ষা বাড়ায়?

69

আমি পরামর্শ দেখেছি যে প্রাইভেট অ্যাপ্লিকেশনগুলির জন্য আপনার পৃথক পোর্ট নম্বর ব্যবহার করা উচিত (যেমন ইন্ট্রানেট, ব্যক্তিগত ডেটাবেস, কোনও বহিরাগত লোক ব্যবহার করবে না)।

আমি পুরোপুরি নিশ্চিত নই যে সুরক্ষার উন্নতি করতে পারে because

  1. পোর্ট স্ক্যানার বিদ্যমান
  2. যদি কোনও অ্যাপ্লিকেশনটি দুর্বল হয় তবে এটি তার পোর্ট নম্বর নির্বিশেষে এতোই থেকে যায়।

আমি কিছু মিস করেছি বা আমি নিজের প্রশ্নের উত্তর দিয়েছি?

security  port  port-scanning 
স্যাম
সূত্র
30
একটি কাজ আমি হ'ল নির্দিষ্ট ডিফল্ট বন্দরগুলি (যেমন, এসএসএইচ পোর্ট 22) মধুর হাঁড়ি হিসাবে ব্যবহার করুন। এই বন্দরগুলির সাথে সংযোগ স্থাপনের চেষ্টা করা যে কেউ xসময় পরিমাণের জন্য পুরোপুরি অবরুদ্ধ । এটি পোর্ট স্ক্যানিংয়ের বিরুদ্ধে কার্যকর প্রমাণিত হয়েছে। অবশ্যই, এটি সুরক্ষা সরঞ্জামবাক্সের কেবল একটি সরঞ্জাম।
বেলমিন ফার্নান্দেজ
দুর্বোধ্যতা মাধ্যমে নিরাপত্তা সম্পর্কে সাধারণ প্রশ্ন এখানে আসতে বলেছি হয়: security.stackexchange.com/questions/2430/...
টনি মেয়ার
ভাল এটি "স্ক্রিপ্টিং বাচ্চাদের" জন্য একটি বাধা হতে পারে
লুকাশজ ম্যাডন
1
@ বেলমিন ফার্নান্দেজ, "সুরক্ষা সরঞ্জামের বাক্সে একটি সরঞ্জাম" ? না, এটি সার্ভার লোড হ্রাস করার জন্য (পারফরম্যান্স) এবং এটির কেবল মায়া ছাড়াও সুরক্ষার সাথে কিছুই করার নেই । সুরক্ষার ভিত্তিতে, সার্ভারটি ইতিমধ্যে শক্তিশালী থাকলে এটি সম্পূর্ণ অপ্রয়োজনীয় এবং সার্ভারটি যদি দুর্বল হয় তবে এটি এটিকে আর সুরক্ষিত করে না।
পেসারিয়ার
@ পেসারিয়ার, সম্মত হয়েছেন যে আরও কঠোর সুরক্ষা অনুশীলনগুলি প্রয়োগের জন্য প্রচেষ্টা এবং ফোকাস হওয়া উচিত। যাইহোক, আপনি উভয় করতে না পারার কোনও কারণ নেই।
বেলমিন ফার্নান্দেজ

উত্তর:

68

এটি লক্ষ্যযুক্ত আক্রমণের বিরুদ্ধে কোনও গুরুতর প্রতিরক্ষা সরবরাহ করে না। যদি আপনার সার্ভারটি তখন লক্ষ্যবস্তু করা হচ্ছে, যেমন আপনি বলেছেন, তারা আপনাকে পোর্ট করবে এবং আপনার দরজা কোথায় তা সন্ধান করবে।

তবে, এসএসএইচকে 22-এর ডিফল্ট পোর্টের বাইরে নিয়ে যাওয়া কিছু লক্ষ্যহীন এবং অপেশাদার স্ক্রিপ্ট কিডির ধরণের আক্রমণকে আটকাবে। এগুলি অপেক্ষাকৃত অপ্রত্যাশিত ব্যবহারকারী যারা স্ক্রিপ্টগুলি আইপি ঠিকানার বৃহত ব্লকগুলি পোর্ট স্ক্যান করে একবারে পোর্ট 22 খোলা আছে কিনা তা দেখার জন্য এবং তারা কোনও সন্ধান পেলে তারা এর উপর কিছু প্রকার আক্রমণ চালাবেন (ব্রুট ফোর্স, অভিধান আক্রমণ, ইত্যাদি)। আপনার মেশিনটি যদি আইপিগুলির সেই ব্লকে স্ক্যান করা থাকে এবং এটি পোর্ট 22 এ এসএসএইচ চালাচ্ছে না তবে এটি প্রতিক্রিয়া জানায় না এবং তাই এই স্ক্রিপ্ট কিডির আক্রমণ করার জন্য মেশিনগুলির তালিকায় প্রদর্শিত হবে না। তবে, এখানে কিছু নিম্ন স্তরের সুরক্ষা সরবরাহ করা হয়েছে তবে কেবল এই ধরণের সুযোগসুবিধুর আক্রমণে।

উদাহরণস্বরূপ, যদি আপনার কাছে সময় থাকে - আপনার সার্ভারে লগ করুন (এসএসএইচ 22 বন্দরে রয়েছে ধরে নেওয়া) এবং আপনি যে অনন্যতম ব্যর্থ এসএসএইচ প্রচেষ্টা চালিয়ে যেতে পারেন তা টেনে আনুন। তারপরে এসএসএইচটিকে সেই বন্দর থেকে সরান, কিছু সময় অপেক্ষা করুন এবং আবার লগ ডাইভিং এ যান। আপনি নিঃসন্দেহে কম আক্রমণ পাবেন।

আমি একটি পাবলিক ওয়েব সার্ভারে ফেইল 2 ব্যান চালাতাম এবং এসএসএইচ বন্দরের 22 টি থেকে সরিয়ে নেওয়ার সময় এটি সত্যই স্পষ্ট ছিল It

jdw
সূত্র
3
একমত। অ-মানক বন্দরটিতে এসএসএইচ সরিয়ে নিয়ে পরীক্ষা করার সময় আমি খুব অনুরূপ ড্রপটি দেখেছি। ভাগ্যক্রমে পাসওয়ার্ড প্রমাণীকরণ অক্ষম করা, এটি সত্যিই একটি ইস্যু নয়।
EEAA
3
এখন পর্যন্ত এখানে সেরা উত্তর। কে আক্রমণ করছে এ সবই নেমে আসে। আমি একবারে এমন একটি সিস্টেমকে অ্যাডমিনকে সহায়তা করেছিলাম যা স্ক্যানিং বাচ্চা থেকে শূন্য দিনের আক্রমণে আঘাত পেয়েছিল। সম্ভবত এমএস-আরডিপিতে যেমন ফায়ারওয়াল দ্বারা আমাদের আইআইএস উন্মুক্ত হয়নি। আমাদের হোস্ট আমাদের আরডিপি পোর্ট পরিবর্তন করার অনুমতি দেয় না (পরিচালিত হোস্টিং) সুতরাং তারা মূলত সেখানে বসে থাকতে হয়েছিল যখন তারা তাদের আইডি / আইপিএস ফিল্টারিংয়ের জন্য নতুন প্যাটার্নে কাজ করেছিল। যদিও এটি এসএসএইচের মতো আরও প্রতিষ্ঠিত সার্ভারগুলিতে তেমন সহায়তা করতে পারে না যা মনে হয় কিছু এমএস পণ্যের তুলনায় সুরক্ষার সমস্যা কম।
ম্যাট মোলনার
9
অবশ্যই রাজি। সুরক্ষা সমস্ত স্তর সম্পর্কিত, এবং আপনার যত বেশি পরিমাণে আপনি তত বেশি সুরক্ষিত। এটি একটি দুর্বল স্তর হতে পারে তবে তবুও একটি স্তর। যতক্ষণ না এটি সম্পূর্ণরূপে নির্ভর করা হয় ততক্ষণ এটি কেবল সুরক্ষায় যোগ করতে পারে।
পল ক্রুন
1
এসএসএইচটিকে পোর্ট 22 থেকে সরানোর আরেকটি বিষয় হ'ল ফেইল 2 ব্যান হিসাবে এসএসএইচর বৃহত পরিমাণে প্লাস পরিষেবাগুলি চেষ্টা করে অনেক সময় মূল্যবান সিপিইউ সময় নিতে পারে। এটি লাইন হার্ডওয়্যারের শীর্ষে উপেক্ষিত হতে পারে তবে কিছু পুরানো সার্ভারগুলি সিপিইউ স্পাইকগুলি অনুভব করতে পারে। এটির সিপিইউ সময়, মেমরি এবং ব্যান্ডউইথের সাহায্যে আপনি অন্যান্য জিনিসগুলির জন্য ব্যবহার করতে পারেন।
artifex
আমি সার্ভার 2003 এ আরডিপির সাথে একই কাজ করেছি - এটি ইভেন্ট ভিউয়ারে ব্যর্থ প্রমাণীকরণের এন্ট্রিগুলির পরিমাণ হ্রাস করে।
মোশে
43

লগগুলি পরিষ্কার রাখতে এটি খুব সহায়ক।

যদি আপনি 33201 পোর্টে sshd চলমান ব্যর্থ প্রচেষ্টা দেখতে পান তবে আপনি নিরাপদে ধরে নিতে পারবেন যে ব্যক্তি আপনাকে লক্ষ্য করছে এবং আপনার ইচ্ছা হলে উপযুক্ত ব্যবস্থা নেওয়ার বিকল্প রয়েছে .. যেমন কর্তৃপক্ষের সাথে যোগাযোগ করা, তদন্ত করা যেমন এই ব্যক্তি কে হতে পারে ( আপনার নিবন্ধিত ব্যবহারকারীদের আইপি বা যে কোনও কিছু) এর সাথে ক্রস রেফারেন্সিং করে etc.

আপনি যদি ডিফল্ট পোর্ট ব্যবহার করেন তবে কেউ আপনাকে আক্রমণ করছে কিনা বা এটি কেবল এলোমেলো ইডিয়টস এলোমেলো স্ক্যান করছে তা জানা অসম্ভব হবে।

টমাস বনিনি
সূত্র
8
দুর্দান্ত পার্থক্য
জেডজেআর
3
+1 পোর্ট নম্বরগুলি পরিবর্তনের জন্য এটি আমি সর্বশ্রেষ্ঠ যুক্তি যা আমি কখনও শুনেছি এবং এখন পর্যন্ত কেবলমাত্র এটিই আমাকে প্ররোচিত করবে
স্কুইলম্যান
2
+1 এটি একটি দুর্দান্ত পয়েন্ট। লক্ষ্যযুক্ত হুমকিগুলি এলোমেলো তদন্তের চেয়ে অনেক বেশি বিপজ্জনক (স্ক্রিপ্ট কিডিজ যদি আপনার কোনও শালীন সুরক্ষা থাকে তবে কেবল সহজ লক্ষ্যগুলিতে এগিয়ে যায়)। লক্ষ্যযুক্ত আক্রমণকারী নির্দিষ্ট দুর্বলতা এমনকি পাসওয়ার্ডের নিদর্শন সম্পর্কে আরও অনেক কিছু জানতে পারে। এই আক্রমণগুলি 22 বন্দরটিতে স্প্যামের ঝাঁকের বাইরে চিনতে সক্ষম হওয়াই ভাল
স্টিভেন টি। স্নাইডার
1
এটা মিথ্যা। আমি নন-স্ট্যান্ডার্ড এসএসএইচ পোর্টের স্ক্যানের মাধ্যমে কমপক্ষে একটি সার্ভারকে আপস করতে দেখেছি। কোনও আক্রমণকারী অন্য বন্দরগুলিও স্ক্যান করতে সক্ষম হবে না এমন কোনও অন্তর্নিহিত কারণ নেই।
সোভেন স্লোটওয়েগ
@ সোভেনস্লোটওগ, সত্য, বিশেষত কম্পিউটারগুলি দ্রুত এবং সস্তার সাথে, .৫৫৩৫ গুণ বেশি সময় নিয়ে যাওয়া স্ক্যান আর বেশি দিন আর নেই
পেসারিয়ার
28

না, তা হয় না। আসলে তা না. এর জন্য শব্দটি অস্পষ্টতা দ্বারা সুরক্ষা এবং এটি একটি নির্ভরযোগ্য অনুশীলন নয়। আপনার উভয় পয়েন্টেই আপনি সঠিক।

অস্পষ্টতার দ্বারা সুরক্ষা সর্বোপরি নৈমিত্তিক প্রচেষ্টাগুলিকে থামিয়ে দেবে যা কেবলমাত্র ডিফল্ট বন্দরগুলির সন্ধানে ঘুরে বেড়ায় যে জেনে যে কোনও সময় তারা সামনের দরজাটি খোলা রেখে এমন কাউকে খুঁজে পাবে । যাইহোক, যদি কখনও কোনও গুরুতর হুমকি থাকে যে আপনি ডিফল্ট বন্দরটি পরিবর্তনের মুখোমুখি হন তবে প্রাথমিক আক্রমণটি ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে কমবে তবে আপনি ইতিমধ্যে যেটা নির্দেশ করেছেন তার কারণেই কেবলমাত্র এতো সামান্যতম।

আপনার পক্ষে একটি সুবিধা করুন এবং আপনার বন্দরগুলি যথাযথভাবে কনফিগার করা ছেড়ে দিন, তবে সেগুলি যথাযথ ফায়ারওয়াল, অনুমোদন, এসিএল ইত্যাদি দ্বারা লক করার যথাযথ সতর্কতা অবলম্বন করুন take

squillman
সূত্র
17
অস্পষ্টতার দ্বারা সুরক্ষার
ধারণাটিতে
5
বর্ণমালা এবং সংখ্যাসূচক অক্ষরের পুরো পরিসীমা সহ কেবলমাত্র 8 টি অক্ষর ব্যবহার করা (এবং এমনকি বিশেষ অক্ষরের অনুমতি না দেওয়া) সম্ভাব্য সংমিশ্রণের সংখ্যা 62 ^ 8 (218,340,105,584,896)। 65535 পোর্ট স্ক্যান ডিটেক্টর নিযুক্ত করার পরেও তার মতো একই মহাবিশ্বে নেই। দ্রষ্টব্য, আমি দুর্বল পাসওয়ার্ড ছাড় করছি।
স্কুইলম্যান
3
আবার , "এটি এমন নয় যে অ-মানক বন্দরটি পুরো সুরক্ষা সরঞ্জাম" " প্রতিটি সামান্য বিট সাহায্য করে। এটি একটি 10 ​​সেকেন্ডের টুইট যা অন্য কিছু না হলে, আপনার সার্ভারটি এসএসএইচ খুঁজছেন এমন কোনও ব্যক্তিকে দরজা ঠকানো শুরু করতে দেখানো থেকে বিরত করতে চলেছে।
ceejayoz
8
সাধরণ। অ-মানক বন্দরগুলির ট্র্যাক রাখা আমার বইয়ে এটি মূল্যবান নয়। আমি কারও সাথে একমত হতে রাজি নই ... বন্দর পরিবর্তন করার বাইরে আরও পাল্টা ব্যবস্থা যুক্ত করা অবশ্যই সমীকরণের একটি অংশ এবং আমি এর চেয়ে বেশি ধাঁধাটি ধাঁধার টুকরোয় রেখে দেব।
স্কুইলম্যান
6
আমি যা দেখেছি তা থেকে অ-মানক বন্দরগুলি বেশ মানক হয়ে উঠেছে। এইচটিটিপির জন্য এসএসএসের জন্য 2222, 1080, 8080, 81, 82, 8088। অন্যথায়, এটি খুব অস্পষ্ট হয়ে যায় এবং আপনি অবাক হয়ে যান যে কী পরিষেবাটি 7201 পোর্টে রয়েছে এবং আপনি কেন 7102
এসএস-এর
13

এটি অস্পষ্টতার একটি সামান্য স্তর, তবে হ্যাকেজের রাস্তায় কোনও তাত্পর্যপূর্ণ গতির ঝাঁকুনি নয়। দীর্ঘমেয়াদী সমর্থন করা এটি একটি আরও শক্তিশালী কনফিগারেশন যেহেতু যে নির্দিষ্ট পরিষেবার সাথে কথা হয় তার প্রত্যেকটিই বিভিন্ন বন্দর সম্পর্কে জানাতে হয়।

নেটওয়ার্ক কৃমিগুলি এড়ানোর জন্য এক সময় এটি একটি ভাল ধারণা ছিল, যেহেতু কেবলমাত্র একটি বন্দর স্ক্যান করার প্রবণতা ছিল। যাইহোক, দ্রুত গুণমান কৃমির সময় এখন অতীত।

sysadmin1138
সূত্র
2
আরও শক্তিশালী কনফিগারেশন এবং সমর্থন ইস্যু জন্য +1। আপনাকে এমন সময় নষ্ট করে দেয় যা দরজা সুরক্ষায় ব্যয় করা যেতে পারে (আপনি নিজের বাড়িতে কোথায় রেখেছেন তা অনুসন্ধান করার পরিবর্তে)।
ম্যাক
12

অন্যরা যেমন উল্লেখ করেছে, পোর্ট নম্বর পরিবর্তন করা আপনাকে খুব বেশি সুরক্ষা দেয় না।

আমি যুক্ত করতে চাই যে পোর্ট নম্বর পরিবর্তন করা আসলে আপনার সুরক্ষার জন্য ক্ষতিকারক হতে পারে।

নিম্নলিখিত সরলীকৃত দৃশ্যের কল্পনা করুন। একটি ক্র্যাকার 100 হোস্ট স্ক্যান করে। এই হোস্টগুলির মধ্যে নব্বইয়ের এই মানক বন্দরগুলিতে পরিষেবা রয়েছে:

Port    Service
22      SSH
80      HTTP
443     HTTPS

কিন্তু এরপরে একটি হোস্ট রয়েছে যা জনতার সামনে থেকে দাঁড়ায়, কারণ তারা সিস্টেমের মালিক তাদের পরিষেবাগুলি অবলম্বন করার চেষ্টা করেছিল।

Port    Service
2222    SSH
10080   HTTP
10443   HTTPS

এখন, এটি কোনও ক্র্যাকারের কাছে আকর্ষণীয় হতে পারে, কারণ স্ক্যানটি দুটি জিনিস প্রস্তাব করে:

  1. হোস্টের মালিক তাদের সিস্টেমে পোর্ট নম্বরগুলি গোপন করার চেষ্টা করছেন। সম্ভবত মালিক মনে করেন সিস্টেমে মূল্যবান কিছু রয়েছে। এটি রান-অফ-মিল সিস্টেম নাও হতে পারে।
  2. তারা তাদের সিস্টেমটি সুরক্ষিত করার জন্য ভুল পদ্ধতি বেছে নিয়েছে। প্রশাসকটি বন্দর অবলম্বনে বিশ্বাস করে একটি ভুল করেছে, যা ইঙ্গিত দেয় যে তারা কোনও অনভিজ্ঞ প্রশাসক হতে পারে। সম্ভবত তারা যথাযথ ফায়ারওয়াল বা সঠিক আইডিএসের পরিবর্তে পোর্ট অবরুদ্ধকরণ ব্যবহার করেছিল। তারা অন্যান্য সুরক্ষা ভুলও করতে পারে এবং অতিরিক্ত সুরক্ষা আক্রমণে ঝুঁকির সম্ভাবনা থাকতে পারে। এবার আরও কিছুটা তদন্ত করা যাক, আমরা কি?

আপনি যদি ক্র্যাকার হন তবে আপনি স্ট্যান্ডার্ড পোর্টগুলিতে স্ট্যান্ডার্ড পরিষেবাদি চালু 99 টি হোস্টের মধ্যে একটিতে বা এই পোর্টটি অবরুদ্ধকরণ ব্যবহার করছে এমন একটি হোস্টের দিকে নজর দেওয়া বেছে নেবেন?

স্টিফান লাসিউস্কি
সূত্র
14
অভিজ্ঞতা অন্যথায় আমাকে শেখানো না হলে আমি 99 হোস্টের দিকে নজর দেব। যদি কেউ আমাকে জিজ্ঞাসা করেন তবে যে কেউ বন্দরগুলি ঘুরে বেড়াচ্ছেন সম্ভবত প্যাচ এবং সুরক্ষিত হওয়ার সম্ভাবনা বেশি।
সেজেজোজ
4
আমি যে ১ জন হোস্ট দাঁড়িয়ে ছিল তার দিকে তাকিয়ে থাকব, অফ পিছু সুযোগে কিছু পিএফওয়াই ভেবেছিল "আমি যদি বন্দর নম্বর পরিবর্তন করি তবে আমি আধ্যাত্মিক!" তবে মূল পাসওয়ার্ডটি "পাসওয়ার্ড" এ সেট করা আছে।
অ্যান্ড্রু
3
@ সিজেজোজ, সম্পূর্ণরূপে একমত আমি 2222-এ এসএসএইচ চালাচ্ছি, কোনও সুরক্ষা মান নেই তবে স্ক্রিপ্ট কিডিতে কিছুটা কমিয়ে দেয়। আমি বুঝতে পারি তারা সম্ভবত আমাকেও উপেক্ষা করবে, বন্দরটি পরিবর্তন করতে বিরক্ত করে, সম্ভবত অন্যান্য ব্যবস্থাও নিয়েছিল। স্পষ্টতই এটি সমস্ত ডিফল্ট কনফিগারেশন নয় ...
ক্রিস এস
1
আমি বুঝতে পারি যে সবাই আমার মতামতের সাথে একমত নয়। তবে আমার অভিজ্ঞতায়, অনেকগুলি সিস্টেমের মালিক ছিলেন যারা পোর্ট-অবফেসেশন ব্যবহার করবেন তবে তারা কিছু গুরুতর নিরাপত্তা দুর্বলতা প্রকাশের পরে ওপেনএসএসএইচ আপডেট না করার মতো, বা একটি অংশীদারি বিশ্ববিদ্যালয় সিস্টেম থেকে এনক্রিপ্ট করা এসএসএইচ কী ব্যবহার করবে ইত্যাদির মতো ভুল করবে of এই সিস্টেমগুলি ছিল সরস লক্ষ্য।
স্টিফান লাসিউইস্কি
3
এক্সটেনশন দ্বারা: একটি অ-মানক পোর্টে সরে যাওয়া, আপনি স্ক্রিপ্ট কিডিসকে নিরুৎসাহিত করার সম্ভাবনা বেশি, তবে অভিজ্ঞ হ্যাকারের চক্রান্ত করার সম্ভাবনাও বেশি। কোনটি প্রশ্নটি উত্থাপন করে: কোনটি আপনি দ্বারা চিহ্নিত হওয়ার চেয়ে বেশি ভয় পান?
তারদেটে
9

আমি সাধারণ প্রবণতার বিরুদ্ধে যাচ্ছি, কমপক্ষে আংশিকভাবে।

এটি নিজেই , আলাদা বন্দরে পরিবর্তন করা সন্ধানের সময় আপনাকে কয়েক সেকেন্ড লাভ করতে পারে, তাই আপনাকে প্রকৃত পদার্থে কিছুই লাভ করতে পারে না। তবে, যদি আপনি অ-মানক বন্দরগুলির ব্যবহারকে অ্যান্টি-পোর্টস্ক্যান ব্যবস্থার সাথে একত্রিত করেন তবে এটি সুরক্ষায় সত্যিই সার্থক বৃদ্ধি দিতে পারে।

আমার সিস্টেমে এটি যেমন প্রযোজ্য তেমন পরিস্থিতি এখানে: অ-সরকারী পরিষেবাগুলি অ-মানক বন্দরগুলিতে চালিত হয়। একক উত্স ঠিকানা থেকে দুটিরও বেশি বন্দরের যেকোন সংযোগের প্রচেষ্টা, যেখানেই সফল হয় বা না হয়, নির্দিষ্ট উত্সের মধ্যে সেই উত্স থেকে সমস্ত ট্র্যাফিক বাদ পড়ে dropped

এই ব্যবস্থাকে পরাস্ত করতে হয় ভাগ্য (অবরুদ্ধ হওয়ার আগে ডান পোর্টটি আঘাত করা) বা বিতরণ স্ক্যানের দরকার পড়বে, যা অন্যান্য পদক্ষেপের সূত্রপাত করে বা খুব দীর্ঘ সময় যা লক্ষ্য করা ও কাজ করা হবে।

জন গার্ডেনিয়ার্স
সূত্র
লক্ষ্যযুক্ত আক্রমণ সম্পর্কে অ্যান্ড্রেস বোনিনি দ্বারা চিহ্নিত বিন্দুর সাথে এটি একত্রিত করুন এবং এটি বিকল্প বন্দর ব্যবহারের জন্য একটি শক্ত যুক্তি।
জীবনআমারা
5

আমার মতে যে অ্যাপ্লিকেশনটি চালিত হয় সেই পোর্টটি সরিয়ে নিয়ে যাওয়া মোটেই সুরক্ষা বাড়ায় না - কেবল একই কারণে যে একই অ্যাপ্লিকেশনটি চলছে (একই শক্তি এবং দুর্বলতাগুলি নিয়ে) কেবল অন্য কোনও বন্দরে। যদি আপনার অ্যাপ্লিকেশনটিতে পোর্টটি সরানোর ক্ষেত্রে কোনও দুর্বলতা থাকে যা এটি অন্য একটি বন্দরের শোনায় দুর্বলতাটিকে চিহ্নিত করে না। সবচেয়ে খারাপ এটি সক্রিয়ভাবে আপনাকে দুর্বলতাগুলি সমাধান না করার জন্য উত্সাহিত করে কারণ এখন এটি স্বয়ংক্রিয় স্ক্যানিং দ্বারা নিয়মিত আঘাত করা হচ্ছে না। এটি আসল সমস্যাটি লুকিয়ে রাখে যা আসলে সমস্যাটি সমাধান করা উচিত।

কিছু উদাহরণ:

  • "এটি লগগুলি পরিষ্কার করে" - তারপরে আপনি কীভাবে লগগুলি পরিচালনা করছেন তাতে আপনার সমস্যা হবে।
  • "এটি সংযোগ ওভারহেড হ্রাস করে" - ওভারহেড হয় হয় তুচ্ছ (বেশিরভাগ স্ক্যানিং হয়) বা আপনার কোনও প্রকারের ফিল্টারিং / অস্বীকৃত-পরিষেবা প্রশমনটি নদীর প্রবাহে সম্পন্ন করতে হবে
  • "এটি অ্যাপ্লিকেশনটির এক্সপোজারকে হ্রাস করে" - যদি আপনার অ্যাপ্লিকেশনটি স্বয়ংক্রিয় স্ক্যানিং এবং শোষণের পক্ষে দাঁড়াতে না পারে তবে আপনার অ্যাপ্লিকেশনটির সুরক্ষার গুরুতর ঘাটতি রয়েছে যার সমাধান করা দরকার (অর্থাত, এটিকে প্যাচ করুন!))

আসল সমস্যাটি প্রশাসনিক: লোকেরা আশা করে যে এসএসএইচ 22, এমএসএসকিউএল 1433 এবং আরও থাকবে। এগুলি সরানো জটিলতা এবং প্রয়োজনীয় ডকুমেন্টেশনের আরও একটি স্তর। নেটওয়ার্কে বসে বসে খুব বিরক্তিকর হয় এবং জিনিসগুলি কোথায় স্থানান্তরিত হয়েছে তা নির্ধারণের জন্য কেবল এনএমএপ ব্যবহার করতে হয়। সুরক্ষার সাথে সংযোজনগুলি সর্বকালের মধ্যে সংক্ষিপ্ত এবং ডাউনসাইডগুলি তুচ্ছ নয়। এটা করবেন না। আসল সমস্যাটি ঠিক করুন।

2

আপনি সঠিক যে এটি খুব বেশি সুরক্ষা আনবে না (যেমন টিসিপি সার্ভার পোর্ট রেঞ্জটিতে কেবল 16 টি বিট রয়েছে এনট্রপি), তবে আপনি এটি দুটি অন্যান্য কারণেও করতে পারেন:

  • যেমন অন্যরা ইতিমধ্যে বলেছে: অনুপ্রবেশকারীরা অনেকগুলি লগইন চেষ্টা করে আপনার লগ ফাইলগুলিকে বিশৃঙ্খলা করতে পারে (এমনকি যদি একটি আইপি থেকে অভিধান আক্রমণগুলি ফেলফল 2 দ্বারা ব্লক করা যায়);
  • সুরক্ষিত টানেল তৈরির জন্য গোপন কীগুলি বিনিময় করতে এসএসএইচের পাবলিক কী ক্রিপ্টোগ্রাফি দরকার (এটি একটি ব্যয়বহুল অপারেশন যা সাধারণ পরিস্থিতিতে খুব বেশি সময় করা প্রয়োজন হয় না); বারবার এসএসএইচ সংযোগগুলি সিপিইউ শক্তি নষ্ট করতে পারে

মন্তব্য: আমি বলছি না যে আপনার উচিত সার্ভার পোর্টটি পরিবর্তন করা উচিত। আমি কেবল পোর্ট নম্বর পরিবর্তন করার জন্য যুক্তিসঙ্গত কারণগুলি (আইএমও) বর্ণনা করছি।

যদি আপনি এটি করেন তবে আমি মনে করি যে আপনার প্রতিটি প্রশাসক বা ব্যবহারকারীর কাছে এটি পরিষ্কার করা দরকার যে এটি কোনও সুরক্ষা বৈশিষ্ট্য হিসাবে বিবেচনা করা উচিত নয় এবং ব্যবহৃত বন্দর নম্বরটি কোনও গোপনও নয় এবং এটি একটি সুরক্ষা বৈশিষ্ট্য হিসাবে বর্ণনা করে এটি প্রকৃত সুরক্ষা গ্রহণযোগ্য আচরণ হিসাবে বিবেচিত হয় না brings

curiousguy
সূত্র
লগ ফাইলগুলি সহজেই সঠিক ফিল্টারগুলির সাথে আনল্ট্টার করা যায় can আপনি যদি লগ হ্রাসের কারণে সার্ভারের পারফরম্যান্সের বিষয়ে কথা বলছেন তবে আমরা আর সুরক্ষার কথা বলছি না। পারফরম্যান্স সম্পূর্ণ এক সম্পূর্ণ আলাদা বিষয়।
পেসারিয়ার
অতিরিক্ত ডিস্ক ব্যবহারের কারণে কম্পিউটার যখন অকেজো হয়ে যায় তখন নয়।
কৌতূহলী
হ্যাঁ এটি একটি পারফরম্যান্স সমস্যা। পারফরম্যান্সও অবশ্যই গুরুত্বপূর্ণ, তবে এই বিশেষ থ্রেডটি কেবলমাত্র সুরক্ষা সম্পর্কে বিশেষভাবে আলোচনা করছে। (এই থ্রেডের উদ্দেশ্যে, আপনি কেবল গুগল-আকারের কল্পনা করুন এবং গুগল আসলে সেই ডেটাগুলি বিশ্লেষণ এবং / বা বিক্রয় উদ্দেশ্যে করতে চায়))
প্যাসেরিয়ার
1

আমি এমন একটি অনুমানমূলক পরিস্থিতি দেখতে পাচ্ছি যেখানে বিকল্প বন্দরে আপনার এসএসডি চালানোর ক্ষেত্রে সম্ভাব্য সুরক্ষা সুবিধা হবে। আপনি যে sshd সফ্টওয়্যারটিতে চালাচ্ছেন সেখানে একটি তুচ্ছ শোষিত দূরবর্তী দুর্বলতার সন্ধান পাওয়া যাবে সেই দৃশ্যে। এই জাতীয় দৃশ্যে আপনার এসএসডি বিকল্প পোর্টে চালানো আপনাকে এলোমেলো ড্রাইভ-বাই টার্গেট না করার জন্য অতিরিক্ত সময় দিতে পারে।

নিজেই আমি আমার ব্যক্তিগত মেশিনে বিকল্প বন্দরে এসএসডি চালাচ্ছি তবে এটি মূলত /var/log/auth.log এ বিশৃঙ্খলা বজায় রাখার সুবিধার্থে। একাধিক-ব্যবহারকারীর সিস্টেমে আমি উপস্থাপিত ছোট অনুমানের সুরক্ষা বেনিফিটটিকে sshd এর অতিরিক্ত অংশটি স্ট্যান্ডার্ড অংশে পাওয়া যায়নি বলে অতিরিক্ত ঝামেলার যথেষ্ট কারণ বলে বিবেচনা করি না।

andol
সূত্র
দৃশ্যটি
1

এটি সামান্য সুরক্ষা বাড়ায়। এতে আক্রমণকারীকে খোলা বন্দরটি খুঁজে পেয়ে এখন বন্দরে কী চলছে তা নিয়ে কাজ করতে হবে। আপনার কনফিগারেশন ফাইলগুলিতে অ্যাক্সেস নেই (এখনও :-)) তার কোনও ধারণা নেই যে 12345 পোর্টটি http, sshd, বা এক হাজার অন্যান্য সাধারণ পরিষেবা চলছে কিনা তাই তারা গুরুত্ব সহকারে চলার আগে কী চলছে তা নির্ধারণ করার জন্য তাদের অতিরিক্ত কাজ করতে হবে এটি আক্রমণ।

এছাড়াও অন্যান্য পোস্টারটিতে উল্লেখ করা হয়েছে যেহেতু 22 পোর্টটিতে লগ ইন করার চেষ্টা করা হয়েছে, ক্লিলেস স্ক্রিপ্ট কিডিজ, জম্বি ট্রোজান বা এমনকি সত্যিকারের ব্যবহারকারী যারা আইপি ঠিকানার ভুল লিখেছেন। 12345 বন্দরটিতে লগ ইন করার চেষ্টাটি একজন প্রকৃত ব্যবহারকারী বা গুরুতর আক্রমণকারী হিসাবে প্রায় নিশ্চিত।

আরেকটি কৌশল হ'ল কয়েকটি "মধু ফাঁদ" বন্দর। যেহেতু কোনও সত্যিকারের ব্যবহারকারী এই পোর্ট নম্বরগুলি সম্পর্কে জানতে না পারে তবে যে কোনও সংযোগের প্রচেষ্টা অবশ্যই ক্ষতিকারক হিসাবে বিবেচিত হবে এবং আপনি স্বয়ংক্রিয়ভাবে আপত্তিজনক আইপি ঠিকানাটি ব্লক / প্রতিবেদন করতে পারবেন।

একটি বিশেষ ক্ষেত্রে রয়েছে যেখানে কোনও ভিন্ন পোর্ট নম্বর ব্যবহার করা আপনার সিস্টেমটিকে আরও সুরক্ষিত করে তুলবে। যদি আপনার নেটওয়ার্ক কোনও সরকারী পরিষেবা যেমন একটি ওয়েব সার্ভার চালাচ্ছে তবে কেবল একটি অভ্যন্তরীণ ব্যবহার কেবল ওয়েব সার্ভার চালাচ্ছে তবে আপনি কোনও ভিন্ন পোর্ট নম্বরে চালিয়ে এবং এই বন্দর থেকে কোনও বাহ্যিক অ্যাক্সেস অবরুদ্ধ করে কোনও বাহ্যিক অ্যাক্সেসকে একেবারে অবরুদ্ধ করতে পারবেন ।

user23523
সূত্র
সুরক্ষা বৃদ্ধির 0.1% ডলার অবশ্যই প্রাসঙ্গিক সুরক্ষা হ্রাসের বিরুদ্ধে ওজন করতে হবে , সম্ভবত ব্যবহারের ক্ষেত্রে এবং প্রসঙ্গে নির্ভর করে সুরক্ষায় মোট নেট ক্ষতি হতে পারে।
পেসারিয়ার
0

নিজেই নয় তবে কোনও নির্দিষ্ট অ্যাপ্লিকেশনের জন্য ডিফল্ট পোর্ট ব্যবহার না করা (বলে এসকিউএল সার্ভার) মূলত আপনার আক্রমণকারীকে আপনার পোর্টগুলি স্ক্যান করতে বাধ্য করবে; এই আচরণটি তখন আপনার ফায়ারওয়াল বা অন্যান্য মনিটরিং মেট্রিকগুলির দ্বারা সনাক্ত করা যায় এবং আক্রমণকারীর আইপি অবরোধ করে। এছাড়াও, যখন তারা যে সাধারণ সরঞ্জাম বা কমান্ড স্ক্রিপ্টটি ব্যবহার করছেন তারা আপনার মেশিনে কোনও এসকিউএল সার্ভারের দৃষ্টান্ত খুঁজে না পান (কারণ সরঞ্জামটি কেবল ডিফল্ট পোর্টটি পরীক্ষা করে "

KeithS
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.