태그 보관물: port-scanning

port-scanning

기본 포트 번호를 변경하면 실제로 보안이 강화됩니까? 번호를 사용해야한다고 충고했습니다. 보안을 향상시킬

개인 응용 프로그램 (예 : 인트라넷, 개인 데이터베이스, 외부인이 사용하지 않는 모든 것)에 다른 포트 번호를 사용해야한다고 충고했습니다.

보안을 향상시킬 수 있다고 확신하지 않습니다.

  1. 포트 스캐너 존재
  2. 응용 프로그램이 취약한 경우 포트 번호에 관계없이 그대로 유지됩니다.

내가 놓친 것이 있거나 내 질문에 대답 했습니까?



답변

표적 공격에 대해 심각한 방어를 제공하지는 않습니다. 당신이 말한대로 서버가 대상이되고 있다면, 그들은 당신을 포트 스캔하고 문이 어디에 있는지 알아낼 것입니다.

그러나 SSH를 기본 포트 22에서 이동하면 일부 대상이 아닌 아마추어 스크립트 아동 유형 공격이 차단됩니다. 이들은 스크립트를 사용하여 한 번에 많은 IP 주소 블록을 포트 스캔하여 포트 22가 열려 있는지 확인하고 포트를 찾을 때 일종의 공격 (범력, 사전 공격, 기타). 컴퓨터가 스캔중인 IP 블록에 있고 포트 22에서 SSH를 실행하지 않는 경우,이 스크립트 키디가 공격 할 컴퓨터 목록에 응답하지 않으므로 표시되지 않습니다. Ergo, 일부 수준의 보안이 제공되지만 이러한 유형의 기회 공격에 대해서만 제공됩니다.

예를 들어, 서버에 시간이 기록되어 있다면 (SSH가 포트 22에 있다고 가정) 실패한 고유 한 SSH 시도를 모두 꺼내십시오. 그런 다음 SSH를 해당 포트에서 옮기고 잠시 기다렸다가 다시 로그 다이빙을하십시오. 의심 할 여지없이 적은 공격을 찾을 것입니다.

필자는 공용 웹 서버에서 Fail2Ban을 실행했지만 SSH를 22 번 포트에서 옮겼을 때 정말 분명했습니다. 기회 공격을 몇 배나 줄였습니다.


답변

로그를 깨끗하게 유지하는 것이 매우 도움이됩니다.

포트 33201에서 실행중인 sshd 시도가 실패한 것으로 보이면 해당 사용자가 귀하를 대상으로 하고 있고 원하는 경우 적절한 조치를 취할 수있는 옵션 이 있다고 가정 할 수 있습니다. 당국에 문의하거나이 사람이 누구인지 조사 등록 된 사용자의 IP 등을 상호 참조함으로써)

기본 포트를 사용하는 경우 누군가가 당신을 공격하고 있는지 또는 무작위 스캔을 수행하는 임의의 바보인지 알기가 불가능합니다.


답변

아닙니다. 실제로는 아닙니다. 보안 용어는 모호한 보안 이며 신뢰할 수있는 방법이 아닙니다. 당신은 두 가지 점에서 모두 정확합니다.

모호한 보안은 기 본 포트를 열어 둔 사람 을 찾을 것이라는 사실을 알고 기본 포트를 찾는 단순한 시도를 막을 것 입니다. 그러나 deault 포트를 변경해야하는 심각한 위협이있는 경우 초기 공격 속도가 최대 느려질 수 있지만 이미 지적한 내용으로 인해 한계가 너무 적습니다.

자신에게 유리한 입장을 취하고 포트를 올바르게 구성한 상태로 두십시오. 그러나 적절한 방화벽, 권한 부여, ACL 등으로 포트를 잠그는 데주의해야합니다.


답변

약간의 모호한 수준이지만 해킹으로가는 길에는 큰 속도 범프가 아닙니다. 특정 서비스와 통신하는 모든 항목에 대해 다른 포트에 대해 알려야하므로 장기적으로 지원하기가 더 어렵습니다.

옛날에는 네트워크 웜을 피하는 것이 좋았습니다. 네트워크 웜은 하나의 포트만 스캔하는 경향이 있었기 때문입니다. 그러나 빠르게 증가하는 웜의 시간은 이제 지났습니다.


답변

다른 사람들이 지적했듯이 포트 번호를 변경해도 많은 보안이 제공되지는 않습니다.

포트 번호를 변경하면 실제로 보안에 해를 끼칠 수 있다고 덧붙이고 싶습니다.

다음과 같은 단순화 된 시나리오를 상상해보십시오. 크래커는 100 개의 호스트를 검색합니다. 이 중 90 개의 호스트는 다음 표준 포트에서 서비스를 사용할 수 있습니다.

Port    Service
22      SSH
80      HTTP
443     HTTPS

그러나 시스템 소유자가 서비스를 혼란스럽게 만들려고 시도했기 때문에 군중에서 눈에 띄는 호스트가 하나 있습니다.

Port    Service
2222    SSH
10080   HTTP
10443   HTTPS

스캔이 두 가지를 제안하기 때문에 크래커에게 흥미로울 수 있습니다.

  1. 호스트 소유자가 시스템에서 포트 번호를 숨기려고합니다. 아마도 소유자는 시스템에 가치있는 것이 있다고 생각할 것입니다. 이것은 방아쇠 시스템이 아닐 수도 있습니다.
  2. 그들은 시스템을 보호하기 위해 잘못된 방법을 선택했습니다. 관리자는 포트 난독 화를 믿어 실수를했으며 이는 경험이 부족한 관리자 일 수 있음을 나타냅니다. 아마도 적절한 방화벽이나 적절한 IDS 대신 포트 난독 화를 사용했을 것입니다. 다른 보안 실수도 있었을 수 있으며 추가 보안 공격에 취약 할 수 있습니다. 좀 더 조사해 볼까요?

크래커 인 경우 표준 포트에서 표준 서비스를 실행하는 99 개의 호스트 중 하나 또는 포트 난독 화를 사용하는이 호스트 중 하나를 보도록 하시겠습니까?


답변

나는 적어도 부분적으로 일반적인 추세에 반대 할 것입니다.

자체적 으로 다른 포트로 변경하면 검색하는 동안 몇 초가 걸리므로 실제 용어로는 아무것도 얻지 못할 수 있습니다. 그러나 비표준 포트를 안티 포트 스캔 측정과 함께 사용하면 보안을 크게 향상시킬 수 있습니다.

내 시스템에 적용되는 상황은 다음과 같습니다. 비공개 서비스는 비표준 포트에서 실행됩니다. 지정된 시간 내에 성공했는지 여부에 관계없이 단일 소스 주소에서 두 개 이상의 포트에 대한 연결을 시도하면 해당 소스의 모든 트래픽이 삭제됩니다.

이 시스템을이기려면 운 (차단하기 전에 올바른 포트를 치는 것)이나 다른 측정을 트리거하는 분산 스캔 또는 매우 오랜 시간이 걸리고 눈에 띄게 행동해야합니다.


답변

제 생각에는 응용 프로그램이 실행되는 포트를 이동한다고해서 보안이 전혀 향상되지는 않습니다. 단순히 동일한 응용 프로그램이 동일한 포트에서 동일한 강점과 약점으로 실행되고 있기 때문입니다. 응용 프로그램이 다른 포트로 수신 대기하는 포트를 이동하는 데 약점이 있으면 약점을 해결하지 못합니다. 더 나쁜 것은 자동 스캐닝에 의해 끊임없이 약화되지 않기 때문에 약점을 해결하지 않기를 적극적으로 권장합니다. 실제로 해결해야하는 실제 문제 를 숨 깁니다 .

몇 가지 예 :

  • “로그를 정리합니다”-그런 다음 로그 처리 방법에 문제가 있습니다.
  • “연결 오버 헤드가 줄어 듭니다”-오버 헤드가 크지 않거나 (대부분의 스캔과 마찬가지로) 업스트림에서 수행되는 필터링 / 서비스 거부 완화가 필요합니다.
  • “응용 프로그램의 노출을 줄입니다”-응용 프로그램이 자동 검색 및 악용에 견딜 수없는 경우 응용 프로그램에서 해결해야하는 심각한 보안 결함이 있습니다 (즉, 패치를 유지하십시오!).

실제 문제는 관리입니다. 사람들은 SSH가 22에, MSSQL이 1433에있을 것으로 예상합니다. 이것들을 옮기는 것은 한층 더 복잡하고 필요한 문서입니다. 네트워크에 앉아 물건을 어디로 옮겼는지 알아 내기 위해 nmap을 사용해야한다는 것은 매우 성가신 일입니다. 보안에 대한 추가는 기껏해야 일시적이며 단점은 중요하지 않습니다. 하지마 실제 문제를 해결하십시오.