É seguro usar números de porta altos? (re: obscurecendo serviços da web)

9

Eu tenho uma pequena rede doméstica e estou tentando equilibrar a necessidade de segurança versus conveniência. A maneira mais segura de proteger servidores da Web internos é conectar-se apenas usando VPNs, mas isso parece excessivo para proteger uma interface da Web remota de DVRs (por exemplo).

Como um compromisso, seria melhor usar números de portas muito grandes? (por exemplo, cinco dígitos até 65531)

Eu li que os escaneadores de portas normalmente escaneiam apenas as primeiras 10.000 portas, portanto, usar números de porta muito altos é um pouco mais seguro.

Isso é verdade?

Existem maneiras melhores de proteger servidores da web? (ou seja, web guis para aplicativos)

    
por SofaKng 09.06.2010 / 18:24

4 respostas

9

I've read that port scanners typically only scan the first 10,000 ports so using very high port numbers is a bit more secure.

Muitas pessoas acreditam nisso. Eu não faço.

Talvez seja um pouco mais seguro, mas não muito. As portas de baixo número são mais comuns, então alguns scanners irão procurar primeiro.

Se eu fosse um invasor, examinaria primeiro as portas altas, apenas para capturar as pessoas que dependem desse método para segurança. As pessoas que confiam na segurança através da obscuridade provavelmente têm uma compreensão fraca da segurança e têm maior probabilidade de esquecer de usar outros métodos de segurança. Portanto, esses serviços podem ser mais vulneráveis e mais fáceis de decifrar.

Alguns scanners exploram isso, e começam no topo e seguem pela lista. Outras verificações escolherão portas aleatórias em todo o intervalo, para que todas as portas tenham uma chance igual de serem verificadas.

Vá em frente e teste você mesmo usando o NMAP . Execute uma varredura nmap contra as portas 1-10.000 e procure por um servidor HTTP e compare isso com uma varredura que varre todas as portas 1-65 xxx. Você verá que a diferença é tipicamente de 3 a 10 minutos. Se eu fizer uma varredura detalhada usando algo como o Nessus, a diferença é, às vezes, de 20 a 60 minutos.

Um bom cracker é um cracker paciente. Eles vão esperar.

    
por 09.06.2010 / 20:51
3

O uso de números de portas ímpares não é segurança, a menos que você esteja lidando com o fato de estar permitindo que você execute seu aplicativo como um usuário não raiz.

Esse tipo de coisa pode ser considerado como segurança pela obscuridade, mas não é realmente segurança.

    
por 09.06.2010 / 18:27
3

Você também pode usar um túnel ssh se estiver usando Linux nos dois lados:

ssh -f -N -L 9090:localhost:9090 user@remote-host

Por exemplo, é isso que eu uso para encaminhar a porta 9090 no host remoto para minha porta local 9090 para cherokee-admin e uso configurações semelhantes para outras GUIs da web. Você pode proteger os aplicativos dessa maneira especificando na configuração do aplicativo que eles só são executados no host local, ou seja, em 127.0.0.1 . Dessa forma, eles não podem ser acessados de fora, mas você pode encaminhá-los com ssh . Verifique man ssh para mais opções usando o encaminhamento de porta (incluindo o X, que pode resolver seu problema de outra maneira).

Essa pode ser uma maneira adequada de atingir sua meta sem instalar / configurar software adicional, dependendo da sua configuração.

    
por 09.06.2010 / 20:41
1

Se o seu firewall permitir, você pode fazer a autenticação acontecer no nível do firewall primeiro, se a complexidade de suas senhas for boa o suficiente, isso deve reforçar a segurança dos serviços expostos. você também pode usar o tunelamento SSL usando, por exemplo, stunnel e autenticação mútua.

Considerando o fato de que usar um número de portas mais alto é mais seguro, de certa forma, talvez em referência a bots verificando seu IP e tentando algumas explorações, mas se alguém quiser realmente invadir, usar números de porta mais altos não fornecerá um maior segurança.

    
por 09.06.2010 / 18:38