alterando o número da porta - ainda é possível adivinhar o que está ouvindo lá?

Navegue suas respostas
1

Estou tentando aprender uma coisa ou duas sobre a segurança do servidor.

Eu instalei o nmap para verificar as portas abertas do meu servidor.

Agora mudei as portas padrão em quase tudo. Então o nmap relata nomes errados para os serviços que estou executando.

Por exemplo ssh eu mudei para alguma porta aleatória, e parece que esta porta é usada por algum outro programa, então o nmap reporta esse outro programa.

Eu estava pensando se ainda é possível determinar que o ssh está de fato por trás dessa porta aberta? Quais são as ferramentas para isso? Se isso ainda for possível, não faz sentido alterar números de porta padrão, certo?

na verdade, eu apenas tentei o nmap -sV mini.local, e ele me deu a versão do programa para que ele identificasse o SSH corretamente na porta não padrão.

Então, qual é o objetivo de alterar a porta padrão?

    
por Hennes 18.10.2011 / 15:15

3 respostas

2

Sim, é possível que algumas vezes determine o que está escutando em uma porta específica. Por exemplo, telnet para o seu "relocated" ssh:

telnet [your.ip.address] [new-ssh-port-number]

O Telnet se conectará e o daemon do SSH responderá com algo parecido com isto:

Trying x.x.x.x...
Connected to x.x.x.x.
Escape character is '^]'.
SSH-2.0-OpenSSH_4.3

Obviamente, esta informação é suficiente para perceber que o ssh está escutando nesta porta. Muitos outros serviços (SMTP, POP, etc.) também enviam informações de banner. Mas nem todos os serviços.

No entanto, a conexão a todas as portas do seu computador é demorada, especialmente se o firewall estiver configurado para apenas descartar conexões indesejadas. Portanto, a maioria dos ataques é "atacado": o script kiddie tenta a porta 22 em 100.000 computadores, etc. A alteração da porta padrão do ssh é uma tática útil para evitar esses ataques e evitar que seus logs sejam preenchidos com avisos inúteis sobre esses ataques.

No entanto, não é uma segurança real, é apenas segurança pela obscuridade. Você ainda precisa de uma boa senha, ou melhor ainda, do daemon ssh configurado para aceitar somente certificados, firewall corretamente configurado, etc.

    
por 18.10.2011 / 15:20
0

geralmente, o telnet fornece algumas informações de banner ou o uso do banner grabber do nmap

    
por 18.10.2011 / 15:20
0

For example ssh I changed to some random port, and it appears this port is used by some other program, so nmap reports that other program.

Os "números de porta conhecidos" estão listados em / etc / services. Essa lista é baseada em uma lista < mantido pela Autoridade para Atribuição de Números da Internet (IANA).

so what is the point of changing default port #?

Como haimg disse que torna a vida um pouco mais difícil para as crianças do script. Na prática, acho que elimina muito "ruído" nos meus logs SSH (syslog).

    
por 18.10.2011 / 15:43

Tags

Obtendo o nome do processo anterior O “Ultra320 LVD SCSI” é o nome correto da interface?