Ainda é uma prática recomendada evitar o uso das portas padrão do SQL Server?

21

Historicamente, é recomendável não usar as portas padrão para conexões com o SQL Server, como parte das práticas recomendadas de segurança. Em um servidor com uma única instância padrão, as seguintes portas seriam usadas por padrão:

  • Serviço SQL Server - Porta 1433 (TCP)
  • Serviço Navegador do SQL Server - Porta 1434 (UDP)
  • Conexão de administrador dedicada - Porta 1434 (TCP)

QUESTÕES:

  • Este conselho ainda é relevante?
  • Todas as portas acima devem ser alteradas?
James D
fonte
1
Talvez este post pode ajudá-lo dba.stackexchange.com/questions/213810/...
igelr

Respostas:

68

Historicamente, é recomendável não usar as portas padrão para conexões com o SQL Server, como parte das práticas recomendadas de segurança.

Que era asinina na época e ainda era asinina agora. Segurança através da obscuridade indiscutível não é segurança.

Este conselho ainda é relevante

IMHO nunca foi relevante. Foi necessário para alguns fins de conformidade, porque as pessoas que elaboraram essas conformidades não entendiam o que estavam fazendo, novamente, IMHO.

Todas as portas acima devem ser alteradas?

Eu não mudaria nada.

Sean diz Remover Sara Chipps
fonte
11

Embora a segurança através da obscuridade não seja uma segurança real, não direi que não há casos em que isso ajude.

Se um invasor quiser saber onde seu serviço está ouvindo, ele poderá descobrir com facilidade, mas, no caso de um ataque automático idiota, você poderá ter sorte se alterar a porta.

A única vez em que me lembro onde ele realmente ajudou foi durante o SQL Slammer, onde o SQL Server 2000 estava vulnerável e um worm se espalhou, gerando IPs aleatórios e conectando-se à porta do navegador padrão do SQL Server.

Se bem me lembro, era um conselho oficial na época alterar as portas até que você pudesse corrigir o servidor (ou porque não havia um patch disponível imediatamente ou porque você não tinha uma janela)

Para que o worm entre na sua rede no momento em que você precisa ter um SQL Server conectado à Internet em vez de atrás de um firewall, o que você não deveria, mas de qualquer forma, um número de porta não padrão poderia ter ajudado nesse caso específico.

No entanto, concordo que, se você tiver uma segurança adequada, a complexidade adicionada provavelmente não supera as chances de impedir um incidente.

Tom V - Equipe Monica
fonte
9

Historicamente, é recomendável não usar as portas padrão para conexões com o SQL Server, como parte das práticas recomendadas de segurança

Não foi não. Algumas pessoas mal orientadas podem ter apresentado isso como tal, mas eu faço segurança há mais de 20 anos e alterar as portas padrão sempre foi uma espécie de "aqui está algo que você pode fazer se quiser, o que talvez às vezes em circunstâncias muito específicas forneça uma um pouco de segurança adicional contra algumas ameaças muito específicas ".

Este conselho ainda é relevante?

Sob circunstâncias muito específicas, dependendo do seu modelo de ameaça e análise de risco, pode haver alguns casos em que este seja um bom conselho. Na grande maioria dos casos, não, não é relevante nem nunca foi.

Tom
fonte
7

SIM , ainda é útil.

A alteração das portas padrão tem apenas um objetivo real: defender-se de verificações / ataques automatizados, se o servidor de banco de dados estiver aberto para hosts que possam ficar comprometidos.

Embora isso possa não parecer muito, lembre-se de que:

  • qualquer host pode ficar comprometido (ou o servidor de bancos de dados pode ficar exposto à Internet em geral devido a algum erro)
  • a maioria dos ataques atualmente são automatizados e muitos deles tentam apenas portas padrão (já que é mais eficiente mirar em frutas baixas).

Então, sim, embora por si só não o ajude muito se estiver sob ataque direcionado , o uso de portas aleatórias (e / ou fazendo com que seja escutado apenas em endereços IPv6 aleatórios) a tornará muito menos visível, assim, pelo menos, dando-lhe mais tempo para atualizar antes que a verificação automatizada de exploração de 0 dia atinja você (e pode até protegê-lo completamente contra essa verificação automatizada por si só!)

Além disso (isso ajudará não apenas contra todos os ataques automatizados contra, mas também contra alguns ataques direcionados) quando os atacantes tentam encontrar sua porta de banco de dados para explorá-la por bruteforce portscans, ela pode ser detectada e defendida (colocando na lista negra os intervalos de IP do invasor e alertando os administradores se algum host interno tiver sido detectado como fonte do ataque)

Observe também que alterar a porta padrão para servidor e clientes (especialmente se forem implantadas automaticamente) é uma quantidade trivial de trabalho, e a detecção de varreduras bruteforce também é fácil; então você realmente deve fazê-lo (não apenas para servidores de banco de dados; mas para todos os serviços em que a sobrecarga de configuração não é proibitiva devido a problemas de usabilidade: como alterar a porta padrão da Web 80não é recomendado, como algumas pessoas (e bots) estragará tudo, e firewalls aleatórios em todo o mundo podem não permitir a conexão. Mas o RDP é um ótimo alvo, por exemplo, para portas não padrão)

Matija Nalis
fonte
1

Eu não mudaria a porta, mas nunca exporia o serviço de banco de dados diretamente pela Internet. Somente através de um túnel seguro como SSH. Alterar a porta do SSH pode ser uma boa ideia para minimizar o tráfego dos scanners.

Thomas
fonte