Devo executar meu pequeno site na porta 80, 8080 ou 81?

20

Estou executando um site pequeno usando o nginx. Como (provavelmente) não haverá muito tráfego na vida útil do servidor e para evitar ataques de DoS aleatórios, estou pensando em configurar o servidor da Web para escutar uma porta alternativa em vez da porta 80.

Ouvir em uma porta alternativa (81, 8080 etc.) reduz realmente meu risco de ataques ou violações? Ou o ônus de mantê-lo supera os benefícios? Nesse caso, devo usar essas portas alternativas para outros serviços da Web, caso os configure no futuro?

networking security website port oldmud0
fonte
4
Por que alguns 'invasores' correm riscos para (D) DoS um site pequeno?
Gilles Quenot 23/02

Respostas:

40

Há duas coisas a considerar aqui:

  1. Seus usuários se lembrarão de usar uma porta não padrão no nome? Por padrão, a porta 80 é o padrão e, portanto, você não precisa digitá-la na URL. Por exemplo, http://superuser.comé executado na porta 80 e seu navegador assume que 80 é a porta que você quer dizer ao digitá-la. Não é diferente de digitar http://superuser.com:80. Se você executar o seu websever na porta 8080, então o usuário tem que digitar http://superuser.com:8080. O usuário médio provavelmente não se lembrará disso.
  2. A execução de um servidor da web em uma porta não padrão protege você contra ataques de negação de serviço? Na verdade não. Se alguém realmente quisesse derrubar seu site, a execução em uma porta não padrão não os interromperia. Os invasores examinam todas as portas do seu IP e descobrem rapidamente que o 8080 (ou o que você escolher) está aberto e responde a solicitações HTTP.

Métodos como alterar portas são chamados " Segurança através da obscuridade " e é altamente questionável que o trabalho extra e a inconveniência ofereçam qualquer segurança valiosa.

Keltari
fonte
6
Quero acrescentar que nem toda a segurança através da obscuridade é ruim. Alterar o nome de usuário administrador ou raiz padrão é considerado uma boa prática. No entanto, coisas como mudar de porta são inúteis, pois existem apenas 32k e um computador pode digitalizá-lo em segundos.
22414 Keltari
2
Ele não adiciona segurança, mas evita que os bots de varredura brutos desacelerem o site, principalmente se o site tiver um registro DNS.
precisa
1
Depende totalmente da escala do ataque. O uso de portas não padrão pode ajudar a evitar verificações em larga escala, como / 0 para vulnerabilidades do servidor da Web usando zmap ou nmap. Mas o @Keltari está correto; se você é um alvo, um invasor fará uma varredura completa em você, determinará de qual porta o servidor está rodando e depois o jogo terminará, se você estiver vulnerável ;-).
ICG1
@NathanMacInnes com a tecnologia disponível hoje, eu suporia que o número de bots que examinam um site pequeno é insignificante e a desvantagem de alterar uma porta padrão é muito grande.
ILikeTacos
2
Errado, é /superuser/, e é executado na porta 443. Sites seguros usam 443.
Elliot A.
5

Sim, definir uma porta alternativa na verdade reduz os riscos de ataques, pois os bots que estão rastreando a web para encontrar aplicativos da web com falhas geralmente não olham para outras portas.

Se um invasor humano estiver mirando seu servidor, será realmente fácil descobrir a porta real na qual o nginx está escutando (examinando as portas abertas).

Usar essas portas alternativas é raro (exceto proxies ou ... servidores da web alternativos), então acho que você pode usá-la sem medo.

Mas lembre-se de que o uso de uma porta alternativa impedirá que visitantes "padrão" encontrem seu site, você precisará informar às pessoas (ou escrevê-las em links) a porta certa usando URLs como http://yourserver.com:81/ . ..

Mickaël
fonte
2

Uma consideração adicional (às duas fornecidas pela Keltari) é que o uso de uma porta não padrão pode fazer com que seu site seja ignorado por rastreadores da Web de mecanismos de pesquisa como o Google, a menos que você especifique o contrário.

Se é sua intenção que o seu site seja difícil de encontrar para todos, exceto para as pessoas para as quais você fornece um link, o uso de uma porta não padrão pareceria favorável, mas caso contrário, eu usaria uma porta padrão.

Liang
fonte
1

Depende. Qual é a utilidade do "site pequeno"?

  • Se for usado por outras pessoas, recomendo o uso de portas padrão. Conforme mencionado na maioria das respostas, o uso de uma porta fora do padrão requer que a porta seja especificada pelo usuário (por exemplo, para a porta 81 -> yoursite.com:81). Se você usa uma porta padrão, o navegador deduz a porta a partir do protocolo (http, https). http: // normalmente é a porta 80 e https: // normalmente é a porta 443, a menos que seja substituída. Eu recomendo o uso de portas padrão. Claro, você PODE colocar a única entrada para uma casa no quintal, mas como os visitantes saberão que ela está lá?

  • Se é um site de teste usado apenas por você, há duas coisas a se perguntar:

    • Será anexado a um registro DNS (nome de domínio)? (Acho que meus servidores sem referências de DNS são muito mais silenciosos em termos de ataque. NOTA: por favor, não considere isso mais seguro. Não é; apenas torna mais difícil para os invasores encontrarem você através do DNS)
    • Você concorda em digitar manualmente a porta e / ou IP?

TL; DR:

  • Usado por outras pessoas: use 80/443
  • Privado: depende de você
Luke Adams
fonte
0

Você pode executar o servidor http em qualquer porta, mas será difícil para os seus surfistas, os usuários se lembrarem da porta.

Reduzirá o risco de ataques ou violações, mas também existem outras maneiras, como proteger o servidor e manter o servidor HTTP na porta 80

AMB
fonte