従来、セキュリティのベストプラクティスの一環として、SQL Serverへの接続にデフォルトポートを使用しないことが推奨されてきました。単一のデフォルトインスタンスを持つサーバーでは、デフォルトで次のポートが使用されます。
質問:
回答:
従来、セキュリティのベストプラクティスの一環として、SQL Serverへの接続にデフォルトポートを使用しないことが推奨されてきました。
当時はまだアシニンだったが、今でもアシニンだった。セキュリティ間違いなくあいまいでは、すべてのセキュリティではありません。
このアドバイスはまだ関連していますか
私見それは決して関連しなかった。これらのコンプライアンスを起草する人々は、私たちが何をしていたのかを理解していなかったため、いくつかのコンプライアンスの目的のために必要でした。
上記のすべてのポートを変更する必要がありますか?
私は何も変えません。
あいまいさによるセキュリティは実際のセキュリティではありませんが、それが役立つケースはないとは言いません。
攻撃者がサービスがリッスンしている場所を知りたい場合、簡単に見つけることができますが、自動化された攻撃の場合、ポートを変更すると幸運になる可能性があります。
SQL Server 2000が脆弱で、ランダムなIPを生成してデフォルトのSQL Serverブラウザーポートに接続することでワームが拡散したSQL Slammerの期間中に、実際にどこで助けたかを思い出すことができます。
正確に思い出すと、サーバーにパッチを適用できるようになるまでポートを変更することが公式なアドバイスでした(すぐに利用可能なパッチがないか、ウィンドウがなかったため)
ワームがネットワークに侵入するには、ファイアウォールの代わりにインターネットにSQL Serverを接続する必要がありましたが、その場合は、デフォルトではないポート番号が役立つ場合があります。
ただし、適切なセキュリティが適切に設定されている場合、追加する複雑さはおそらくインシデントを防止する可能性を上回らないことに同意します。
歴史的に、セキュリティのベストプラクティスの一部として、SQL Serverへの接続にデフォルトポートを使用しないことが推奨されてきました。
いいえ、そうではありませんでした。一部の見当違いの人々はそれをそのように提示したかもしれませんが、私は20年以上にわたってセキュリティを行ってきており、デフォルトのポートを変更することは常に一種ですいくつかの非常に特殊な脅威に対する追加のセキュリティ」のこと。
このアドバイスはまだ関係がありますか?
非常に特殊な状況では、脅威モデルとリスク分析に応じて、これが適切なアドバイスになる場合があります。大多数の場合、いいえ、それは関係がなく、かつてありませんでした。
はい、それはまだ有用です。
デフォルトのポートを変更することの目的は1つだけです。データベースサーバーが侵害される可能性のあるホストに対して開かれている場合、自動スキャン/攻撃に対する防御です。
大したことではないように聞こえるかもしれませんが、次のことに注意してください。
したがって、はい、ターゲット攻撃を受けている場合、それ自体ではあまり役に立ちませんが、ランダムポートを使用する(および/またはランダムなIPv6アドレスのみでリッスンする)と、それははるかに見えにくくなり、少なくともより多くの時間を与えます自動化された0dayエクスプロイトスキャンがヒットする前にアップグレードします(そのような自動スキャンから完全に保護することさえできます!)
さらに(これは、自動化されたすべての攻撃だけでなく、一部の標的型攻撃に対しても役立つ)、攻撃者がデータベースポートを見つけてブルートフォースポートスキャンで悪用しようとすると、(攻撃者のIP範囲をブラックリストに登録することで)検出および防御できます、および内部ホストが攻撃のソースとして検出された場合に管理者に警告する)
また、サーバーとクライアントのデフォルトポートの変更(特に自動的に展開される場合)は簡単な作業であり、ブルートフォーススキャンの検出も簡単です。したがって、本当にそれを行う必要があります(データベースサーバーだけでなく、使いやすさの問題で設定のオーバーヘッドが禁止されていないすべてのサービス:Webのデフォルトポートを変更80するなど、一部の人々(およびボット)はお勧めできませんそれを台無しにし、世界中のランダムなファイアウォールは接続の確立を許可しないかもしれません。しかし、RDPは、例えばデフォルト以外のポートの素晴らしいターゲットです)