デフォルトのポート番号を変更すると、実際にセキュリティが向上しますか？

私は、プライベートアプリケーション（イントラネット、プライベートデータベース、部外者が使用しないものなど）には異なるポート番号を使用する必要があるというアドバイスを見てきました。

セキュリティを改善できると完全に確信しているわけではありません。

1. ポートスキャナーが存在する
2. アプリケーションが脆弱である場合、ポート番号に関係なくそのまま残ります。

私は何かを見逃したか、自分の質問に答えましたか？

ターゲットを絞った攻撃に対する深刻な防御策はありません。サーバーがターゲットにされている場合、あなたが言うように、彼らはあなたをポートスキャンし、あなたのドアがどこにあるかを見つけます。

ただし、SSHをデフォルトポートの22から移動すると、非標的型およびアマチュアスクリプトのキディタイプ攻撃の一部が阻止されます。これらは、スクリプトを使用してIPアドレスの大きなブロックを一度にポートスキャンし、特にポート22が開いているかどうかを確認するためにスクリプトを使用する比較的洗練されていないユーザーです。等）。マシンがスキャン対象のIPブロックにあり、ポート22でSSHを実行していない場合、マシンは応答しないため、このスクリプトキディが攻撃するマシンのリストに表示されません。エルゴ、このタイプの日和見攻撃に対してのみ提供される低レベルのセキュリティがあります。

例として、時間があれば、サーバーにログダイブし（SSHがポート22にあると仮定）、可能な限り失敗したすべての固有のSSH試行を引き出します。次に、そのポートからSSHを移動し、しばらく待ってから、再度ログダイビングに進みます。間違いなくより少ない攻撃を見つけるでしょう。

以前はパブリックWebサーバーでFail2Banを実行していましたが、SSHをポート22から移動したときは本当に明らかでした。日和見攻撃を大幅に削減しました。

ログをきれいに保つことは非常に役立ちます。

sshdがポート33201で実行されているのに失敗した試行が表示された場合、その人物があなたをターゲットにしていると安全に想定できます。登録ユーザーのIPなどと相互参照するなど）。

デフォルトのポートを使用する場合、誰かがあなたを攻撃しているのか、それともランダムスキャンを実行しているランダムバカなのかを知ることは不可能です。

いいえ、そうではありません。あんまり。これを表す用語は、セキュリティによるセキュリティであり、信頼できる方法ではありません。あなたは両方の点で正しいです。

隠すことによるセキュリティは、最高の状態でちょうどいくつかの点で、彼らが見つけることを知ってデフォルトポートを探して回るカジュアルな試みを阻止します誰かオープンフロントドアを残しました。ただし、デフォルトポートの変更に直面する深刻な脅威がある場合、最初の攻撃の速度はせいぜい遅くなりますが、すでに指摘したことにより、ほんのわずかです。

ポートを適切に設定したままにしてください。ただし、適切なファイアウォール、認証、ACLなどでポートをロックダウンする適切な予防措置を講じてください。

それはわずかなレベルのあいまいさですが、ハッキングへの道の速度を大幅に上げることはありません。その特定のサービスと通信するすべてのものが異なるポートについて通知される必要があるため、長期をサポートするのは難しい構成です。

むかしむかし、ネットワークワームは1つのポートのみをスキャンする傾向があったため、ネットワークワームを回避するために良い考えでした。ただし、急速に増加するワームの時代は過ぎ去りました。

他の人が指摘しているように、ポート番号を変更してもセキュリティはあまりありません。

ポート番号を変更すると、実際にはセキュリティに悪影響を与える可能性があることを付け加えます。

次の単純化されたシナリオを想像してください。クラッカーは100個のホストをスキャンします。これらのホストの99個には、これらの標準ポートで利用可能なサービスがあります。

Port    Service
22      SSH
80      HTTP
443     HTTPS

しかし、システムの所有者がサービスを難読化しようとしたため、群衆から目立つホストが1人います。

Port    Service
2222    SSH
10080   HTTP
10443   HTTPS

さて、これはクラッカーにとって興味深いかもしれません。なぜなら、スキャンは次の2つのことを示唆しているからです。

1. ホストの所有者がシステムのポート番号を隠そうとしています。おそらく、所有者は、システムに何か価値があると考えています。これは、従来のシステムではない場合があります。
2. システムを保護するために間違った方法を選択しました。管理者はポートの難読化を信じて間違いを犯しました。これは、彼らが経験の浅い管理者である可能性があることを示しています。おそらく、彼らは適切なファイアウォールまたは適切なIDSの代わりにポート難読化を使用しました。彼らは他のセキュリティミスも犯した可能性があり、追加のセキュリティ攻撃に対して脆弱かもしれません。もう少し詳しく調べてみましょうか？

クラッカーの場合、標準ポートで標準サービスを実行している99のホストのいずれか、またはポートの難読化を使用しているこの1つのホストを選択しますか？

少なくとも部分的には一般的な傾向に逆らうつもりです。

独自に、別のポートに変更すると、検索中に数秒かかる場合があります。したがって、実際には何も得られません。ただし、非標準ポートの使用とアンチポートスキャン対策を組み合わせると、セキュリティを大幅に向上させることができます。

私のシステムに適用される状況は次のとおりです。非パブリックサービスは非標準ポートで実行されます。指定された時間内に単一の送信元アドレスから3つ以上のポートに接続しようとすると、成功したかどうかにかかわらず、その送信元からのすべてのトラフィックがドロップされます。

このシステムを破るには、運（ブロックされる前に適切なポートを押す）または他の手段をトリガーする分散スキャン、または気づかれて対処される非常に長い時間が必要です。

私の意見では、アプリケーションが実行されるポートを移動しても、セキュリティはまったく向上しません-単に同じアプリケーションが（同じ長所と短所を使用して）異なるポートで実行されるためです。アプリケーションに脆弱性があり、リッスンするポートを別のポートに移動しても、脆弱性に対処できません。さらに悪いことに、自動化されたスキャンによって絶えず攻撃されていないため、弱点に対処しないよう積極的に奨励しています。それは実際に解決されるべき問題である本当の問題を隠します。

いくつかの例：

• 「ログをクリーンアップします」-次に、ログの処理方法に問題があります。
• 「接続オーバーヘッドを削減します」-オーバーヘッドは重要ではない（ほとんどのスキャンと同様）か、上流で何らかのフィルタリング/サービス拒否の軽減が必要
• 「アプリケーションの露出を減らします」-アプリケーションが自動化されたスキャンと悪用に耐えられない場合、アプリケーションは深刻なセキュリティ上の欠陥に対処する必要があります（つまり、パッチを当ててください！）。

実際の問題は管理上の問題です。人々は、SSHが22、MSSQLが1433などになると予想しています。これらを移動することは、もう1つの複雑さの層であり、必要なドキュメントです。ネットワークに座って、物事がどこに移動したかを把握するためだけにnmapを使用する必要があるのは非常に迷惑です。セキュリティへの追加はせいぜい一時的なものであり、欠点は取るに足らないものではありません。しないでください。本当の問題を修正してください。

TCPサーバーのポート範囲のエントロピーが16ビットしかないため、あまりセキュリティをもたらさないことは正しいですが、次の2つの理由でそれを行うことができます。

• 他の人がすでに言っているように：多数のログインを試みる侵入者は、ログファイルを乱雑にすることができます（単一のIPからの辞書攻撃がfail2banでブロックされる場合でも）。
• SSHは、秘密鍵を交換して安全なトンネルを作成するために公開鍵暗号を必要とします（これは、通常の条件下では頻繁に行う必要のない高価な操作です）。繰り返されるSSH接続はCPUパワーを浪費する可能性があります。

注：サーバーポートを変更する必要があると言っているわけではありません。ポート番号を変更する合理的な理由（IMO）を説明しています。

それを行う場合、他のすべての管理者またはユーザーに、これがセキュリティ機能と見なされるべきではなく、使用されているポート番号は秘密ではなく、これをセキュリティ機能として説明していることを明確にする必要があると思います真のセキュリティをもたらすことは、許容可能な動作とは見なされません。

代替ポートでsshdを実行すると、潜在的なセキュリティ上の利点があるという仮説的な状況を見ることができます。これは、実行中のsshdソフトウェアで、ささいに悪用されたリモートの脆弱性が発見されたシナリオです。このようなシナリオでは、代替ポートでsshdを実行すると、ランダムなドライブバイターゲットになる必要がないだけの余分な時間が与えられる可能性があります。

私自身は、プライベートマシンの代替ポートでsshdを実行していますが、これは主に/var/log/auth.logの乱雑さを抑えるために便利です。マルチユーザーシステムでは、上記の小さなセキュリティ上の利点が、標準パーツにsshdが見つからないことに起因する余分な面倒の十分な理由であるとは考えていません。

セキュリティがわずかに向上します。そのため、攻撃者は開いているポートを見つけたため、ポートで実行されているものを解決する必要があります。設定ファイルにアクセスできない（まだ:-)）彼は、ポート12345がhttp、sshd、または他の1000の一般的なサービスのいずれかを実行しているかどうかわからないため、何が実行されるのかを真剣に判断するために余分な作業を行う必要がありますそれを攻撃します。

また、他のポスターが指摘したように、ポート22にログインしようとする試みは、無知なスクリプトキディ、ゾンビトロイの木馬、またはIPアドレスを誤って入力した本物のユーザーである可能性があります。ポート12345にログインしようとすると、本物のユーザーまたは深刻な攻撃者であることがほぼ確実になります。

もう1つの戦略は、いくつかの「ハニートラップ」ポートを持つことです。本物のユーザーはこれらのポート番号を知らないため、接続の試みはすべて悪意があると見なされる必要があり、問題のIPアドレスを自動的にブロック/報告できます。

別のポート番号を使用すると、システムが確実に安全になる特別なケースがあります。ネットワークがWebサーバなどの公共サービスを実行しているだけでなく、唯一のWebサーバー内部での使用を実行している場合は、絶対に別のポート番号で実行されているとことにより、任意の外部からのアクセスをブロックすることができ、ブロッキングこのポートから任意の外部アクセスを。

それ自体ではありません。ただし、特定のアプリケーション（たとえば、SQL Server）にデフォルトポートを使用しないと、基本的に攻撃者はポートをスキャンすることになります。この動作は、ファイアウォールまたはその他の監視メトリックによって検出され、攻撃者のIPがブロックされます。また、使用している単純なツールまたはコマンドスクリプトがマシン上のSQLサーバーインスタンスを見つけられない場合は、平均的な「スクリプトキディ」が抑止される可能性が高くなります（ツールはデフォルトポートのみをチェックするため）。