ポート80、8080、または81で小さなWebサイトを実行する必要がありますか?

20

私はnginxを使用して小さなウェブサイトを運営しています。私のサーバーの寿命には大量のトラフィックがなく、ランダムなDoS攻撃を避けるために(おそらく)ポート80ではなく代替ポートでリッスンするようにWebサーバーを設定することを検討しています。

代替ポート(81、8080など)でリッスンすると、実際に攻撃や侵害のリスクが軽減されますか?それとも、それを維持する負担が利益を上回っていますか?その場合、将来それらを設定する場合に、他のWebサービスにこれらの代替ポートを使用する必要がありますか?

networking  security  website  port 
oldmud0
ソース
4
一部の「攻撃者」が小さなWebサイト(D)DoSにリスクを負うのはなぜですか?
ジルケノ14

回答:

40

ここで考慮すべきことが2つあります。

  1. ユーザーは名前に非標準ポートを使用することを覚えていますか?デフォルトでは、ポート80が標準であるため、ポート80をURLに入力する必要はありません。たとえば、http://superuser.comポート80 で実行され、ブラウザは80が入力時に意味するポートであると想定します。これはを入力するのと同じですhttp://superuser.com:80。ポート8080でWebサーバーを実行する場合、ユーザーを入力する必要ありますhttp://superuser.com:8080。平均的なユーザーはおそらくそれを覚えていないでしょう。
  2. 非標準ポートでWebサーバーを実行すると、DoS攻撃から保護されますか?あんまり。誰かあなたのサイトを本当にダウンさせたいなら、非標準のポートで実行してもそれらは停止しません。攻撃者はIP上のすべてのポートをスキャンし、8080(または選択したもの)が開いていてHTTPリクエストに応答していることをすぐに見つけます。

ポートの変更などの方法は「セキュリティによるセキュリティ」と呼ばれ、余分な作業と不便さが貴重なセキュリティを提供することは非常に疑わしいです。

ケルタリ
ソース
6
オブスキュリティによるすべてのセキュリティが悪いわけではないことを付け加えます。デフォルトの管理者またはルートのユーザー名を変更することをお勧めします。ただし、ポートの変更などは32kしかなく、コンピューターは数秒でスキャンできるので無意味です。
ケルタリ14
2
セキュリティは追加されませんが、特にサイトにDNSレコードがある場合、粗雑なスキャンボットがサイトの速度を低下させることはありません。
ネイサンマッキネス
1
それは完全に攻撃の規模に依存します。デフォルト以外のポートを使用すると、zmapまたはnmapを使用したWebサーバーの脆弱性に対する/ 0のような大規模なスキャンを回避するのに役立ちます。しかし、@ Keltariは正しいです。あなたが標的である場合、攻撃者はあなたに対してフルスキャンを実行し、サーバーがどのポートから実行されているかを判断し、脆弱な場合はゲームオーバーします;-)。
wi1
@NathanMacInnesは今日利用可能な技術を使用しているため、小さなサイトをスキャンするボットの数は無視でき、デフォルトのポートを変更することのマイナス面はかなり大きいと思います。
ILikeTacos
2
間違った、それはだ/superuser/、それは443使用のポートで443セキュアなウェブサイトを運営
エリオットA.
5

はい。代替ポートを設定すると、実際に攻撃のリスクが軽減されます。これは、ボットがWebをクロールして欠陥のあるwebappを見つけるため、通常は他のポートを参照しないためです

人間の攻撃者がサーバーを狙っている場合、nginxがリッスンしている実際のポートを簡単に発見できます(開いているポートをスキャンすることにより)。

これらの代替ポートを使用することはめったにありません(プロキシまたは...代替Webサーバーを除く)ので、恐れることなく使用できると思います。

ただし、このような代替ポートを使用すると、「デフォルト」の訪問者がWebサイトを見つけることができないため、http://yourserver.com:81/などのURLを使用して、適切なポートをユーザーに伝える(またはリンクに書き込む)必要があります。 ..

ミカエル
ソース
2

追加の考慮事項(Keltariが提供する2つに対する)は、特に指定しない限り、非標準ポートを使用すると、Googleのような検索エンジンWebクローラーがWebサイトを見落とす可能性があることです。

リンクを提供する人以外のすべての人があなたのウェブサイトを見つけるのが難しいというあなたの意図であれば、非標準ポートを使用することは好ましいと思われますが、そうでなければ標準ポートを使用します。


ソース
1

場合によります。「小さなサイト」の用途は何ですか?

  • 他の人が使用する場合は、標準ポートを使用することを強くお勧めします。ほとんどの回答で述べたように、非標準ポートを使用するには、ユーザーがポートを指定する必要があります(たとえば、ポート81-> yoursite.com:81)。標準ポートを使用する場合、ブラウザはプロトコル(http、https)からポートを推測します。オーバーライドしない限り、http://は通常ポート80で、https://は通常ポート443です。標準ポートを使用することを強くお勧めします。もちろん、裏庭の家への唯一の入り口を置くことができますが、訪問者はそれがそこにあることをどのように知るでしょうか?

  • 自分だけが使用するテストサイトの場合は、次の2つのことを確認してください。

    • DNSレコード(ドメイン名)に添付されますか?(DNS参照のないサーバーは攻撃的には静かであることに注意してください。注:これをより安全だと考えないでください。そうではありません。攻撃者がDNSを通じてあなたを見つけるのを難しくします)
    • ポートやIPを手動で入力しても大丈夫ですか?

TL; DR:

  • 他の人が使用:80/443を使用
  • プライベート:あなた次第
ルーク・アダムス
ソース
0

httpサーバーはどのポートでも実行できますが、サーファーにとってユーザーがポートを覚えるのは困難です。

攻撃や侵害のリスクを軽減しますが、サーバーを保護し、HTTPサーバーをポート80に保持するなど、他の方法もあります

AMB
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.