Безопасно использовать большие номера портов? (re: затемнение веб-служб)

У меня есть небольшая домашняя сеть, и я пытаюсь сбалансировать потребность в безопасности и удобстве. Самый безопасный способ защитить внутренние веб-серверы-подключаться только с помощью VPN, но это кажется излишним для защиты удаленного веб-интерфейса DVR (например).

в качестве компромисса было бы лучше использовать очень большие номера портов? (напр. пять цифр до 65531)

Я читал, что Сканеры портов обычно сканируют только первые 10 000 портов, поэтому используют очень высокие номера портов это немного более безопасно.

Это правда?

существуют ли лучшие способы защиты веб-серверов? (т. веб-GUI для приложений)

11
задан SofaKng
21.02.2023 20:59 Количество просмотров материала 3272
Распечатать страницу

4 ответа

Я читал, что Сканеры портов обычно сканируют только первые 10 000 портов, поэтому использование очень высоких номеров портов немного более безопасно.

многие люди верят в это. Я не знаю.

может быть, это немного безопаснее, но не намного. Порты с низким номером встречаются чаще, поэтому некоторые сканеры будут искать их первыми.

Если бы я был взломщиком, я бы сначала просканировал высокие порты, чтобы поймать людей, которые полагаются на этот метод для обеспечения безопасности. Люди, которые полагаются на security-through-obscurity, вероятно, плохо понимает безопасность и, скорее всего, забудет использовать другие методы безопасности. Поэтому эти службы могут быть более уязвимыми и их легче взломать.

некоторые сканеры используют это, верят, и начинают сверху и прокладывают себе путь вниз по списку. Другие сканирования будут выбирать случайные порты по всему диапазону, поэтому все порты имеют равные шансы быть просмотренными.

идите вперед и проверьте это сами, используя NMAP. Запустите сканирование nmap на портах 1-10, 000 и найдите HTTP-сервер, и сравните это со сканированием, которое сканирует на всех портах 1-65, xxx. Вы увидите, что разница обычно составляет 3-10 минут. Если я делаю подробное сканирование, используя что-то вроде Nessus, разница иногда составляет 20-60 минут.

хороший взломщик-это терпеливый взломщик. Они будут ждать.

9
отвечен Stefan Lasiewski 2023-02-23 04:47

использование нечетных номеров портов не является никакой безопасностью, если вы не ведете тот факт, что он позволяет запускать приложение в качестве пользователя, не являющегося root.

такого рода вещи можно рассматривать как безопасность по неизвестности, но на самом деле это не безопасность.

3
отвечен Antoine Benkemoun 2023-02-23 07:04

вы также можете использовать SSH туннель, если вы используете Linux на обоих концах:

ssh -f -N -L 9090:localhost:9090 user@remote-host

например, это то, что я использую для пересылки порта 9090 на удаленном хосте на мой локальный порт 9090 для cherokee-admin, и я использую аналогичные настройки для других веб-ГПИ. Вы можете защитить приложения таким образом, указав в конфигурации приложения, что они работают только на localhost, то есть на 127.0.0.1. Таким образом, они не доступны извне, но вы можете переслать их с ssh. Проверять man ssh для большего количества опций с использованием переадресации портов (включая X, что может решить вашу проблему по-другому.)

это может быть подходящим способом для достижения вашей цели без установки / настройки дополнительного программного обеспечения, в зависимости от вашей установки.

3
отвечен Sam Halicke 2023-02-23 09:21

Если ваш брандмауэр позволяет это вы можете сделать аутентификацию происходит на уровне брандмауэра во-первых, если сложность паролей хорошо достаточно, что должно обеспечить безопасность услуг, предоставляемых. вы также можете использовать SSL туннелирование, используя, например,stunnel и взаимная проверка подлинности.

учитывая тот факт, что использование большего количества портов более безопасно, в некотором смысле, возможно, в отношении ботов, сканирующих ваш IP и пытающихся использовать некоторые эксплойты, но если кто-то хочет действительно breack, используя более высокие номера портов не обеспечивают повышенную безопасность.

1
отвечен Maxwell 2023-02-23 11:38

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх