Bri*_*unt -2 security tcpip firewall port
假设您有一台运行不安全软件的服务器,并且您必须使其可公开访问,那么哪些端口对于在 Internet 上提供该服务是“最安全的”。“最安全”是指最不可能被端口扫描和探测漏洞的可能性。
我最初的想法是使用低于 1024 且不用于任何已知服务(例如 471/timbuktu)的端口,因为它们永远不会在常规使用中被访问,并且探测它们会揭示潜在的恶意意图(与探测器的兴趣相反)。
请注意,互联网端服务端口将由防火墙选择 - 服务器上的服务端口会有所不同(并且,值得注意的是,该服务不会以 root 身份运行)。
感谢阅读 - 感谢您的想法。
布赖恩
编辑:
当然,这是通过默默无闻的安全性。这就是为什么这个问题有默默无闻的标签!;)它是通过默默无闻的安全性与我正在寻找的内容无关。虽然对安全知识知之甚少的路人指出明显的问题可能会有所帮助,但它并没有回答问题或进一步讨论。我希望通过默默无闻来强调对安全性的关注是因为我的问题措辞不当。
已经给出的答案都没有真正帮助我。为什么 10000 以上的端口更可取?我希望相反。这些是从消费者机器发出的 TCP 连接所使用的端口,因此在较高端口上,异常连接到这些端口的信噪比要低得多。因此,攻击者在扫描较低端口时被检测到的期望更高,并且攻击者使用所述高端口或扫描它们的动机更高(尽管与例如NMAP 的顶级端口相比,流行的服务端口)。但是,高端口的数量更多,因此问题在于,对于未使用的服务,扫描命中不明显的高端口的概率是否低于命中低端口的概率。我认为这是一个经验数据问题。
互联网端连接端口可以在 1024 以下使用 NAT。这就是相关的端口。内部端口无关紧要,因此应用程序不会以 root 身份运行(管理员权限等)。即使它确实以 root 身份运行,它也可能被 chroot'd/jailed。
敲端口是个好主意。尽管这是一种以隐写方式隐藏服务的创造性方法(从而降低服务发现的可能性),但不幸的是它并没有回答这个问题。谢谢你的建议。
怎样才是真正的帮助(这是罪恶之四无问题的),将是对哪些端口正在与探讨SYN /连接,什么有效载荷发送到蜜罐,等等。这是更广泛,但它确实有些emperical数据更多什么会有所帮助。
编辑6:了解那些未使用的端口(即 <1024 且未分配给服务,例如端口 4、6、8、10、12、14、15、16 等)是否被扫描过将很有价值。如果您查看防火墙日志,您是否看到正在探测未分配的服务端口?
再次感谢。
编辑只是为了清楚起见,在这种情况下,“最安全”本质上是对端口扫描间隔的度量。问题中暗示的漏洞是对尚未部署补丁的服务的利用。如果你理解我的意思,如果一个端口的间隔时间大大大于部署修复漏洞的补丁的时间,那么它是“更安全的”。因此,如果 ssh 守护进程中存在远程漏洞利用,则端口 60001 比 SSH 端口 22 更安全,因为端口 22 作为默认 ssh 端口将更频繁地扫描安全外壳守护进程(和相应的漏洞利用),因此时间更少在潜在的远程利用尝试之间部署补丁。这是本次调查的初衷,希望这篇评论对您有所帮助。
wom*_*ble 13
一个随机的高端口(大约 10000 以北的某个地方)可能最不可能被扫描,但鉴于只需要一次扫描即可找到并利用易受攻击的服务,我强烈建议您重新考虑您的策略。
| 归档时间: |
|
| 查看次数: |
4184 次 |
| 最近记录: |