Czy powinienem prowadzić moją małą stronę internetową na porcie 80, 8080 lub 81?

20

Prowadzę małą stronę internetową przy użyciu nginx. Ponieważ (prawdopodobnie) nie będzie dużego ruchu w ciągu życia mojego serwera i aby uniknąć przypadkowych ataków DoS, rozważam ustawienie serwera WWW do nasłuchiwania na alternatywnym porcie zamiast portu 80.

Czy nasłuch na alternatywnym porcie (81, 8080 itp.) Faktycznie zmniejsza ryzyko ataków lub naruszeń? A może ciężar utrzymania go przewyższa korzyści? W takim przypadku, czy powinienem używać tych alternatywnych portów dla innych usług internetowych, na wypadek gdyby je skonfigurować w przyszłości?

oldmud0
źródło
4
Dlaczego niektórzy „napastnicy” podejmują ryzyko w stosunku do (D) DoS małej witryny?
Gilles Quenot

Odpowiedzi:

40

Należy tutaj rozważyć dwie rzeczy:

  1. Czy Twoi użytkownicy zapamiętają użycie niestandardowego portu w nazwie? Domyślnie port 80 jest standardem, dlatego nie trzeba go wpisywać w adresie URL. Na przykład http://superuser.comdziała na porcie 80, a Twoja przeglądarka zakłada, że ​​80 jest portem, który masz na myśli podczas pisania. Nie różni się niczym od pisania http://superuser.com:80. Jeśli serwer WWW działa na porcie 8080, użytkownik musi wpisać http://superuser.com:8080. Przeciętny użytkownik prawdopodobnie tego nie pamięta.
  2. Czy uruchomienie serwera na niestandardowym porcie chroni Cię przed atakami DoS? Nie całkiem. Jeśli ktoś naprawdę chce sprowadzić twoją stronę na dół, uruchomienie na niestandardowym porcie nie zatrzyma ich. Atakujący skanują wszystkie porty w twoim adresie IP i szybko stwierdzają, że 8080 (lub cokolwiek wybierzesz) jest otwarty i odpowiada na żądania HTTP.

Metody takie jak zmiana portów nazywa się „ Bezpieczeństwo przez zaciemnienie ” i bardzo wątpliwe jest, aby dodatkowa praca i niedogodności zapewniały jakiekolwiek cenne bezpieczeństwo.

Keltari
źródło
6
Chcę dodać, że nie wszystkie zabezpieczenia przez Obscurity są złe. Zmiana domyślnej nazwy użytkownika Administrator lub root jest uważana za dobrą praktykę. Jednak takie zmiany, jak zmiana portów, są bezcelowe, ponieważ jest ich tylko 32k, a komputer może to zeskanować w kilka sekund.
Keltari
2
Nie dodaje zabezpieczeń, ale zapobiega spowolnieniu botów skanujących, które spowalniają twoją stronę, szczególnie jeśli strona ma rekord DNS.
Nathan MacInnes,
1
Zależy to całkowicie od skali ataku. Korzystanie z portów innych niż domyślne może pomóc uniknąć skanowań na dużą skalę, powiedzmy o / 0 w poszukiwaniu luk w serwerach WWW przy użyciu zmap lub nmap. Ale @Keltari ma rację, jeśli jesteś celem, atakujący wykona na ciebie pełne skanowanie, określi, z którego portu działa twój serwer, a następnie zakończy grę, jeśli jesteś podatny ;-).
wi1
@NathanMacInnes przy dostępnej dziś technologii, zakładam, że liczba botów skanujących małą stronę jest znikoma, a wadą zmiany domyślnego portu jest dość duża.
ILikeTacos,
2
Źle, to /superuser/działa na porcie 443. Bezpieczne strony używają 443.
Elliot A.
5

Tak, ustawienie alternatywnego portu faktycznie zmniejsza ryzyko ataków, ponieważ boty indeksujące sieć w celu znalezienia wadliwej aplikacji zwykle nie patrzą na inne porty.

Jeśli atakujący atakuje twój serwer, naprawdę łatwo będzie znaleźć prawdziwy port, na którym nasłuchuje Nginx (skanując otwarte porty).

Korzystanie z tych alternatywnych portów jest rzadkie (z wyjątkiem serwerów proxy lub ... alternatywnych serwerów sieciowych), więc myślę, że można z nich korzystać bez obaw.

Pamiętaj jednak, że użycie takiego alternatywnego portu zapobiegnie „domyślnym” odwiedzającym znalezienie Twojej witryny, musisz poinformować ludzi (lub wpisać w linkach) właściwy port, używając adresów URL takich jak http://yourserver.com:81/ . ..

Mickaël
źródło
2

Dodatkową kwestią (w stosunku do dwóch podanych przez Keltari) jest to, że użycie niestandardowego portu może spowodować, że Twoja witryna zostanie przeoczona przez roboty wyszukiwarek internetowych, takie jak Google, chyba że określisz inaczej.

Jeśli Twoim intencją jest, aby twoja strona była trudna do znalezienia dla wszystkich oprócz osób, do których podajesz link, wtedy użycie niestandardowego portu wydawałoby się korzystne, ale w innym przypadku wybrałbym standardowy port.

Liang
źródło
1

To zależy. Jaki jest pożytek z „małej witryny”?

  • Jeśli będzie używany przez inne osoby, zdecydowanie polecam korzystanie ze standardowych portów. Jak wspomniano w większości odpowiedzi, użycie niestandardowego portu wymaga , aby port został określony przez użytkownika (np. Dla portu 81 -> yoursite.com:81). Jeśli używasz standardowego portu, przeglądarka pobiera port z protokołu (http, https). http: // to zwykle port 80, a https: // to zwykle port 443, chyba że zostanie zastąpiony. Bardzo polecam korzystanie ze standardowych portów. Jasne, MOŻESZ umieścić jedyne wejście do domu na podwórku, ale skąd goście będą wiedzieć, że tam jest?

  • Jeśli jest to strona testowa używana tylko przez Ciebie, musisz zadać sobie dwie rzeczy:

    • Czy będzie dołączony do rekordu DNS (nazwy domeny)? (Uważam, że moje serwery bez odniesień do DNS są znacznie cichsze pod względem ataku. UWAGA: nie uważaj tego za bezpieczniejsze. Nie jest; to tylko utrudnia atakującym znalezienie cię przez DNS)
    • Czy jesteś w porządku z ręcznym wpisywaniem portu i / lub adresu IP?

TL; DR:

  • Używane przez innych ludzi: użyj 80/443
  • Prywatny: do ciebie
Luke Adams
źródło
0

Możesz uruchomić serwer HTTP na dowolnym porcie, ale internauci będą mieli trudności z zapamiętaniem portu.

Zmniejszy to ryzyko ataków lub naruszeń, ale istnieją też inne sposoby, takie jak zabezpieczenie serwera i utrzymanie serwera HTTP na porcie 80

AMB
źródło