Historicamente, era recomendado não usar as portas padrão para conexões com o SQL Server, como parte das práticas recomendadas de segurança. Em um servidor com uma única instância padrão, as seguintes portas seriam usadas por padrão:
- Serviço SQL Server - Porta 1433 (TCP)
- Serviço SQL Server Browser - Porta 1434 (UDP)
- Conexão de administrador dedicada - Porta 1434 (TCP)
PERGUNTAS:
- Este conselho ainda é relevante?
- TODAS as portas acima devem ser alteradas?
O que era estúpido então e ainda estúpido agora. A segurança através da obscuridade não é segurança.
IMHO nunca foi relevante. Foi necessário para alguns fins de conformidade porque as pessoas que redigiam essas conformidades não entendiam o que estavam fazendo, novamente, IMHO.
Eu não mudaria nada.
Mesmo que a segurança através da obscuridade não seja uma segurança real, não direi que não há casos em que isso ajude.
Se um invasor quiser saber onde seu serviço está ouvindo, ele pode descobrir facilmente, mas no caso de um ataque automatizado burro, você pode ter sorte se alterar a porta.
A única vez que me lembro onde isso realmente ajudou é durante o tempo do SQL Slammer , onde o SQL Server 2000 estava vulnerável e um worm se espalhou gerando ips aleatórios e conectando-se à porta padrão do navegador SQL Server.
Se bem me lembro, era um conselho oficial na época para alterar as portas até que você pudesse corrigir seu servidor (porque não havia um patch disponível imediatamente ou porque você não tinha uma janela)
Para que esse worm entrasse na sua rede no momento, você precisava ter um SQL Server conectado à internet em vez de estar atrás de um firewall, o que você não deveria, mas de qualquer forma, um número de porta não padrão poderia ter ajudado nesse caso específico.
No entanto, concordo que, se você tiver segurança adequada, a complexidade que adicionar provavelmente não supera as chances de evitar um incidente.
Não, não era. Algumas pessoas equivocadas podem ter apresentado como tal, mas eu tenho feito segurança por mais de 20 anos e mudar as portas padrão sempre foi uma espécie de "aqui está algo que você pode fazer se quiser que talvez às vezes em circunstâncias muito específicas forneça um um pouco de segurança adicional contra algumas ameaças muito específicas".
Em circunstâncias muito específicas, dependendo do seu modelo de ameaça e análise de risco, pode haver alguns casos em que este é um bom conselho. Na grande maioria dos casos, não, não é relevante nem nunca foi.
SIM , ainda é útil.
Alterar as portas padrão tem apenas um propósito real: defender-se contra varreduras/ataques automatizados, se o servidor de banco de dados estiver aberto para hosts que possam ser comprometidos.
Embora isso possa não parecer grande coisa, lembre-se que:
Então, sim, embora por si só não o ajude muito se estiver sob ataque direcionado , usar portas aleatórias (e/ou fazê-lo ouvir apenas em endereços IPv6 aleatórios) o tornará muito menos visível, pelo menos dando a você mais tempo para atualize antes que a verificação automatizada de exploração de 0 dia atinja você (e pode até protegê-lo completamente contra essa verificação automatizada por si só!)
Além disso (isso ajudará não apenas contra todos os ataques automatizados, mas também contra alguns ataques direcionados) quando os invasores tentarem encontrar a porta do seu banco de dados para explorá-la por varreduras de portas bruteforce, ele poderá ser detectado e defendido (colocando na lista negra os intervalos de IP do invasor , e alertando os administradores se algum host interno foi detectado como fonte do ataque)
Observe também que alterar a porta padrão para servidor e clientes (especialmente se eles forem implantados automaticamente) é uma quantidade trivial de trabalho, e detectar varreduras de força bruta também é fácil; então você realmente deveria estar fazendo isso (não apenas para servidores de banco de dados; mas para todos os serviços em que a sobrecarga de configurá-lo não é proibitiva devido a problemas de usabilidade: como alterar a porta padrão para a web
80não é recomendado, pois algumas pessoas (e bots) vai estragar tudo, e firewalls aleatórios em todo o mundo podem não permitir que a conexão seja estabelecida. Mas o RDP é um ótimo alvo, por exemplo, para porta não padrão)Eu não mudaria a porta, mas no entanto nunca exporia o serviço de banco de dados diretamente pela internet. Apenas através de um túnel seguro como SSH. Alterar a porta do SSH pode ser uma boa ideia para minimizar o tráfego dos scanners.