¿Cambiar el puerto de SQL Server es realmente mucho más seguro?

El puerto predeterminado de SQL Server es 1433. Nuestro administrador me ha dicho que el puerto debe cambiar "por razones de seguridad".

¿Es realmente mucho más seguro cambiar el puerto? Si el servidor está detrás de un firewall y solo permite conexiones desde un cierto rango de IP, ¿no es eso suficiente?

Ayuda contra escaneos de puertos comunes que pueden iniciarse a través de sitios web de escaneo de puertos. Pero no ayudará contra un atacante comprometido. Es solo otra capa, pero no agrega mucho sobre el firewall, como mencionaste.

Si sus servidores SQL están conectados directamente a Internet (que no deberían estarlo), entonces puede ofrecerle cierta protección, ya que la mayoría de los scripts de ataque genéricos solo usan los números de puerto predeterminados.

Si sus servidores SQL no son accesibles directamente desde Internet, esto no tiene sentido. Cualquier firewall deberá permitir la conectividad al puerto remoto. Tan pronto como ejecuto el software del cliente en la máquina, puedo ver qué puerto está utilizando SQL Server a través del comando NET STAT. En este punto me has frenado exactamente 2-3 segundos.

Romperá las aplicaciones que esperan el puerto 1433.
Algunas aplicaciones se pueden configurar para lidiar con esto, pero esto debe implementarse.

Solo lo dejaría. Si "piratean" su instancia predeterminada en el puerto 1433, entonces ya está bollixed.

Puede especificar el puerto para instancias con nombre, pero luego el puerto 1434 debe abrirse para resolver la instancia al puerto ...

Los hackers con frecuencia escanean las direcciones IP en busca de puertos de uso común, por lo que no es raro usar un puerto diferente para "volar por debajo del radar". Esto es solo para evitar la detección, aparte de que no hay seguridad adicional al usar un puerto diferente.

Si solo un rango de IP limitado puede acceder al puerto, entonces ya está "bajo el radar", por lo que no veo una buena razón para usar un puerto diferente.

Actualmente, si. Para usar otro ejemplo, el administrador del laboratorio de Linux de mi universidad cambió el puerto SSH de 22 a un valor oscuro. Informó que la red cayó de ~ 10,000 pings / ataques por día a aproximadamente 1 o 2 por mes. De acuerdo, si aún no estás sufriendo ese tipo de ataque, tal vez no valga la pena el esfuerzo en la mayoría de los casos. Aún así, al cambiar a un puerto alternativo discreto, evita ataques de sondas amplias y demás.

Creo que este es un problema de dos partes.

1) El software de escaneo de puertos común puede probar primero los puertos comunes, pero no hay nada que lo limite específicamente de probar todos los puertos, y debe ser capaz de asumir que podrá imprimir el protocolo cuando encuentre un puerto abierto .

2) Cuando ocurre el escaneo de puertos más agresivo, debe ser capaz de detectarlo y hacer algo con este conocimiento (como fail2ban, etc.)

Su administrador está proponiendo (1), pregunte qué ideas tiene con respecto a (2).

La seguridad a través de la oscuridad no es seguridad en absoluto.

Editar: una vez más, ¡ algunos dicen que sí ! Personalmente, continuaré adoptando mi punto original.

Cambiar el puerto los obligará a hacer un escaneo. Cuando usa una herramienta de seguridad como snort, con grifos de red o SPAN, entonces algo como un escaneo de puertos de su servidor se vuelve obvio. Alguien que se conecte legítimamente al servidor SQL en el puerto predeterminado no es tan obvio.

El mejor enfoque, estoy de acuerdo, no es la seguridad por oscuridad. Sin embargo, cambiar el puerto predeterminado en todas y cada una de las aplicaciones, cuando sea posible, es parte de una estrategia general más profunda que incluye actividades de equipo rojo, equipos de monitoreo de seguridad de red y toda la instrumentación correcta, instalada, madurada y comprendida por los que lo usan

Cuando tiene todas estas cosas, entonces un intruso en su sistema se destaca como un pulgar dolorido. El resultado final: si alguien piensa que puede mejorar la seguridad de sus sistemas marcando un montón de elementos en una lista, están equivocados. Si no pueden explicar por qué necesitan cambiar el puerto, en términos inequívocos, entonces no pertenecen al papel de alguien que le dice que cambie el puerto.

Cuando una aplicación se conecta a MS SQL a través de TCPIP, la primera parte de la conversación se lleva a cabo en 1433 con la instancia sin nombre predeterminada, entre otras cosas, la eliminación de cualquier número de puerto en el que se comuniquen las instancias con nombre. Cualquier cortafuegos debe estar configurado para a) dejar pasar los rangos de IP que sean apropiados, B) los números de puerto fijos que cualquier instancia con nombre puede estar usando. Estos deben configurarse en el administrador de configuración de SQL como arreglados. Puede comunicarse con cualquier instancia utilizando (dirección IP 192.168.22.55): (número de puerto 12345) en la cadena de conexión. Si el servicio del navegador SQL no está habilitado, 1433 no proporcionará la conversación inicial. Si está utilizando la autenticación NT, entonces hay poco que ganar. Si está utilizando la autenticación de SQL, hay una pequeña cantidad que ganar.