SQL Server에 기본 포트를 사용하지 않는 것이 여전히 모범 사례입니까?


21

지금까지 보안 모범 사례의 일부로 SQL Server 연결에 기본 포트를 사용하지 않는 것이 좋습니다. 기본 인스턴스가 하나 인 서버에서는 기본적으로 다음 포트가 사용됩니다.

  • SQL Server 서비스-포트 1433 (TCP)
  • SQL Server Browser 서비스-포트 1434 (UDP)
  • 전용 관리자 연결-포트 1434 (TCP)

질문 :

  • 이 조언이 여전히 관련이 있습니까?
  • 위의 모든 포트를 변경해야합니까?

1
아마이 게시물이 도움이 될 수 있습니다 dba.stackexchange.com/questions/213810/…
igelr

답변:


68

지금까지 보안 모범 사례의 일부로 SQL Server 연결에 기본 포트를 사용하지 않는 것이 좋습니다.

그때 asinine이었고 여전히 asinine이었습니다. 확실 하지 않은 모호성을 통한 보안은 전혀 보안이 아닙니다.

이 조언이 여전히 관련이 있습니까?

IMHO 그것은 결코 관련이 없었습니다. 규정 준수를 작성하는 사람들이 IMHO를 다시 한 번 이해하지 못했기 때문에 일부 규정 준수 목적이 필요했습니다.

위의 모든 포트를 변경해야합니까?

나는 아무것도 바꾸지 않을 것이다.


11

모호성을 통한 보안이 실제 보안은 아니지만 도움이되는 경우는 없다고 말할 수는 없습니다.

공격자가 서비스의 청취 위치를 알고 자하는 경우 쉽게 찾을 수 있지만 바보 같은 자동 공격의 경우 포트를 변경하면 운이 좋을 수 있습니다.

내가 실제로 도움이 된 곳을 기억할 수있는 유일한 시간은 SQL Server 2000이 취약한 SQL Slammer 와 임의의 IP를 생성하고 기본 SQL Server 브라우저 포트에 연결하여 웜이 확산되는시기입니다.

올바르게 기억한다면, 즉시 패치를 할 수 없었거나 창을 가지고 있지 않았기 때문에 서버를 패치 할 수있을 때까지 포트를 변경하는 것이 공식적인 조언이었습니다.

방화벽이 아닌 인터넷에 SQL Server를 연결해야했을 때이 웜이 네트워크에 들어 오게하려고했지만, 기본 포트 번호가 아닌 포트 번호가 특정 경우에 도움이 될 수있었습니다.

그러나 귀하가 적절한 보안을 유지한다면 추가 한 복잡성이 사고를 예방할 가능성보다 중요하지 않다는 데 동의합니다.


9

지금까지 보안 모범 사례의 일부로 SQL Server 연결에 기본 포트를 사용하지 않는 것이 좋습니다.

아뇨. 일부 잘못 안내 된 사람들이이를 제시했을 수도 있지만, 20 년 이상 보안을 유지해 왔으며 기본 포트를 변경하는 것은 항상 일종의 "특별한 상황에서 때때로 매우 특정한 위협에 대한 추가적인 보안 "

이 조언이 여전히 관련이 있습니까?

매우 특정한 상황에서는 위협 모델 및 위험 분석에 따라 이것이 적절한 조언 일 수 있습니다. 대부분의 경우, 아닙니다. 그것은 관련성이 없으며 그 어느 것도 아닙니다.


7

, 여전히 유용합니다.

데이터베이스 포트가 손상 될 수있는 호스트에 대해 열려있는 경우 기본 포트 변경은 하나의 실제 목적입니다. 자동 스캔 / 공격으로부터 방어하십시오.

그렇게 들리지 않을 수도 있지만 다음을 기억하십시오.

  • 모든 호스트가 손상 될 수 있습니다 (또는 실수로 인해 데이터베이스 서버가 인터넷에 크게 노출 될 수 있음)
  • 그 당시 대부분의 공격은 자동화 된 공격 이며, 대부분은 기본 포트만 시도 합니다 (낮은 행잉 과일을 목표로하는 것이 가장 효율적 임).

그렇습니다. 표적 공격을 받는 경우에는 그 자체만으로는 도움이되지 않지만 , 임의의 포트를 사용하거나 임의의 IPv6 주소에서만 수신하도록 설정하면 눈에 덜 띄게되어 최소한 더 많은 시간을 할애 할 수 있습니다. 자동화 된 0 일 익스플로잇 스캔이 발생하기 전에 업그레이드하십시오 (그리고 이러한 자동화 된 스캔 자체를 완전히 차단할 수도 있습니다).

또한 공격자가 무차별 포트 캔으로 데이터베이스 포트를 악용하려고 시도하면 공격자 IP 범위를 블랙리스트로 검색하여 방어 할 수 있습니다. 내부 호스트가 공격의 소스로 탐지 된 경우 관리자에게 경고)

또한 서버 및 클라이언트의 기본 포트 (특히 자동으로 배포 된 경우)를 변경하는 것은 쉽지 않은 작업이며 무차별 검사를 검색하는 것도 쉽습니다. 당신이 정말로뿐만 아니라 데이터베이스 서버에 대해 (그 일을해야하므로,하지만 오버 헤드를 설정하는 모든 서비스에 대한 유용성 문제에 대한 금지로 인해되지 않습니다 : 웹에 대한 기본 포트 변경과 같은에서 80사용하지 않는 것이 좋습니다 어떤 사람들은 (그리고 봇 등) 전 세계의 임의의 방화벽은 연결을 허용하지 않을 수 있지만 RDP는 기본 포트가 아닌 포트의 경우 큰 대상입니다)


1

포트를 변경하지는 않지만 인터넷을 통해 데이터베이스 서비스를 직접 노출하지 마십시오. SSH와 같은 보안 터널을 통해서만 가능합니다. 스캐너의 트래픽을 최소화하려면 SSH 포트를 변경하는 것이 좋습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.