지금까지 보안 모범 사례의 일부로 SQL Server 연결에 기본 포트를 사용하지 않는 것이 좋습니다. 기본 인스턴스가 하나 인 서버에서는 기본적으로 다음 포트가 사용됩니다.
질문 :
답변:
지금까지 보안 모범 사례의 일부로 SQL Server 연결에 기본 포트를 사용하지 않는 것이 좋습니다.
그때 asinine이었고 여전히 asinine이었습니다. 확실 하지 않은 모호성을 통한 보안은 전혀 보안이 아닙니다.
이 조언이 여전히 관련이 있습니까?
IMHO 그것은 결코 관련이 없었습니다. 규정 준수를 작성하는 사람들이 IMHO를 다시 한 번 이해하지 못했기 때문에 일부 규정 준수 목적이 필요했습니다.
위의 모든 포트를 변경해야합니까?
나는 아무것도 바꾸지 않을 것이다.
모호성을 통한 보안이 실제 보안은 아니지만 도움이되는 경우는 없다고 말할 수는 없습니다.
공격자가 서비스의 청취 위치를 알고 자하는 경우 쉽게 찾을 수 있지만 바보 같은 자동 공격의 경우 포트를 변경하면 운이 좋을 수 있습니다.
내가 실제로 도움이 된 곳을 기억할 수있는 유일한 시간은 SQL Server 2000이 취약한 SQL Slammer 와 임의의 IP를 생성하고 기본 SQL Server 브라우저 포트에 연결하여 웜이 확산되는시기입니다.
올바르게 기억한다면, 즉시 패치를 할 수 없었거나 창을 가지고 있지 않았기 때문에 서버를 패치 할 수있을 때까지 포트를 변경하는 것이 공식적인 조언이었습니다.
방화벽이 아닌 인터넷에 SQL Server를 연결해야했을 때이 웜이 네트워크에 들어 오게하려고했지만, 기본 포트 번호가 아닌 포트 번호가 특정 경우에 도움이 될 수있었습니다.
그러나 귀하가 적절한 보안을 유지한다면 추가 한 복잡성이 사고를 예방할 가능성보다 중요하지 않다는 데 동의합니다.
예 , 여전히 유용합니다.
데이터베이스 포트가 손상 될 수있는 호스트에 대해 열려있는 경우 기본 포트 변경은 하나의 실제 목적입니다. 자동 스캔 / 공격으로부터 방어하십시오.
그렇게 들리지 않을 수도 있지만 다음을 기억하십시오.
그렇습니다. 표적 공격을 받는 경우에는 그 자체만으로는 도움이되지 않지만 , 임의의 포트를 사용하거나 임의의 IPv6 주소에서만 수신하도록 설정하면 눈에 덜 띄게되어 최소한 더 많은 시간을 할애 할 수 있습니다. 자동화 된 0 일 익스플로잇 스캔이 발생하기 전에 업그레이드하십시오 (그리고 이러한 자동화 된 스캔 자체를 완전히 차단할 수도 있습니다).
또한 공격자가 무차별 포트 캔으로 데이터베이스 포트를 악용하려고 시도하면 공격자 IP 범위를 블랙리스트로 검색하여 방어 할 수 있습니다. 내부 호스트가 공격의 소스로 탐지 된 경우 관리자에게 경고)
또한 서버 및 클라이언트의 기본 포트 (특히 자동으로 배포 된 경우)를 변경하는 것은 쉽지 않은 작업이며 무차별 검사를 검색하는 것도 쉽습니다. 당신이 정말로뿐만 아니라 데이터베이스 서버에 대해 (그 일을해야하므로,하지만 오버 헤드를 설정하는 모든 서비스에 대한 유용성 문제에 대한 금지로 인해되지 않습니다 : 웹에 대한 기본 포트 변경과 같은에서 80사용하지 않는 것이 좋습니다 어떤 사람들은 (그리고 봇 등) 전 세계의 임의의 방화벽은 연결을 허용하지 않을 수 있지만 RDP는 기본 포트가 아닌 포트의 경우 큰 대상입니다)