Netzwerk/L4/Port/Ändern: Unterschied zwischen den Versionen

Aus Foxwiki
K Dirkwagner verschob die Seite Transmission Control Protocol/Port/tmp/Standard-Ports ändern nach Standard-Ports ändern, ohne dabei eine Weiterleitung anzulegen
Keine Bearbeitungszusammenfassung
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=== Standard-Ports ändern ===
'''topic''' - Kurzbeschreibung
== Beschreibung ==
; Standard-Ports aus Sicherheitsgründen ändern?
; Standard-Ports aus Sicherheitsgründen ändern?
Standard-Ports, zwischen 0 und 1.023 haben den Nachteil, dass die Zuordnung zwischen Port-Nummer und Anwendung bekannt ist
Standard-Ports, zwischen 0 und 1023 haben den Nachteil, dass die Zuordnung zwischen Port-Nummer und Anwendung bekannt ist
* Was Absicht und auch gut ist
* Was Absicht und auch gut ist
* Ein Webbrowser weiß, dass ein Webserver auf Port 80 zu erreichen ist
* Ein Webbrowser weiß, dass ein Webserver auf Port 80 zu erreichen ist
* Somit muss sich der Anwender auf dieser Ebene um nichts kümmern
* Somit muss sich der Anwender auf dieser Ebene um nichts kümmern


Es gibt aber auch Anwendungen, die den Nutzer Authentifizieren müssen
; Es gibt aber auch Anwendungen, die den Nutzer Authentifizieren müssen
* Zum Beispiel bei SSH zur Remote-Steuerung oder Fernwartung von Computern
* Zum Beispiel bei SSH zur Remote-Steuerung oder Fernwartung von Computern
* Ein Angreifer macht sich mit dem Wissen, dass der SSH-Server auf Port 22 hört, zu Nutze, um seine Angriffe auf diesen Port gegen die Authentifizierung laufen zu lassen
* Ein Angreifer macht sich mit dem Wissen, dass der SSH-Server auf Port 22 hört, zu Nutze, um seine Angriffe auf diesen Port gegen die Authentifizierung laufen zu lassen
* Sein Ziel wäre, die Kontrolle über den Server per SSH zu übernehmen
* Sein Ziel wäre, die Kontrolle über den Server per SSH zu übernehmen


Wenn ein Angreifer einen Server unter seine Kontrolle bringen will, dann wird er also versuchen, den SSH-Server anzugreifen
; Wenn ein Angreifer einen Server unter seine Kontrolle bringen will, dann wird er also versuchen, den SSH-Server anzugreifen
* Um das zu verhindern, gehen manche Systemadministratoren dazu über, Dienste, wie zum Beispiel SSH, auf andere, als den Standard-Port hören zu lassen
* Um das zu verhindern, gehen manche Systemadministratoren dazu über, Dienste, wie zum Beispiel SSH, auf andere, als den Standard-Port hören zu lassen
* Damit erschweren Sie es Angreifern eventuelle Schwachstellen allzu leicht zu finden
* Damit erschweren Sie es Angreifern eventuelle Schwachstellen allzu leicht zu finden
* Denn wenn ein Angreifer einen SSH-Server nur auf Port 22 vermutet, der richtige Port aber woanders liegt, dann lässt sich auf diese Weise ein Angriff vielleicht verhindern
* Denn wenn ein Angreifer einen SSH-Server nur auf Port 22 vermutet, der richtige Port aber woanders liegt, dann lässt sich auf diese Weise ein Angriff vielleicht verhindern


Das ist allerdings nur bedingt richtig
; Das ist allerdings nur bedingt richtig
* Korrekt ist, dass man mit dem Verschleiern von Ports nur automatisierte Port-Scans und unerfahrende Script-Kiddies davon abhalten kann, angreifbare Dienste zu finden
* Korrekt ist, dass man mit dem Verschleiern von Ports nur automatisierte Port-Scans und unerfahrende Script-Kiddies davon abhalten kann, angreifbare Dienste zu finden
* Den erfahrenen Angreifer, der wirklich in ein System eindringen will, wird man so nicht davon abhalten, sondern seine Bemühungen höchstens etwas verzögern
* Den erfahrenen Angreifer, der wirklich in ein System eindringen will, wird man so nicht davon abhalten, sondern seine Bemühungen höchstens etwas verzögern


Dazu muss der Angreifer alle 65.536 Ports eines Systems scannen und die tatsächlich dahinter lauschenden Anwendungen prüfen
; Dazu muss der Angreifer alle 65536 Ports eines Systems scannen und die tatsächlich dahinter lauschenden Anwendungen prüfen
* Das ist natürlich aufwendig, aber nicht unvorstellbar
* Das ist natürlich aufwendig, aber nicht unvorstellbar
* Mit den richtigen Tools und etwas Zeit bekommt man schnell heraus, wenn ein SSH-Server auf einem anderen Port hört, als den Standard-Port
* Mit den richtigen Tools und etwas Zeit bekommt man schnell heraus, wenn ein SSH-Server auf einem anderen Port hört, als den Standard-Port


Standard-Ports zu ändern hat für normale Nutzer Nachteile
; Standard-Ports zu ändern hat für normale Nutzer Nachteile
* Die müssen wissen, auf welchem Port welcher Dienst läuft
* Die müssen wissen, auf welchem Port welcher Dienst läuft
* Da typische Clients von Standard-Ports ausgehen, muss bei der Adressierung immer der geänderte Port bekannt gegeben werden
* Da typische Clients von Standard-Ports ausgehen, muss bei der Adressierung immer der geänderte Port bekannt gegeben werden
Zeile 31: Zeile 32:
* Aus diesem Grund definiert man dann die Port-Vergabe wieder zentral, was dann allerdings den Nachteil hat, dass man es einem Angreifer dann wieder leichter macht
* Aus diesem Grund definiert man dann die Port-Vergabe wieder zentral, was dann allerdings den Nachteil hat, dass man es einem Angreifer dann wieder leichter macht


Eine grundsätzliche Empfehlung kann man nicht so einfach geben
; Eine grundsätzliche Empfehlung kann man nicht so einfach geben
* Das Anwendungen auf Standard-Ports leichter anzugreifen sind, ist klar
* Das Anwendungen auf Standard-Ports leichter anzugreifen sind, ist klar
* Allerdings muss man die Port-Änderung gut überlegen
* Allerdings muss man die Port-Änderung gut überlegen
Zeile 38: Zeile 39:
* Das verhindert, dass systematische Port-Scans auf einen offenen SSH-Port treffen
* Das verhindert, dass systematische Port-Scans auf einen offenen SSH-Port treffen


Andererseits muss man die aufgestellte Sicherheits-Policy anzweifeln, wenn Standard-Ports geändert werden müssen, weil ein Sicherheitsrisiko vorliegt
; Andererseits muss man die aufgestellte Sicherheits-Policy anzweifeln, wenn Standard-Ports geändert werden müssen, weil ein Sicherheitsrisiko vorliegt
* Wenn das so sein sollte, dann ist der eigentlich richtige Weg, Verbindungen von entfernten Rechnern auf diesen Port gar nicht zu erlauben
* Wenn das so sein sollte, dann ist der eigentlich richtige Weg, Verbindungen von entfernten Rechnern auf diesen Port gar nicht zu erlauben
* Zum Beispiel sollte der SSH-Server nur lokal, aber nicht aus dem öffentlichen Netz erreichbar sein
* Zum Beispiel sollte der SSH-Server nur lokal, aber nicht aus dem öffentlichen Netz erreichbar sein


Wenn es sich nicht vermeiden lässt, dann muss man sich darüber im Klaren sein, dass auf so einem Server keine kritischen Daten liegen und Anwendungen laufen dürfen
; Wenn es sich nicht vermeiden lässt, dann muss man sich darüber im Klaren sein, dass auf so einem Server keine kritischen Daten liegen und Anwendungen laufen dürfen
* Denn ein solches System ist grundsätzlich angreifbar
* Denn ein solches System ist grundsätzlich angreifbar
* In so einem Fall sind dann zusätzliche Sicherheitsmaßnahmen notwendig
* In so einem Fall sind dann zusätzliche Sicherheitsmaßnahmen notwendig
* Das Ändern des Standard-Ports ist dann nur eine Option
* Das Ändern des Standard-Ports ist dann nur eine Option
<noinclude>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Netzwerk/L4/Port}}
==== Links ====
===== Weblinks =====
</noinclude>
[[Kategorie:Netzwerk/L4/Port]]

Aktuelle Version vom 2. Februar 2024, 01:49 Uhr

topic - Kurzbeschreibung

Beschreibung

Standard-Ports aus Sicherheitsgründen ändern?

Standard-Ports, zwischen 0 und 1023 haben den Nachteil, dass die Zuordnung zwischen Port-Nummer und Anwendung bekannt ist

  • Was Absicht und auch gut ist
  • Ein Webbrowser weiß, dass ein Webserver auf Port 80 zu erreichen ist
  • Somit muss sich der Anwender auf dieser Ebene um nichts kümmern
Es gibt aber auch Anwendungen, die den Nutzer Authentifizieren müssen
  • Zum Beispiel bei SSH zur Remote-Steuerung oder Fernwartung von Computern
  • Ein Angreifer macht sich mit dem Wissen, dass der SSH-Server auf Port 22 hört, zu Nutze, um seine Angriffe auf diesen Port gegen die Authentifizierung laufen zu lassen
  • Sein Ziel wäre, die Kontrolle über den Server per SSH zu übernehmen
Wenn ein Angreifer einen Server unter seine Kontrolle bringen will, dann wird er also versuchen, den SSH-Server anzugreifen
  • Um das zu verhindern, gehen manche Systemadministratoren dazu über, Dienste, wie zum Beispiel SSH, auf andere, als den Standard-Port hören zu lassen
  • Damit erschweren Sie es Angreifern eventuelle Schwachstellen allzu leicht zu finden
  • Denn wenn ein Angreifer einen SSH-Server nur auf Port 22 vermutet, der richtige Port aber woanders liegt, dann lässt sich auf diese Weise ein Angriff vielleicht verhindern
Das ist allerdings nur bedingt richtig
  • Korrekt ist, dass man mit dem Verschleiern von Ports nur automatisierte Port-Scans und unerfahrende Script-Kiddies davon abhalten kann, angreifbare Dienste zu finden
  • Den erfahrenen Angreifer, der wirklich in ein System eindringen will, wird man so nicht davon abhalten, sondern seine Bemühungen höchstens etwas verzögern
Dazu muss der Angreifer alle 65536 Ports eines Systems scannen und die tatsächlich dahinter lauschenden Anwendungen prüfen
  • Das ist natürlich aufwendig, aber nicht unvorstellbar
  • Mit den richtigen Tools und etwas Zeit bekommt man schnell heraus, wenn ein SSH-Server auf einem anderen Port hört, als den Standard-Port
Standard-Ports zu ändern hat für normale Nutzer Nachteile
  • Die müssen wissen, auf welchem Port welcher Dienst läuft
  • Da typische Clients von Standard-Ports ausgehen, muss bei der Adressierung immer der geänderte Port bekannt gegeben werden
  • Das ist einerseits unbequem
  • Andererseits wird es schnell kompliziert, wenn verschiedene Systeme für den gleichen Dienst unterschiedliche Port-Nummern aufweisen
  • Aus diesem Grund definiert man dann die Port-Vergabe wieder zentral, was dann allerdings den Nachteil hat, dass man es einem Angreifer dann wieder leichter macht
Eine grundsätzliche Empfehlung kann man nicht so einfach geben
  • Das Anwendungen auf Standard-Ports leichter anzugreifen sind, ist klar
  • Allerdings muss man die Port-Änderung gut überlegen
  • Wo es sinnvoll ist, ist bei Systemen, die über das Internet erreichbar sind
  • Um die Last auf die Systeme zu begrenzen, macht es Sinn Standard-Ports für SSH und andere Remote-Zugängen zu ändern
  • Das verhindert, dass systematische Port-Scans auf einen offenen SSH-Port treffen
Andererseits muss man die aufgestellte Sicherheits-Policy anzweifeln, wenn Standard-Ports geändert werden müssen, weil ein Sicherheitsrisiko vorliegt
  • Wenn das so sein sollte, dann ist der eigentlich richtige Weg, Verbindungen von entfernten Rechnern auf diesen Port gar nicht zu erlauben
  • Zum Beispiel sollte der SSH-Server nur lokal, aber nicht aus dem öffentlichen Netz erreichbar sein
Wenn es sich nicht vermeiden lässt, dann muss man sich darüber im Klaren sein, dass auf so einem Server keine kritischen Daten liegen und Anwendungen laufen dürfen
  • Denn ein solches System ist grundsätzlich angreifbar
  • In so einem Fall sind dann zusätzliche Sicherheitsmaßnahmen notwendig
  • Das Ändern des Standard-Ports ist dann nur eine Option


Anhang

Siehe auch

Links

Weblinks