Hey Leute, Ist es sicherer wenn alle Ports auf seinen Server verändert?
Bzw. besser gesagt am Server Original lässt aber alle Ports am Router mit Portweiterleitung verändert zb SSH, Webmin etc?
Oder ist das Sicherheitstechnisch völlig egal?
Anmeldungsdatum: Beiträge: 85 Wohnort: Wien |
Hey Leute, Ist es sicherer wenn alle Ports auf seinen Server verändert? Bzw. besser gesagt am Server Original lässt aber alle Ports am Router mit Portweiterleitung verändert zb SSH, Webmin etc? Oder ist das Sicherheitstechnisch völlig egal? |
Supporter
Anmeldungsdatum: Beiträge: 53597 Wohnort: Berlin |
Sicherer kaum, du bekommst höchstens kleinere Logfiles.
Es geht dir um Sicherheit und du nutzt Webmin? Keine weiteren Fragen. |
Moderator, Webteam
Anmeldungsdatum: Beiträge: 5335 |
Nicht der Port ist die Sicherheitsluecke, sondern die Software die darueber erreicht werden kann. Wenn du den Port veraendert, aendert sich folglich nur dein subjektives Sicherheitsgefuehl, nicht aber die reale Bedrohung. Wenn du dein Setup sicherer gestalten moechtest, kannst du es hier beschreiben und wir geben dir gerne Hinweise darauf, was man verbessern kann/sollte. |
Ehemalige
Anmeldungsdatum: Beiträge: 12335 Wohnort: Berlin |
Wenn ich mein Haus umbaue und um 90° drehe, so dass alle Türen und Fenster in einer anderen Hauswand sind, ist mein Haus dann sicherer?
Sinnvoller wäre es die Dienste, die hinter den Ports auf Anfragen warten, sinnvoll zu konfigurieren und so abzusichern das da keiner rein kommt. Um bei dem Beispiel von oben zu bleiben: Bessere Schlösser verbauen ist sinnvoller als die Tür wo anders hin zu stellen. Bei SSH zum Beispiel nur Logins über Schlüssel erlauben, nicht mit Passwort, keinen leicht zu erratenden Benutzernamen wie root verwenden. Und kein webmin benutzen, aber das hat tomtomtom ja schon gesagt. ~jug |
Anmeldungsdatum: Beiträge: 38 |
jug schrieb:
Lustiger Vergleich... ☺ Ein Sicherheitsgewinn ist es sicherlich nicht, wenn man bestimmte Dienste auf anderen Ports lauschen lässt. Da sind wir uns (hoffentlich) alle einig... In erster Linie müssen die Dienste sinnvoll konfiguriert sein (wurde ja schon erwähnt: Kein SSH-Login mit Passwörtern etc.). ABER: Meiner Meinung nach ist es schon ein Vorteil, wenn man vom Standard-Port abweicht. Ich selber betreibe mehrere vServer, die öffentlich erreichbar sind. Früher lief z.B. der SSH-Server auf dem Default-Port 22 - dies führte dazu, dass irgendwelche "Script-Kiddies" meinen Server regelmäßig bombardierten. Irgendwann hatte ich denn die Nase voll und habe den Port auf 9105 (oder ähnlich) gewechselt - seit dieser Zeit ist Ruhe.
Gruß, Daniel |
Moderator, Webteam
Anmeldungsdatum: Beiträge: 5335 |
Und nur weil jetzt nichts mehr in den Logfiles steht, ist dein Server nun sicherer? Fuer Angriffe hat sich nichts geaendert, lediglich ein direkter Scan auf diesem Port liefert kein Ergebnis mehr. Portscans sind billig (von den Ressourcen). Einen Port im gesamten Internet kannst du in unter 5 Minuten Scannen. Fuer ein paar Ports mehr und eingeschraenkte Netze sind dann halt Tage. |
Ehemalige
Anmeldungsdatum: Beiträge: 12335 Wohnort: Berlin |
Manche würden jetzt argumentieren, dass man sich damit einige andere Probleme schafft. Zum Beispiel können Dienste auf niedrigen Ports nur vom System bzw root gestartet werden. Ist SSH auf einem Port >1024 gestartet, kann man sich nie wirklich sicher sein, ob das ein legitimer Dienst ist, oder ob der von einem Angreifer (oder einer Schadsoftware) dort gestartet wurde. Das gilt natürlich auch für andere Dienste. Ich habe auch schon häufier Kompatibilitätsprobleme mit Anwendungen gehabt, wenn sich auf den Clients der Port nicht spezifizieren lässt, die Clients dann also nicht mehr verbinden wollen, weil der Port eine andere Nummer hat … Wenn du nur angst hast, dass deine Logfiles voll laufen, gibt es zwei mögliche Ansätze:
~jug |