SQL Serverの既定のポートを使用しないことは、依然としてベストプラクティスですか？

あいまいさによるセキュリティは実際のセキュリティではありませんが、それが役立つケースはないとは言いません。

攻撃者がサービスがリッスンしている場所を知りたい場合は、簡単に見つけることができますが、無意味な自動攻撃が発生した場合、ポートを変更すれば幸運である可能性があります。

SQL Slammer がSQL Server 2000に脆弱で、ワームがランダムなIPを生成し、デフォルトのSQL Serverブラウザーポートに接続することで拡散したとき、それが実際に役に立った場所を思い出すことができます。

私が正しく思い出した場合、サーバーにパッチを適用できるようになるまでポートを変更することは、当時の公式なアドバイスでした（すぐに利用できるパッチがなかったか、ウィンドウがないため）。

そのワームがネットワークに侵入するときに、ファイアウォールの背後ではなく、SQL Serverをインターネットに接続する必要がありましたが、そうするべきではありませんが、とにかく、その特定のケースでは、デフォルト以外のポート番号が役立ちました。

ただし、適切なセキュリティを導入している場合、追加する複雑さは、インシデントを防止する可能性を上回らないことに同意します。

これまで、セキュリティのベストプラクティスの一環として、SQL Serverへの接続にデフォルトポートを使用しないことが推奨されていました

いいえ、そうではありませんでした。一部の見当違いの人がそれをそのように提示した可能性がありますが、私は20年以上セキュリティを行っており、デフォルトポートの変更は常に一種の「これは、場合によっては非常に特定の状況で、一部の非常に特定の脅威に対する追加のセキュリティ」.

このアドバイスはまだ関連していますか？

非常に特殊な状況下では、脅威モデルとリスク分析によっては、これが適切なアドバイスとなる場合があります。ほとんどの場合、それは関係ありませんし、今までもそうではありませんでした。

[〜＃〜]はい[〜＃〜]、それでもまだ役に立ちます。

デフォルトのポートを変更することには、本当の目的が1つだけあります。データベースサーバーが、危険にさらされる可能性のあるホストに対して開かれている場合に、自動スキャン/攻撃を防ぐことです。

それは大したことのように聞こえないかもしれませんが、以下を覚えておいてください：

• 任意のホストが危険にさらされる可能性があります（または、データベースサーバーが何らかのミスによりインターネット全体に公開される可能性があります）
• 当時のほとんどの攻撃は自動化攻撃であり、それらの多くはデフォルトのポートのみ（ぶら下がりの少ない果物を狙うのが最も効率的です）。

だから、はい、それだけではtargeted攻撃を受けている場合、ランダムなポートを使用して（および/またはランダムなIPv6でリッスンするようにすると）、それ自体はあまり役に立ちませんアドレスのみ）表示されなくなります。したがって、自動化された0dayエクスプロイトスキャンがヒットする前にアップグレードするためのより多くの時間を提供します（そして、そのような自動化されたスキャンから完全に保護されます！）

さらに（これは、すべての自動化された攻撃だけでなく、一部の標的型攻撃に対しても役立ちます）攻撃者がブルートフォースポートスキャンによってデータベースポートを見つけて悪用しようとすると、（攻撃者のIP範囲をブラックリストに登録することによって）検出および防御できます、および一部の内部ホストが攻撃のソースとして検出された場合は管理者に警告します）

また、サーバーとクライアントのデフォルトポートを変更すること（特にそれらが自動的に展開される場合）は簡単な作業であり、ブルートフォーススキャンの検出も簡単です。したがって、実際にそれを行う必要があります（データベースサーバーだけでなく、使いやすさの問題のために設定のオーバーヘッドが禁止されていないすべてのサービスの場合：Webのデフォルトポートを80から変更するなど人々（およびボット）はそれを台無しにし、世界中のランダムなファイアウォールが接続の確立を許可しない可能性があります。ただし、RDPは、デフォルト以外のポートなどの優れたターゲットです）

ポートは変更しませんが、インターネット経由でデータベースサービスを直接公開することはありません。 SSHのような安全なトンネルを介してのみ。 SSHのポートを変更すると、スキャナーによるトラフィックを最小限に抑えることができます。