Onderwerp: Aanpassen poorten VPS

Dag Allemaal,

Heb een korte vraag en hoop dat iemand mij kan helpen.
Graag wil ik de standaard poorten voor ssh (22) en directadmin (2222) wijzigen op mijn VPS.
(werd mij ook geadviseerd vanuit Transip).

Echter als ik dit doe is de server niet meer bereikbaar op de nieuwe poort.
Kan het zijn dat elders (firewall?) iets open gezet moet worden?
Kan ik dat zelf of moet transip dat doen?

Ik heb de vraag bij hun neergelegd, maar zij geven hier geen support op.

Zou top zijn,als iemand mij hier even mee verder kan helpen.
mvg
Derek

Als je een firewall gebruikt dan is de kans groot dat je daar de poorten ook moet aanpassen (of je eigen ip op zijn minst whitelisten).
In geval van de csf firewall kun je dat eenvoudig in de ipv6/6 port settings aangeven.

Aanpassen van die poorten is hooguit schijnveiligheid is grofweg een slecht advies. Voor ssh kan je beter een aantal goede firewall rules instellen zodat alleen jij erbij kan (en een verdwaalde klant die perse via ssh/sftp wil connecten)
Voor 2222 zie ik weinig reden om van poort te wisselen, de ingebouwde brute force monitor werkt goed en de DA interface op een andere poort draaien gaat alleen verwarring (=extra telefoontjes) veroorzaken en geen extra veiligheid.

Oorspronkelijk geplaatst door Derek

Graag wil ik de standaard poorten voor ssh (22) en directadmin (2222) wijzigen op mijn VPS.
(werd mij ook geadviseerd vanuit Transip).

Ik heb de vraag bij hun neergelegd, maar zij geven hier geen support op.

Dat is op zijn minst wel grappig te noemen, ze geven advies maar geen support op hun eigen advies. Naast het feit zoals eerder vermeld dat het slecht advies is en niets extra toe draagt tot de daadwerkelijke veiligheid van je vps.

Verder hoop ik maar (voor je klanten) dat je ergens een goede beheerder achter de hand hebt als je al geen basis dingen kunt zoals een poort van een services veranderen of iptables deftig kunt instellen.

Ok, bedankt voor jullie input.
Klopt overigens over dat 'advies' van Transip. Vond het ook vreemd dat ze hiermee kwamen.
Heb overigens CSF icm DA geïnstalleerd. Daar kwam het advies van de poortwijziging ook naar voren. Vandaar.
Iig bedankt voor de hulp.

Het is ook helemaal geen slecht advies.

Stel je houdt je ssh poort op standaard 22 en je blocked ip's na 5 foute loginpogingen/portscans. Dan heb je bij een distrubuted brute force telkens 5 loginpogingen per remote ip adres.
Zet je daarentegen je poort op bv. 5000 (ik noem maar een random waarde) dan heb je van die brute force/portscan al gem. 498 ipadressen in je firewall geblocked voordat ze pas je poort gevonden hebben en daadwerkelijk kunnen gaan bruteforcen. Daarnaast voorkom je ook een hele hoop ellende/logmeldingen van standaard hackscriptjes.

Het is natuurlijk geen beveiliging, maar het is altijd slimmer om de inbreker niet te vertellen waar je voordeur is

Nog beter is natuurlijk, zoals al gezegd, om de boel helemaal te blokken en alleen jezelf/bepaalde klanten access te geven, ssh-keys te gebruiken, rootlogins uit te schakelen etc.

Ik vind het wel een slecht advies. Security by obscurity is altijd een slecht advies.

Het enige voordeel van standaard poorten wijzigen is dat je logfiles minder vol komen. OK, dat scheelt elektriciteit en dus kosten. Maar zeker voor een beginner heeft het aanpassen van die poorten een vrij grote impact.

Als je al begint aan het aanpassen van poorten, verplaats poort 80 dan ook naar 12380 en je logfiles blijven helemaal mooi schoon!

Oorspronkelijk geplaatst door systemdeveloper

Het is ook helemaal geen slecht advies.

Het is wel slecht advies, want het wordt als enige geadviseerd.

Nog beter is natuurlijk, zoals al gezegd, om de boel helemaal te blokken en alleen jezelf/bepaalde klanten access te geven, ssh-keys te gebruiken, rootlogins uit te schakelen etc.

Dit is wel goed advies

Als een echte hacker je wilt hebben, dan krijg hij je toch wel. Is het niet via je ssh poortje, dan is het wel een trojan, social enginering, een kwade medewerker, een niet-oplettende klant, een website exploit etc..etc...

Maar elk onderdeel dat een hacker frustreert is imho goed advies, maar dat betekent niet dat ik vind dat 1 ding voldoende is.

Oorspronkelijk geplaatst door systemdeveloper

Het is natuurlijk geen beveiliging, maar het is altijd slimmer om de inbreker niet te vertellen waar je voordeur is

En vooral verbaast kijken als je dan geen post meer krijgt.

Oorspronkelijk geplaatst door vDong

En vooral verbaast kijken als je dan geen post meer krijgt.

Van een inbreker hoef ik helemaal geen post.

Oorspronkelijk geplaatst door t.bloo

Ik vind het wel een slecht advies. Security by obscurity is altijd een slecht advies.

Het enige voordeel van standaard poorten wijzigen is dat je logfiles minder vol komen. OK, dat scheelt elektriciteit en dus kosten. Maar zeker voor een beginner heeft het aanpassen van die poorten een vrij grote impact.

Als _enige_ security is obscurity slecht.
Maar ik ben zeker fan van 'defense in depth', en er is niks mis mee als het eerste heuveltje een beetje laag is. Zolang daar achter nog een hoop meer zit.

Schone logfiles schelen veel meer dan elektriciteit, je kunt namelijk met een redelijk schone logfile veel meer resources (cpu of braincycles) richten op wat er nog wel in die logfile komt.
Wellicht dat je daar wat meer serieuze pogingen ziet, of verdachte patronen die anders verdrinken in de ruis van de portscannertjes.

In plaats van andere poorten kun je ook een variant van portknocking gebruiken.
Afhankelijk van waar legitiem gebruik vandaan komt kan het prettig zijn als dat op 'standaard' poorten zit, want op sommige netwerken is uitgaand verkeer naar niet-standaard poorten beperkt.
(Portknocking moet dan ook een knock zijn die zonder obscure zaken naar buiten komt).

Maar als het wijzigen van poorten al lastig is, is elk soort van verbeterde security (afgezien van 'huur iemand in die het wel kan') moeilijk.