Quale può essere una ragione per cui NON vuoi utilizzare la porta 443 per le comunicazioni SSL

Naviga le tue risposte
2

Ho una domanda molto aperta che non so se è permessa, ma sono così curioso di ogni possibile risposta.

Stiamo cercando di stabilire una connessione con un altro servizio per la mia azienda e il servizio web è ospitato su una VPN sulla porta 444 con SSL. Mi chiedo semplicemente perché NON si debba usare la porta standardizzata per SSL, 443. Ovviamente è teoricamente possibile ospitare comunicazioni SSL / HTTP su qualsiasi altra porta rispetto alla 443, ma non vedo un motivo per farlo.

L'unica ragione che posso immaginare è che i tuoi servizi web sono instradati in base al numero di porta. Quindi 443 va all'applicazione interna X e 444 va all'applicazione interna.

Qualcuno può darmi qualche spunto?

    
posta Adam Sitemap 24.08.2016 - 11:18
fonte

2 risposte

2

Ci sono diversi potenziali motivi:

  • Qualcosa è già in esecuzione su 443 e i due servizi sarebbero in conflitto
    • Ad esempio, l'agente di registro di Splunk esegue un "server web" locale; lo eseguono intorno al 9998 / tcp per evitare conflitti con un "web service" reale su quell'host
  • Il servizio non è un "server web" e il proprietario non vuole che venga trattato in questo modo
    • Non-HTTP come IMAPS o POP3S
    • API RESTful con output non visualizzabile da browser
  • Il servizio non ha i privilegi di root richiesti per una porta privilegiata Unix (nod @Josef)
  • Il proprietario percepisce c'è una maggiore sicurezza tramite l'oscurità di correre su una porta alternativa

Nessuno di questi è un solido motivo di sicurezza (anche se alcuni sono considerazioni architettoniche abbastanza ragionevoli). Se vuoi sicurezza, usa un firewall per limitare l'accesso e / o l'autenticazione robusta e / o un WAF.

    
risposta data 24.08.2016 - 17:00
fonte
3

La solita ragione per usare qualcos'altro rispetto a una porta ben nota è ridurre la superficie di attacco eludendo scansioni di porte conosciute.

Qui se la porta 443 non è aperta alcuni 'bot scans' considereranno che non è possibile l'accesso a https e non tenteranno i loro soliti attacchi su questo sistema.

Questa è la stessa ragione per non rispondere alle richieste ICMP pubblicamente.

    
risposta data 24.08.2016 - 12:03
fonte

Leggi altre domande sui tag

Come può l'intestazione Origin essere utilizzata per prevenire CSRF se Firefox non lo invia per le stesse richieste di origine o richieste dagli URI di dati? È un metodo sicuro per autenticare i pacchetti?