¿Cuál puede ser la razón por la que NO desea usar el puerto 443 para las comunicaciones SSL?

2

Tengo una pregunta muy abierta que no sé si está permitida pero tengo mucha curiosidad acerca de cualquier posible respuesta.

Estamos intentando establecer una conexión con otro servicio para mi empresa y el servicio web se hospeda a través de una VPN en el puerto 444 con SSL. Solo me pregunto por qué NO debería querer usar el puerto estandarizado para SSL, 443. Por supuesto, es teóricamente posible alojar la comunicación SSL / HTTP en cualquier otro puerto que no sea el 443 pero no veo una razón para hacerlo.

La única razón por la que puedo imaginar es que sus servicios web se enrutan según el número de puerto. Entonces, 443 va a la aplicación interna X y 444 va a la aplicación interna.

¿Alguien me puede dar algunas ideas?

    
pregunta Adam Sitemap 24.08.2016 - 11:18
fuente

2 respuestas

2

Hay varias razones posibles:

  • Algo ya se está ejecutando en 443 y los dos servicios podrían entrar en conflicto
    • Por ejemplo, el agente de registro de Splunk ejecuta un "servidor web" local; lo ejecutan alrededor de 9998 / tcp para evitar conflictos con un servicio web "real" en ese host
  • El servicio no es un "servidor web" y el propietario no quiere que sea tratado de esa manera
    • No HTTP como IMAPS o POP3S
    • API REST con salida no reproducible por navegador
  • El servicio carece de privilegios de root necesarios para un puerto con privilegios de Unix (nod @Josef)
  • El propietario percibe hay seguridad adicional a través de la oscuridad de la ejecución en un puerto alternativo

Ninguno de estos son motivos de seguridad sólidos (aunque algunos son consideraciones arquitectónicas bastante razonables). Si desea seguridad, use un firewall para limitar el acceso y / o la autenticación robusta y / o un WAF.

    
respondido por el gowenfawr 24.08.2016 - 17:00
fuente
3

La razón habitual para usar algo más que un puerto conocido es reducir la superficie de ataque evitando los escaneos de puertos conocidos.

Aquí, si el puerto 443 no está abierto, algunos 'escaneos de bot' considerarán que no es posible acceder a https y no intentarán sus ataques habituales en este sistema.

Esta es la misma razón para no responder a las solicitudes de ICMP públicamente.

    
respondido por el Tensibai 24.08.2016 - 12:03
fuente

Lea otras preguntas en las etiquetas