Door NedFox: Nu gebruik ik zelf deze poorten sowieso al niet en ik neem aan dat iedereen die een server heeft draaien ook wel weet dat je deze poorten niet moet gebruiken of op zijn minst daar een alternatieve poort voor in moet stellen.
Security by obscurity helpt echt niet; een RDP server op een andere poort natten, of je SQL server op poort 1435 draaien geeft wel minder pogingen, maar die pogingen die daadwerkelijk op die poorten worden uitgevoerd zijn normaal gesproken "more sophisticated".
Ik ben het dus niet eens met je stelling; je vraag vloeit uit je stelling, mijn antwoord hierboven.
Het is heel goedkoop om standaard poorten uit te vragen (weinig tot geen moeite); een klein percentage van honderduizenden pogingen is nog steeds een fijn aantal. Maar je servers op een andere poort patten/natten maakt je niet veiliger !
Uiteraard is alleen "Security bij Obscurity" niet voldoende om je systemen tegen aanvallen te beschermen.
Desondanks heeft het wel degelijk zin om de meest aangevallen poorten, zoals bijvoorbeeld poort 22, naar een andere poort om te zetten.
Dit omdat 99,9% van de aanvallers, na aan een bepaalde poort gerammeld te hebben, verder gaan met het volgende ip adres omdat het voor hen veel makkelijker is om te kijken of bij het volgende ip adres die poort toevallig wel open staat.
Ik zelf (maar ik werk dan ook niet voor bekende organisaties) heb het nog nooit meegemaakt dat een aanvaller, na te hebben geconstateerd dat een poort dicht stond, met bijvoorbeeld een nmap scan mijn systemen nader onder de loep nam. Laat staan dat daarna nog een serieuze poging werd ondernomen om mijn systemen te hacken.
Wat in feite betekent dat als je de meest aangevallen poorten in je systeem achter een ander poortnummer "verstopt" je daarmee al gauw 99% van alle aanvallen op je systeem elimineert. Vandaar dat ik zo nieuwsgierig ben naar de succes rate van de aanvallen.
Maar je moet daar natuurlijk niet alleen op vertrouwen. Zo is bijvoorbeeld naast het gebruik van bijvoorbeeld "snort" mijn ook nog eens "verstopte" poort 22 alleen toegankelijk met key-based ssh en dan nog alleen vanaf een bepaald ip adres.
En dat, zoals een van de andere reacties hier stelde, dat alleen aanvallers deze succes rate zouden weten is volstrekte onzin. Zo zie ik dat bijvoorbeeld ook veel onderzoeks en beveiligings instituten aan mijn poorten rammelen om te zien of die soms open staan. En die krijgen daardoor wel degelijk een goed inzicht in de succes rate van de aanvallen. Jammer genoeg zijn dat steeds commerciële organisaties die dat soort gegevens alleen aan hun eigen klanten ter beschikking stellen. Maar wellicht weet iemand hier een adres waar dat soort gegevens wel vrij toegankelijk is.