Почему некоторые сетевые порты опасны и как их обезопасить? — CloudSavvy ИТ

Shutterstock / PeterPhoto123

Есть сетевой порт для каждого типа трафика. Некоторые порты подвержены большему риску, чем другие. Вот самые ужасные преступники и что вы можете сделать, чтобы их обезопасить.

Сетевая адресация

Сеть и Интернет Протокол управления транспортом / Интернет-протокол соединения производятся от одного айпи адрес к другому. Для удобства мы можем использовать имя веб-сайта, например cloudsavvyit.com, но это базовый IP-адрес, который используется для маршрутизации вашего подключения к соответствующему веб-серверу. То же самое работает и в обратном направлении. Сетевой трафик, который прибывает на вашем компьютере был направлен на его IP-адрес.

На вашем компьютере будет запущено множество программ и служб. На вашем рабочем столе могут быть открыты почтовая программа и браузер. Возможно, вы используете чат-клиент, например Слабина или же Команды Microsoft. Если вы администрируете удаленные машины, вы можете использовать безопасная оболочка (SSH) соединение. Если вы работаете из дома и вам нужно подключиться к своему офису, вы можете использовать Протокол удаленного рабочего стола (RDP) или Виртуальная частная сеть (VPN) соединение.

IP-адрес только идентифицирует компьютер. Это не может быть более детализированным, чем это. Но настоящая конечная точка для сетевого подключения — это запущенное приложение или служба. Итак, как ваш компьютер узнает, в какое приложение отправлять каждый сетевой пакет? Ответ заключается в использовании порты.

Когда курьер доставляет посылку в отель, адрес идентифицирует здание. Номер комнаты идентифицирует комнату и гостя отеля. Уличный адрес подобен IP-адресу, а номер комнаты подобен адресу порта. Приложения и службы используют определенные пронумерованные порты. Таким образом, фактическим местом назначения сетевого пакета является порт с IP-адресом. Этого достаточно, чтобы идентифицировать приложение или службу на конкретном компьютере, для которого предназначен пакет.

Стандартная нумерация портов

Некоторые порты предназначены для определенных типов трафика. Их называют известные порты. Остальные порты регистрируются приложениями и зарезервированы для их использования. Эти зарегистрированные порты. Существует третий набор портов, доступных для использования любым приложением. Они запрашиваются, выделяются, используются и освобождаются на к этому основание. Они называются эфемерные порты.

В соединении будет использоваться несколько портов. Сетевому соединению необходим порт на локальном конце соединения — на компьютере — для подключения к удаленному концу соединения — например, к веб-серверу. Если веб-сервер использует Безопасный протокол передачи гипертекста (HTTPS) удаленным портом будет порт 443. Ваш компьютер будет использовать любой из свободных эфемерных портов для подключения к порту 443 по IP-адресу веб-сервера.

Всего имеется 65535 портов TCP / IP (и столько же Протокол пользовательских датаграмм (UDP) порты).

  • 0–1023: Известные порты. Они распределяются между службами Управление по присвоению номеров в Интернете (IANA). Например, SSH по умолчанию использует порт 22, веб-серверы прослушивают безопасные соединения через порт 443 и Простой протокол передачи почты (SMTP) трафик использует порт 25.
  • 1024–49151: Зарегистрированные порты. Организации могут делать запросы в IANA для порта, который будет зарегистрирован для них и назначен для использования с приложением. Хотя эти зарегистрированные порты называются полурезервированными, их следует учитывать. зарезервированный. Они называются частично зарезервированными, потому что возможно, что регистрация порта больше не требуется, и порт освобождается для повторного использования. Однако, несмотря на то, что в настоящее время он не зарегистрирован, порт все еще находится в списке зарегистрированных портов. Он хранится в готовности к регистрации другой организацией. Примером зарегистрированного порта является порт 3389. Это порт, связанный с подключениями RDP.
  • 49152–65535: Эфемерные порты. Они используются клиентскими программами на специальной основе. Вы можете использовать их в любом написанном вами приложении. Обычно они используются в качестве локального порта внутри компьютера, когда он передает данные на хорошо известный или зарезервированный порт на другом устройстве, чтобы запросить и установить соединение.

Ни один порт не является безопасным по своей сути

Любой порт не более безопасен или подвержен риску, чем любой другой порт. Порт есть порт. Именно от того, для чего используется порт, и от того, насколько безопасно это использование используется, зависит, является ли порт безопасным.

Протокол, который используется для связи через порт, служба или приложение, которые потребляют или генерируют трафик, проходящий через порт, должны быть текущими реализациями и находиться в пределах периода поддержки производителя. Они должны получать обновления безопасности и исправления ошибок, и их следует применять своевременно.

Вот некоторые распространенные порты и способы их использования.

Порт 21, протокол передачи файлов

Небезопасный порт FTP, на котором размещен FTP-сервер, является огромным недостатком безопасности. Многие FTP-серверы имеют уязвимости, которые могут позволить анонимную аутентификацию, боковое перемещение в сети, доступ к повышение привилегий методы и — поскольку многими FTP-серверами можно управлять с помощью сценариев — средства развертывания межсайтовый скриптинг.

Вредоносные программы, такие как Dark FTP, Ramen и WinCrash, использовали небезопасные порты и службы FTP.

Порт 22, безопасная оболочка

Учетные записи Secure Shell (SSH), настроенные с использованием коротких, неуникальных, повторно используемых или предсказуемых паролей, небезопасны и могут быть легко взломаны с помощью атак по словарю паролей. Было обнаружено множество уязвимостей в прошлых реализациях служб и демонов SSH, и они все еще обнаруживаются. Установка исправлений жизненно важна для обеспечения безопасности с помощью SSH.

Порт 23, Telnet

Telnet — это устаревшая служба, от которой следует отказаться. Нет никакого оправдания использованию этого древнего и небезопасного средства текстового общения. Вся информация, которую он отправляет и получает через порт 23, отправляется в виде обычного текста. Шифрование вообще отсутствует.

Злоумышленники могут перехватить любое соединение Telnet и легко выбрать учетные данные для аутентификации. Они могут выполнять Атаки посредника путем внедрения специально созданных вредоносных пакетов в немаскированные текстовые потоки.

Даже не прошедший проверку подлинности удаленный злоумышленник может воспользоваться уязвимостью переполнения буфера в демоне или службе Telnet и, создавая вредоносные пакеты и вставляя их в текстовый поток, выполнять процессы на удаленном сервере. Это метод, известный как Удаленное (или произвольное) выполнение кода (RCE).

Порт 80, протокол передачи гипертекста

Порт 80 используется для незащищенных Протокол передачи гипертекста (HTTP) трафик. HTTPS почти заменил HTTP, но некоторые HTTP все еще существуют в сети. Другие порты, обычно используемые с HTTP, — это порты 8080, 8088, 8888. Они обычно используются на старых HTTP-серверах и веб-прокси.

Незащищенный веб-трафик и связанные порты уязвимы для межсайтовых сценариев и подделок, атак с переполнением буфера и Атаки с использованием SQL-инъекций.

Порт 1080, SOCKS прокси

НОСКИ — это протокол, используемый прокси-серверами SOCKS для маршрутизации и пересылки сетевых пакетов по TCP-соединениям на IP-адреса. Порт 1080 был одним из предпочтительных портов для вредоносных программ, таких как Mydoom и много червь и атаки отказа в обслуживании.

Порт 4444, протокол управления транспортом

Несколько руткит, черный вход, и троянский конь программное обеспечение открывает и использует порт 4444. Оно использует этот порт для перехвата трафика и сообщений, для собственных сообщений и для эксфильтрации данных с взломанного компьютера. Он также используется для загрузки новых вредоносных полезных данных. Вредоносное ПО, такое как Бластерный червь и его варианты использовали порт 4444 для установки бэкдоров.

Порт 6660 — 6669, Интернет-ретранслятор

Интернет-чат (IRC) началось в 1988 году в Финляндии, и продолжается до сих пор. В наши дни вам понадобится чугунное экономическое обоснование, чтобы разрешить IRC-трафик в вашу организацию.

За 20 с лишним лет использования IRC было обнаружено и использовалось бесчисленное количество уязвимостей. В UnrealIRCD В 2009 году у daemon был недостаток, делавший удаленное выполнение кода тривиальным делом.

Порт 161, протокол обмена небольшими сетевыми сообщениями

Некоторые порты и протоколы могут дать злоумышленникам много информации о вашей инфраструктуре. Порт 161 UDP привлекателен для злоумышленников, поскольку его можно использовать для опроса информации с серверов — как о них самих, так и об оборудовании и пользователях, которые находятся за ними.

Порт 161 используется Простой протокол управления сетью который позволяет злоумышленникам запрашивать такую ​​информацию, как оборудование инфраструктуры, имена пользователей, имена общих сетевых ресурсов и другую конфиденциальную информацию, то есть, для злоумышленника, оперативную информацию.

Порт 53, служба доменных имен

Злоумышленникам необходимо учитывать маршрут утечки, который их вредоносное ПО будет использовать для передачи данных и файлов из вашей организации на свои собственные серверы.

Порт 53 использовался в качестве предпочтительного порта эксфильтрации, поскольку трафик через Служба доменных имен редко контролируется. Злоумышленники могут легко маскировать украденные данные под трафик DNS и отправлять их на свой собственный поддельный DNS-сервер. Фальшивый DNS-сервер принял трафик и восстановил данные в исходном формате.

Памятные числа

Некоторые авторы вредоносных программ выбирают легко запоминающиеся последовательности чисел или повторяющиеся числа для использования в качестве портов. Для этого использовались порты 234, 6789, 1111, 666 и 8888. Обнаружение любого из этих странно выглядящих номеров портов, используемых в вашей сети, должно повлечь за собой более глубокое расследование.

Порт 31337, означающий элиту в позвольте говорить, — еще один распространенный номер порта для использования вредоносными программами. Его использовали как минимум 30 вариантов вредоносного ПО, включая Заднее отверстие и Bindshell.

Как защитить эти порты

Все порты должны быть закрыты, если нет задокументированного, проверенного и утвержденного экономического обоснования. Сделайте то же самое для открытых сервисов. Пароли по умолчанию необходимо изменить и заменить надежными уникальными паролями. По возможности следует использовать двухфакторную аутентификацию.

Все службы, протоколы, микропрограммы и приложения должны по-прежнему соответствовать жизненному циклу поддержки производителей, и для них должны быть доступны исправления безопасности и исправления ошибок.

Контролируйте порты, которые используются в вашей сети, и исследуйте любые странности или необъяснимые открытые порты. Поймите, как выглядит ваше обычное использование порта, чтобы можно было определить необычное поведение. Выполните сканирование портов и тесты на проникновение.

Закройте порт 23 и прекратите использование Telnet. Шутки в сторону. Просто перестань.

Порты SSH можно защитить с помощью аутентификации с открытым ключом и двухфакторной аутентификации. Также поможет настройка вашей сети на использование другого номера порта для трафика SSH.

Если вам необходимо использовать IRC, убедитесь, что он находится за брандмауэром, и потребуйте, чтобы пользователи IRC подключились к вашей сети через VPN, чтобы использовать его. Не позволяйте внешнему трафику напрямую попадать в ваш IRC.

Отслеживайте и фильтруйте DNS-трафик. Из порта 53 не должно выходить ничего, кроме подлинных DNS-запросов.

Примите стратегию глубокоэшелонированной защиты и сделайте свою защиту многоуровневой. Используйте межсетевые экраны на основе хоста и сети. Рассмотрим систему обнаружения вторжений (IDS), такую ​​как бесплатный Snort с открытым исходным кодом.

Отключите прокси, которые вы не настраивали или которые вам больше не нужны.

Некоторые возвращаемые строки SNMP содержат учетные данные по умолчанию в виде обычного текста. Отключите это.

Удалите нежелательные заголовки ответов HTTP и HTTPS и отключите баннеры, которые по умолчанию включаются в ответы от некоторого сетевого оборудования. Они напрасно выдают информацию, которая приносит пользу только злоумышленникам.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.