Miért kockázatosak egyes hálózati portok, és hogyan védi őket? – CloudSavvy IT

Avatar admin | 2021.01.08. 14 Views 0 Likes 0 Ratings

14 Views 0 Ratings Rate it

Shutterstock / PeterPhoto123

Van minden hálózati forgalomhoz hálózati port. Egyes kikötők nagyobb kockázatnak vannak kitéve, mint mások. Itt vannak a legsúlyosabb elkövetők, és mit tehetsz azok biztosítása érdekében.

Hálózati címzés

Hálózat és internet Transport Control Protocol / Internet Protocol a kapcsolatok egyből jönnek létre IP-cím másiknak. A kényelem érdekében használhatunk egy webhely nevet, például cloudsavvyit.com, de ez az alapul szolgáló IP-cím, amely a kapcsolat átirányításához a megfelelő webszerverhez. Ugyanez fordítva is működik. A hálózati forgalom megérkezik számítógépének IP-címe felé irányul.

Számítógépén rengeteg program és szolgáltatás fut majd. Előfordulhat, hogy az asztalon nyitott egy e-mail alkalmazás és egy böngésző. Talán olyan chat-klienst használ, mint például Laza vagy Microsoft Teams. Ha távoli gépeket adminisztrál, akkor valószínűleg a biztonságos héj (SSH) kapcsolat. Ha otthon dolgozik, és csatlakoznia kell az irodájához, használhatja a Távoli asztali protokoll (RDP) kapcsolat vagy a Virtuális magán hálózat (VPN) kapcsolat.

Az IP-cím csak a számítógépet azonosítja. Ennél szemcsésebb nem lehet. De a hálózati kapcsolat valódi végpontja egy alkalmazás vagy szolgáltatás futtatása. Tehát honnan tudja a számítógép, hogy melyik alkalmazásnak küldje el az egyes hálózati csomagokat? A válasz a kikötők.

Amikor egy futár szállít egy csomagot egy szállodába, az utca címe azonosítja az épületet. A szoba száma azonosítja a szobát és a szálloda vendégét. Az utca címe megegyezik az IP-címmel, a szoba száma pedig a port címével. Az alkalmazások és szolgáltatások speciális, számozott portokat használnak. Tehát a hálózati csomag tényleges rendeltetési helye egy IP-címen található port. Ez elegendő az alkalmazás vagy szolgáltatás azonosításához egy adott számítógépen, amelynek a csomagot szánják.

Standard port számozás

Egyes portok a forgalom meghatározott típusainak vannak szentelve. Ezeket nevezzük jól ismert kikötők. A többi portot az alkalmazások regisztrálják, és használatukra fenntartják. Ezek a bejegyzett kikötők. Van egy harmadik portkészlet, amely minden alkalmazás számára elérhető. Felkérik, kiosztják, felhasználják és felszabadítják őket egy ad hoc alapján. Ezeket ún mulandó kikötők.

Portok keverékét fogják használni a kapcsolathoz. A hálózati kapcsolatnak szüksége van egy portra a kapcsolat helyi végén – a számítógépen -, például a webszerverhez való csatlakozáshoz. Ha a webszerver használja Hypertext Transfer Protocol Secure (HTTPS) a távoli port a 443-as port lesz. A számítógép bármelyik szabad, efemer portot felhasználja, hogy kapcsolatot létesítsen a 443-as porttal a webszerver IP-címén.

65535 TCP / IP port van (és ugyanannyi Felhasználói Datagram Protokoll (UDP) portok).

  • 0 – 1023: Jól ismert kikötők. Ezeket a Internet hozzárendelt számok hatósága (IANA). Például az SSH alapértelmezés szerint a 22-es portot használja, a webszerverek biztonságos kapcsolatokat hallgatnak a 443-as porton, és Egyszerű levélátviteli protokoll (SMTP) forgalom a 25. portot használja.
  • 1024 – 49151: Regisztrált portok. A szervezetek kérhetnek az IANA-hoz egy olyan portot, amelyet regisztrálnak nekik, és egy alkalmazáshoz rendelnek hozzá. Bár ezeket a bejegyzett portokat félig fenntartottnak nevezik, figyelembe kell venni őket fenntartott. Félig fenntartottnak nevezik őket, mert lehetséges, hogy a kikötő regisztrációja már nem szükséges, és a kikötő felszabadul újrafelhasználás céljából. A port azonban – bár jelenleg nincs regisztrálva – továbbra is a regisztrált portok listáján szerepel. Készen áll arra, hogy egy másik szervezet bejegyezze. A regisztrált portokra példa a 3389 port. Ez az RDP kapcsolatokhoz társított port.
  • 49152 – 65535: Múlandó kikötők. Ezeket eseti alapon használják az ügyfélprogramok. Ezeket bármilyen írott alkalmazásban szabadon használhatja. Általában helyi portként használják őket a számítógép belsejében, amikor egy másik eszköz egy jól ismert vagy lefoglalt portjára továbbítanak kapcsolatot a kapcsolat kérése és létrehozása érdekében.

Nincs kikötő eredendően biztonságos

Egy adott kikötő sem biztonságosabb vagy veszélyeztetettebb, mint bármely más kikötő. A port egy kikötő. A port használatának diktáltsága és az, hogy mennyire biztonságosan kezelik a felhasználást, meghatározza, hogy a port biztonságos-e.

A porton, a szolgáltatáson vagy alkalmazáson keresztüli kommunikációhoz használt protokollnak, amely a porton áthaladó forgalmat elfogyasztja vagy generálja, aktuális megvalósításúnak kell lennie, a gyártói támogatási időszakon belül. Biztonsági és hibajavító frissítéseket kell kapniuk, amelyeket időben kell alkalmazni.

Íme néhány gyakori port és azok visszaélésének módja.

21. port, fájlátviteli protokoll

Az FTP-kiszolgálót befogadó nem biztonságos FTP-port hatalmas biztonsági hiba. Sok FTP-kiszolgáló olyan sérülékenységekkel rendelkezik, amelyek lehetővé teszik a névtelen hitelesítést, a hálózaton belüli oldalirányú mozgást, a hozzáférést privilégium eszkalációja technikák, és – mivel sok FTP-kiszolgáló vezérelhető parancsfájlokkal – a telepítés eszköze helyszíni szkriptek.

Az olyan rosszindulatú programok, mint a Dark FTP, a Ramen és a WinCrash, nem biztonságos FTP portokat és szolgáltatásokat használtak fel.

22. port, biztonságos héj

A rövid, nem egyedi, újrahasznosított vagy kiszámítható jelszavakkal konfigurált biztonságos Shell-fiókok (SSH) bizonytalanok és könnyen kompromisszumosak lehetnek. jelszószótár támadások. Az SSH-szolgáltatások és a démonok korábbi megvalósításaiban számos sebezhetőséget fedeztek fel, és még mindig felfedeznek. A javítás elengedhetetlen az SSH biztonságának fenntartásához.

23. port, Telnet

A Telnet egy régi szolgáltatás, amelyet le kell vonni. A szövegalapú kommunikáció ezen ősi és bizonytalan eszközeinek használata nem indokolt. Az összes információt, amelyet a 23-as porton keresztül küld és fogad, sima szövegben küldi el. Egyáltalán nincs titkosítás.

A fenyegetett szereplők lehallgathatják a Telnet bármely kommunikációját, és könnyen kiválaszthatják a hitelesítési adatokat. Előadhatnak ember a közepén támadások speciálisan kialakított rosszindulatú csomagok injektálásával a leleplezett szövegfolyamokba.

Még egy nem hitelesített távoli támadó is kihasználhatja a puffertúlcsordulás sebezhetőségét a Telnet démonban vagy szolgáltatásban, és rosszindulatú csomagok létrehozásával és a szövegfolyamba történő befecskendezéssel végrehajthatja a folyamatokat a távoli szerveren. Ez egy úgynevezett technika Távoli (vagy véletlenszerű) kódfuttatás (RCE).

80. port, Hypertext Transport Protocol

A 80-as port nem biztonságos Hypertext Transport Protocol (HTTP) forgalom. A HTTPS csak a HTTP-t cserélte le, de a HTTP még mindig létezik az interneten. A HTTP-nél általánosan használt egyéb portok a 8080, 8088, 8888 portok. Ezeket régebbi HTTP kiszolgálókon és webes proxykon szokták használni.

A nem biztonságos webes forgalom és a hozzájuk tartozó portok hajlamosak a helyek közötti parancsfájlokra és hamisításokra, puffertúlcsordulási támadásokra és SQL injekciós támadások.

Port 1080, SOCKS Proxies

ZOKNI egy olyan protokoll, amelyet a SOCKS-proxyk használnak a TCP-kapcsolatok hálózati csomagjainak továbbítására és továbbítására IP-címekre. Az 1080-as port egy időben az egyik választott port volt olyan rosszindulatú programok esetében, mint pl Mydoom és sok féreg és szolgáltatásmegtagadási támadások.

4444-es kikötő, szállításirányítási protokoll

Néhány rootkit, hátsó ajtó, és trójai faló A szoftver megnyitja és használja a 4444 portot. Ezt a portot használja a forgalom és a kommunikáció lehallgatására, saját kommunikációjára és az adatok kiszűrésére a sérült számítógépről. Új rosszindulatú hasznos terhelések letöltésére is használják. Olyan rosszindulatú programok, mint a Blaster féreg és változatai a 4444-es portot használták a hátsó ajtók létesítésére.

Port 6660 – 6669, Internet Relay Chat

Internet Relay Chat (IRC) 1988-ban indult Finnországban, és még mindig tart. Önnek szüksége van egy öntött üzleti esetre, hogy manapság lehetővé tegye az IRC-forgalmat a szervezetében.

Számtalan IRC sebezhetőséget fedeztek fel és aknáztak ki az általa használt 20 év alatt. A Irreális IRCD A démonnak volt egy hibája 2009-ben, amely a távoli kódfuttatást elenyészővé tette.

161. port, kis hálózati üzenetküldési protokoll

Egyes portok és protokollok sok információt adhatnak a támadóknak az infrastruktúrájáról. Az UDP 161-es port vonzó a fenyegetõ szereplõk számára, mivel felhasználható a szerverekrõl származó információk lekérdezésére – mind magukról, mind a mögöttük ülõ hardverrõl és felhasználókról.

A 161-es portot a Egyszerű hálózatkezelési protokoll amely lehetővé teszi a fenyegetett szereplők számára, hogy információkat kérjenek, például infrastruktúra hardverét, felhasználóneveiket, hálózati megosztási neveiket és egyéb érzékeny információkat, vagyis a fenyegetés szereplőjének cselekvőképes intelligenciát.

53. port, Domain Name Service

A fenyegetett szereplőknek meg kell fontolniuk az exfiltrációs útvonalat, amelyet a rosszindulatú programjuk használni fog az adatok és fájlok továbbításához a szervezeten belül a saját szervereikre.

Az 53 – as portot választott exfiltrációs portként használták, mivel a Domain név szolgáltatás ritkán figyelik. A fenyegetõ szereplõk lazán lepleznék az ellopott adatokat DNS-forgalomnak, és elküldenék saját hamis DNS-kiszolgálójuknak. A hamis DNS-kiszolgáló elfogadta a forgalmat és visszaállította az adatokat eredeti formátumukba.

Emlékezetes számok

Egyes rosszindulatú programok szerzői könnyen megjegyezhető számsorozatot vagy ismételt számokat választanak portként. Erre a 234, 6789, 1111, 666 és 8888 portokat használták. A hálózaton használt ezen furcsa kinézetű portszámok bármelyikének észlelése mélyebb vizsgálatot indít el.

A 31337-es kikötő, amely az elitet varázsolja leet beszélni, egy másik gyakori portszám a rosszindulatú programok számára. Legalább 30 malware-változat használta, beleértve Vissza Orifice és Bindshell.

Hogyan lehet ezeket a portokat biztonságossá tenni

Minden portot bezárni kell, hacsak nincs dokumentált, felülvizsgált és jóváhagyott üzleti eset. Tegye ugyanezt a kiszolgáltatott szolgáltatások esetében is. Az alapértelmezett jelszavakat meg kell változtatni és helyettesíteni kell robusztus, egyedi jelszavakkal. Ha lehetséges, kétfaktoros hitelesítést kell használni.

Minden szolgáltatásnak, protokollnak, firmware-nek és alkalmazásnak továbbra is a gyártók támogatási életciklusán belül kell lennie, és a biztonsági és hibajavító javításoknak elérhetőnek kell lenniük számukra.

Figyelje a hálózaton használt portokat, és vizsgálja meg az esetleges furcsaságokat vagy megmagyarázhatatlanul nyitott portokat. Értse meg, hogy néz ki a szokásos porthasználata, hogy szokatlan viselkedést lehessen azonosítani. Végezzen kikötői átvizsgálásokat és behatolási teszteket.

Zárja be a 23-as portot, és hagyja abba a Telnet használatát. Komolyan. Állj le.

Az SSH-portok nyilvános kulcsú hitelesítéssel és kétfaktoros hitelesítéssel biztosíthatók. A hálózat konfigurálása más portszám használatára az SSH-forgalom számára szintén segítséget nyújt.

Ha IRC-t kell használnia, győződjön meg arról, hogy tűzfal mögött van, és megköveteli, hogy az IRC-felhasználók VPN-t adjanak a hálózatához, hogy csatlakozzanak a használatához. Ne engedje, hogy külső forgalom közvetlenül elérje az IRC-t.

Figyelje és szűrje a DNS-forgalmat. Semmi sem hagyhatja el az 53-as portot, csak a valódi DNS-kéréseket.

Fogadjon el mélyreható védekezési stratégiát, és tegye védekezését többrétegűvé. Gépalapú és hálózati alapú tűzfalak használata. Vegyünk egy behatolásérzékelő rendszert (IDS), például az ingyenes és a nyílt forrást Horkant.

Tiltsa le azokat a proxykat, amelyeket nem állított be, vagy amelyekre már nincs szüksége.

Egyes SNMP visszatérési karakterláncok egyszerű szöveges alapértelmezett hitelesítő adatokat tartalmaznak. Ezt tiltsa le.

Távolítsa el a nem kívánt HTTP és HTTPS válaszfejléceket, és kapcsolja ki azokat a szalaghirdetéseket, amelyek alapértelmezés szerint bekerülnek bizonyos hálózati hardverek válaszaiba. Ezek feleslegesen adnak olyan információkat, amelyek csak a fenyegetés szereplőinek kedveznek.


Source link


14 Views 0 Ratings Rate it

  • Minden jog fenntartva 2019-2020. Hogyankészítsek.Hu Impresszum Adatkezelési szabályok