Поиск по сайту:

Почему некоторые сетевые порты опасны и как их защитить?

Для каждого типа трафика есть сетевой порт. Некоторые порты подвержены большему риску, чем другие. Вот самые опасные преступники и что вы можете сделать, чтобы их обезопасить.

Сетевая адресация

Сетевые и интернет-подключения по протоколу управления транспортом/протоколу Интернета осуществляются с одного IP-адреса на другой. Для удобства мы можем использовать имя веб-сайта, например cloudsavvyit.com, но это базовый IP-адрес, который используется для маршрутизации вашего подключения к соответствующему веб-серверу. То же самое работает и в обратном порядке. Сетевой трафик, приходящий на ваш компьютер, направляется на его IP-адрес.

На вашем компьютере будет запущено множество программ и служб. У вас может быть приложение электронной почты и браузер, открытые на вашем рабочем столе. Возможно, вы используете чат-клиент, например Slack или Microsoft Teams. Если вы администрируете удаленные компьютеры, возможно, вы используете соединение с защищенной оболочкой (SSH). Если вы работаете из дома и вам необходимо подключиться к своему офису, вы можете использовать подключение по протоколу удаленного рабочего стола (RDP) или подключение к виртуальной частной сети (VPN).

IP-адрес идентифицирует только компьютер. Это не может быть более гранулированным, чем это. Но реальной конечной точкой сетевого подключения является запуск приложения или службы. Так как же ваш компьютер узнает, какому приложению отправлять каждый сетевой пакет? Ответ заключается в использовании портов.

Когда курьер доставляет посылку в гостиницу, почтовый адрес идентифицирует здание. Номер комнаты идентифицирует комнату и гостя отеля. Адрес улицы подобен IP-адресу, а номер комнаты подобен адресу порта. Приложения и службы используют определенные пронумерованные порты. Таким образом, фактическим пунктом назначения сетевого пакета является порт с IP-адресом. Этого достаточно, чтобы идентифицировать приложение или службу на конкретном компьютере, которому предназначен пакет.

Стандартная нумерация портов

Некоторые порты предназначены для определенных типов трафика. Они называются известными портами. Другие порты регистрируются приложениями и зарезервированы для их использования. Это зарегистрированные порты. Существует третий набор портов, доступных для использования любым приложением. Они запрашиваются, распределяются, используются и освобождаются специально на основе. Они называются эфемерными портами.

В соединении будет использоваться смесь портов. Сетевому соединению нужен порт на локальном конце соединения — на компьютере — для подключения к удаленному концу соединения — например, к веб-серверу. Если веб-сервер использует безопасный протокол передачи гипертекста (HTTPS), удаленным портом будет порт 443. Ваш компьютер будет использовать любой из свободных временных портов для подключения к порту 443 по IP-адресу веб-сервера.

Существует 65 535 портов TCP/IP (и такое же количество портов протокола пользовательских дейтаграмм (UDP)).

  • 0–1023: общеизвестные порты. Они распределяются между службами Управлением по присвоению номеров в Интернете (IANA). Например, SSH по умолчанию использует порт 22, веб-серверы прослушивают безопасные подключения через порт 443, а для трафика SMTP используется порт 25.
  • 1024–49151: зарегистрированные порты. Организации могут запрашивать в IANA порт, который будет зарегистрирован для них и назначен для использования с приложением. Хотя эти зарегистрированные порты называются полузарезервированными, их следует считать зарезервированными. Они называются полузарезервированными, потому что возможно, что регистрация порта больше не требуется, и порт освобождается для повторного использования. Однако, несмотря на то, что в настоящее время он не зарегистрирован, порт все еще находится в списке зарегистрированных портов. Он находится в готовности к регистрации другой организацией. Примером зарегистрированного порта является порт 3389. Это порт, связанный с подключениями RDP.
  • 49152 – 65535 – временные порты. Они используются на специальной основе клиентскими программами. Вы можете использовать их в любом написанном вами приложении. Обычно они используются в качестве локального порта внутри компьютера, когда он передает данные на общеизвестный или зарезервированный порт другого устройства, чтобы запросить и установить соединение.

Ни один порт не является безопасным по своей сути

Любой данный порт не более безопасен или подвержен риску, чем любой другой порт. Порт есть порт. Именно то, как используется порт, и насколько безопасно это использование управляется, определяет, является ли порт безопасным.

Протокол, который используется для связи через порт, служба или приложение, которые потребляют или генерируют трафик, проходящий через порт, должны быть актуальными реализациями и в течение периода поддержки производителя. Они должны получать обновления безопасности и исправления ошибок, и они должны применяться своевременно.

Вот некоторые распространенные порты и то, как ими можно злоупотреблять.

Порт 21, протокол передачи файлов

Небезопасный FTP-порт, на котором размещается FTP-сервер, является огромным недостатком безопасности. Многие FTP-серверы имеют уязвимости, которые могут позволить анонимную аутентификацию, горизонтальное перемещение в сети, доступ к методам повышения привилегий и, поскольку многими FTP-серверами можно управлять с помощью сценариев, средства для развертывания межсайтовых сценариев.

Вредоносные программы, такие как Dark FTP, Ramen и WinCrash, используют небезопасные порты и службы FTP.

Порт 22, безопасная оболочка

Учетные записи Secure Shell (SSH), настроенные с короткими, неуникальными, повторно используемыми или предсказуемыми паролями, небезопасны и могут быть легко скомпрометированы атаками по словарю паролей. Многие уязвимости в прошлых реализациях служб и демонов SSH были обнаружены и обнаруживаются до сих пор. Установка исправлений жизненно важна для обеспечения безопасности с помощью SSH.

Порт 23, Телнет

Telnet — это устаревшая служба, которую следует удалить. Нет никакого оправдания использованию этого древнего и небезопасного средства текстового общения. Вся информация, которую он отправляет и получает через порт 23, отправляется в виде обычного текста. Шифрования нет вообще.

Злоумышленники могут прослушивать любые сообщения Telnet и могут легко подобрать учетные данные для аутентификации. Они могут выполнять атаки типа «человек посередине», внедряя специально созданные вредоносные пакеты в незамаскированные текстовые потоки.

Даже удаленный злоумышленник, не прошедший проверку подлинности, может использовать уязвимость переполнения буфера в демоне или службе Telnet и, создавая вредоносные пакеты и внедряя их в текстовый поток, выполнять процессы на удаленном сервере. Это метод, известный как удаленное (или произвольное) выполнение кода (RCE).

Порт 80, гипертекстовый транспортный протокол

Порт 80 используется для незащищенного трафика гипертекстового транспортного протокола (HTTP). HTTPS почти заменил HTTP, но некоторые HTTP все еще существуют в Интернете. Другими портами, обычно используемыми с HTTP, являются порты 8080, 8088, 8888. Они, как правило, используются на старых HTTP-серверах и веб-прокси.

Незащищенный веб-трафик и связанные с ним порты подвержены межсайтовому скриптингу и подделке, атакам переполнения буфера и атакам SQL-инъекций.

Порт 1080, SOCKS-прокси

SOCKS – это протокол, используемый прокси-серверами SOCKS для маршрутизации и пересылки сетевых пакетов в соединениях TCP на IP-адреса. Одно время порт 1080 был одним из предпочтительных портов для таких вредоносных программ, как Mydoom, а также для многих червей и атак типа отказ в обслуживании.

Порт 4444, протокол управления транспортом

Некоторые руткиты, бэкдоры и троянские кони открывают и используют порт 4444. Они используют этот порт для прослушивания трафика и сообщений, для своих собственных сообщений и для извлечения данных со взломанного компьютера. Он также используется для загрузки новых вредоносных полезных нагрузок. Вредоносное ПО, такое как червь Blaster и его разновидности, использовало порт 4444 для установки лазеек.

Порт 6660 – 6669, интернет-релейный чат

Internet Relay Chat (IRC) появился в 1988 году в Финляндии и существует до сих пор. В наши дни вам нужно иметь железное экономическое обоснование, чтобы разрешить IRC-трафик в вашу организацию.

За 20 с лишним лет его использования было обнаружено и использовано бесчисленное количество уязвимостей IRC. Демон UnrealIRCD в 2009 году имел недостаток, из-за которого удаленное выполнение кода было тривиальной задачей.

Порт 161, протокол обмена сообщениями в малой сети

Некоторые порты и протоколы могут дать злоумышленникам много информации о вашей инфраструктуре. UDP-порт 161 привлекателен для злоумышленников, поскольку его можно использовать для сбора информации с серверов — как о себе, так и об оборудовании и пользователях, которые сидят за ними.

Порт 161 используется простым протоколом управления сетью , который позволяет злоумышленникам запрашивать информацию, такую как оборудование инфраструктуры, имена пользователей, общие сетевые имена и другую конфиденциальную информацию, которая для злоумышленника представляет собой оперативную информацию.

Порт 53, служба доменных имен

Злоумышленники должны учитывать маршрут эксфильтрации, который их вредоносное ПО будет использовать для передачи данных и файлов из вашей организации на свои собственные серверы.

Порт 53 использовался в качестве предпочтительного порта для эксфильтрации, поскольку трафик через службу доменных имен отслеживается редко. Злоумышленники будут слабо маскировать украденные данные как DNS-трафик и отправлять их на свой поддельный DNS-сервер. Фальшивый DNS-сервер принял трафик и восстановил данные в исходном формате.

Памятные номера

Некоторые авторы вредоносных программ выбирают для использования в качестве портов легко запоминающиеся последовательности чисел или повторяющиеся числа. Для этого использовались порты 234, 6789, 1111, 666 и 8888. Обнаружение любого из этих странных номеров портов, используемых в вашей сети, должно вызвать более глубокое расследование.

Порт 31337, который в переводе с английского означает «элитный», — еще один распространенный номер порта, который может использовать вредоносное ПО. Он использовался как минимум в 30 вариантах вредоносного ПО, включая Back Orifice и Bindshell.

Как защитить эти порты

Все порты должны быть закрыты, если нет задокументированного, проверенного и утвержденного экономического обоснования. Сделайте то же самое для открытых сервисов. Пароли по умолчанию должны быть изменены и заменены надежными уникальными паролями. По возможности следует использовать двухфакторную аутентификацию.

Все службы, протоколы, микропрограммы и приложения должны по-прежнему находиться в рамках жизненных циклов поддержки производителей, и для них должны быть доступны исправления безопасности и исправления ошибок.

Контролируйте порты, которые используются в вашей сети, и исследуйте любые странности или необъяснимые открытые порты. Поймите, как выглядит ваше обычное использование порта, чтобы можно было определить необычное поведение. Выполнение сканирования портов и тестов на проникновение.

Закройте порт 23 и прекратите использование Telnet. Серьезно. Просто остановись.

Порты SSH можно защитить с помощью аутентификации с открытым ключом и двухфакторной аутентификации. Настройка вашей сети для использования другого номера порта для трафика SSH также поможет.

Если вы должны использовать IRC, убедитесь, что он находится за брандмауэром, и потребуйте, чтобы пользователи IRC подключились к вашей сети через VPN, чтобы подключиться к нему. Не допускайте прямого попадания внешнего трафика на ваш IRC.

Мониторинг и фильтрация DNS-трафика. Ничто не должно покидать порт 53, кроме подлинных DNS-запросов.

Примите стратегию глубокоэшелонированной защиты и сделайте свою защиту многоуровневой. Используйте межсетевые экраны на основе хоста и сети. Рассмотрим систему обнаружения вторжений (IDS), такую как бесплатная Snort с открытым исходным кодом.

Отключите все прокси, которые вы не настроили или которые вам больше не нужны.

Некоторые возвращаемые строки SNMP содержат учетные данные по умолчанию в виде обычного текста. Отключите это.

Удалите нежелательные заголовки ответов HTTP и HTTPS и отключите баннеры, которые по умолчанию включаются в ответы некоторых сетевых устройств. Они бесполезно выдают информацию, которая приносит пользу только злоумышленникам.