Как защитить сетевые порты высокого риска?

Как защитить сетевые порты высокого риска?

Пакеты данных, передаваемые в и из пронумерованных сетевых портов , связаны с конкретными IP-адресами и конечными точками с использованием протоколов TCP или UDP. Все порты подвержены риску нападения, ни один порт не является абсолютно безопасным.

Г-н Курт Мюль, ведущий консультант по безопасности RedTeam, объяснил: «Каждый базовый порт и служба имеют риск. Риск исходит от версии службы, даже если она настроена правильно. Правильно или установлен пароль для службы, является ли этот пароль надежным? Достаточно? Другие факторы включают в себя: выбран ли порт хакерами для атаки, пропускаете ли вы через порт вредоносное ПО. Короче говоря, опять же, существует множество факторов, которые определяют безопасность порта или службы».

CSO изучает риски, связанные с сетевыми шлюзами, на основе приложений, уязвимостей и связанных с ними атак, предлагая различные подходы к защите предприятий от злонамеренных хакеров, которые злоупотребляют этими уязвимостями.

Чем опасны сетевые шлюзы?

Всего имеется 65 535 TCP-портов и еще 65 535 UDP-портов, мы рассмотрим некоторые из наиболее опасных портов. TCP-порт 21 подключает FTP-серверы к Интернету. Эти FTP-серверы имеют множество серьезных уязвимостей, таких как анонимная аутентификация, обход каталогов, межсайтовый скриптинг, что делает порт 21 идеальной целью для хакеров.

Хотя некоторые уязвимые службы продолжают использовать эту утилиту, устаревшие службы, такие как Telnet на TCP-порту 23, изначально были небезопасными. Хотя его пропускная способность очень мала, всего несколько байт за раз, Telnet отправляет данные полностью публично в виде открытого текста. Остин Норби, ученый-компьютерщик Министерства обороны США, сказал: «Злоумышленники могут прослушивать, просматривать сертификаты, вводить команды посредством атак [человек посередине] и, наконец, выполнять удаленное выполнение кода (RCE). (Это его собственное мнение, не отражающее точку зрения какого-либо агентства).

В то время как некоторые сетевые порты создают легкие дыры для проникновения злоумышленников, другие создают идеальные пути эвакуации. Примером может служить TCP/UDP-порт 53 для DNS. После того, как хакер проник в сеть и достиг своей цели, все, что нужно сделать хакеру, чтобы получить данные, — это использовать существующее программное обеспечение для преобразования данных в DNS-трафик. «DNS редко отслеживается и редко фильтруется», — сказал Норби. Когда злоумышленники крадут данные из защищенного предприятия, они просто отправляют данные через специально разработанный DNS-сервер, который переводит данные обратно в исходное состояние.

Чем больше портов используется, тем легче провести атаку на все остальные пакеты. TCP-порт 80 для HTTP поддерживает веб-трафик, получаемый браузером. По словам Норби, атаки на веб-клиентов через порт 80 включают в себя SQL-инъекцию, подделку межсайтовых запросов, межсайтовый скриптинг и переполнение буфера.

Как защитить сетевые порты высокого риска?

Злоумышленники установят свои сервисы на отдельных портах. Они используют TCP-порт 1080, используемый для сокета, защищающего прокси-серверы SOCKS, для поддержки вредоносных программ и операций. Троянские кони и черви, такие как Mydoom и Bugbear, использовали в атаках порт 1080. По словам Норби, если сетевой администратор не настроит прокси-сервер SOCKS, его существование станет угрозой.

Когда хакеры попадают в беду, они будут использовать номера портов, которые можно легко запомнить, например, серию номеров 234, 6789 или тот же номер, что и 666 или 8888. Некоторые программы Backdoor и «Троянские кони» открывают и используют TCP-порт 4444 для прослушивания. , общаться, пересылать вредоносный трафик извне и отправлять вредоносные полезные данные. Некоторые другие вредоносные программы, которые также используют этот порт, включают Prosiak, Swift Remote и CrackDown.

Веб-трафик использует не только порт 80. HTTP-трафик также использует TCP-порты 8080, 8088 и 8888. Серверы, подключающиеся к этим портам, в основном представляют собой старые устройства, которые неуправляемы и незащищены, что делает их уязвимыми. Безопасность со временем возрастает. Серверы на этих портах также могут быть HTTP-прокси. Если сетевые администраторы не установят их, HTTP-прокси могут стать угрозой безопасности в системе.

Элитные злоумышленники использовали TCP и UDP-порты 31337 для знаменитого бэкдора — Back Orifice и других вредоносных программ. По TCP-порту можно упомянуть: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night и BO-клиент, например на UDP-порту — Deep BO. На «литспике» — языке, в котором используются буквы и цифры, 31337 — это «элит», что означает «элитный».

Слабые пароли могут сделать SSH и порт 22 уязвимыми для атак. По словам Дэвида Уайдена — системного инженера BoxBoat Technologies: Порт 22 — порт Secure Shell позволяет получить доступ к удаленным оболочкам на уязвимом серверном оборудовании, поскольку здесь аутентификационной информацией обычно являются имя пользователя и пароль.Пароль по умолчанию, легко угадать. Короткие пароли длиной менее 8 символов используют знакомые фразы с набором цифр, которые злоумышленникам слишком легко угадать.

Хакеры все еще атакуют IRC, работающий на портах с 6660 по 6669. Уайден сказал: «В этом порту есть много уязвимостей IRC, таких как Unreal IRCD, который позволяет злоумышленникам выполнять удаленные атаки, но обычно это обычные атаки, не имеющие большой ценности.

Некоторые порты и протоколы предоставляют злоумышленникам больший доступ. Например, порт 161 UDP привлекает злоумышленников из-за протокола SNMP, который полезен для управления компьютерами в сети, опроса информации и отправки трафика через этот порт. Мюль объясняет: SNMP позволяет пользователям запрашивать сервер, чтобы получить имена пользователей, файлы, доступные в сети, и другую информацию. SNMP часто поставляется со строками по умолчанию, которые действуют как пароли.

Защита портов, сервисов и уязвимостей

По словам Уайдена, предприятия могут защитить протокол SSH, используя аутентификацию с открытым ключом, отключив вход в систему с правами root и переместив SSH на более высокий номер порта, чтобы злоумышленники не могли его найти. Если пользователь подключается к SSH через порт с номером более 25 000, злоумышленнику будет сложно определить поверхность атаки службы SSH.

Если в вашем бизнесе используется IRC, включите брандмауэр, чтобы защитить его. «Не позволяйте трафику извне сети приближаться к сервису IRC», — добавил Уиден. Разрешить использовать IRC только пользователям VPN в сети.

Повторяющиеся номера портов и особенно последовательности чисел редко отражают правильное использование портов. «Когда вы увидите, что эти порты используются, убедитесь, что они аутентифицированы», — говорит Норби. Отслеживайте и фильтруйте DNS, чтобы избежать утечек, прекратите использование Telnet и закройте порт 23.

Безопасность всех сетевых портов должна включать в себя глубокоэшелонированную защиту. Норби говорит: закройте все порты, которые вы не используете, используйте межсетевые экраны на всех серверах, запустите новейший сетевой брандмауэр, отслеживайте и фильтруйте трафик портов. Выполняйте регулярное сканирование сетевых портов, чтобы убедиться в отсутствии пропущенных уязвимостей на порту. Обратите особое внимание на SOCKS-прокси или любые другие сервисы, которые вы еще не настроили. Исправляйте, ремонтируйте и укрепляйте любое устройство, программное обеспечение или службу, подключенную к сетевому порту, до тех пор, пока в вашей сети не исчезнут оставшиеся уязвимости. Будьте активны при появлении новых уязвимостей в программном обеспечении (как старом, так и новом), к которому злоумышленники могут получить доступ через сетевые порты.

Используйте последние обновления для любой службы, которую вы поддерживаете, правильно настройте ее и используйте надежные пароли и списки контроля доступа, которые помогут вам ограничить круг лиц, имеющих доступ, говорит МуХл. Он также добавил, что: Порты и сервисы следует регулярно проверять. Когда вы используете такие сервисы, как HTTP и HTTPS, появляется много возможностей для настройки, что может легко привести к неправильной настройке и уязвимостям безопасности.

Безопасная гавань для рискованных портов

Эксперты составили разные списки портов с высоким уровнем риска на основе разных критериев, таких как тип или серьезность угроз, связанных с каждым портом, или уровень уязвимости сервисов на определенных портах. Но до сих пор полного списка еще нет. Для дальнейшего исследования вы можете начать со списков на SANS.org, SpeedGuide.net и GaryKessler.net.

Статья в сокращенном виде из статьи «Защита опасных сетевых портов», опубликованной CSO.


Как очистить и сбросить кеш Microsoft Store в Windows 10

Как очистить и сбросить кеш Microsoft Store в Windows 10

Если у вас возникли проблемы с установкой или обновлением приложения «Магазин» в Windows 10, это может быть связано с проблемой с кешем магазина. Узнайте как <strong>очистить кеш магазина Microsoft</strong> для вашей учетной записи в Windows 10.

Топ-10 лучших бесплатных программ-кейлоггеров для Windows

Топ-10 лучших бесплатных программ-кейлоггеров для Windows

Кейлоггер - это программное обеспечение для захвата и сбора информации о нажатиях клавиш. Узнайте о лучших бесплатных кейлоггерах для Windows. Как защитить свои данные!

Как всегда запускать Microsoft Edge в режиме InPrivate в Windows 10

Как всегда запускать Microsoft Edge в режиме InPrivate в Windows 10

Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, узнайте, как настроить Edge для запуска в режиме InPrivate.

8 способов открыть MSConfig в Windows 11

8 способов открыть MSConfig в Windows 11

Вы можете решить многие проблемы, возникающие в Windows 11, с помощью настройки системы. Например, если игра не запускается, открытие и изменение настроек MSConfig может решить проблему.

Инструкция по настройке и использованию VPNBook на Windows

Инструкция по настройке и использованию VPNBook на Windows

VPNBook — бесплатный провайдер VPN с неограниченной пропускной способностью, идеален для доступа к заблокированным сайтам. Узнайте, как настроить VPN на Windows за считанные минуты.

Включить/отключить функцию встроенного автозаполнения в проводнике и диалоговом окне «Выполнить» в Windows 10.

Включить/отключить функцию встроенного автозаполнения в проводнике и диалоговом окне «Выполнить» в Windows 10.

Узнайте, как включить или отключить встроенное автозаполнение в адресной строке проводника и диалоговом окне «Выполнить» в Windows 10. Следуйте нашим простым шагам!

6 способов получить доступ к меню параметров загрузки в Windows 10

6 способов получить доступ к меню параметров загрузки в Windows 10

Windows 10 предоставляет <strong>меню параметров загрузки</strong>, позволяющее исправлять проблемы и перенастраивать систему. Узнайте, как получить доступ к этому меню.

Как запустить любое приложение с помощью кнопки «Удобство доступа» на экране входа в Windows 10

Как запустить любое приложение с помощью кнопки «Удобство доступа» на экране входа в Windows 10

Кнопка «Удобство доступа» на экране входа в Windows 10 дает возможность пользователям запускать приложения, такие как диспетчер задач и командную строку, для улучшения доступа и функциональности.

Как изменить веб-камеру по умолчанию на компьютере с Windows 10

Как изменить веб-камеру по умолчанию на компьютере с Windows 10

Эта статья поможет вам настроить переключение между веб-камерами на компьютере с Windows 10. Убедитесь, что у вас по умолчанию установлена нужная веб-камера.

9 способов открыть Блокнот в Windows 11

9 способов открыть Блокнот в Windows 11

Узнайте, как быстро и удобно открыть Блокнот в Windows 11 различными способами. Bлокнот — это незаменимое текстовое приложение, которое всегда под рукой.