Пакеты данных, передаваемые в и из пронумерованных сетевых портов , связаны с конкретными IP-адресами и конечными точками с использованием протоколов TCP или UDP. Все порты подвержены риску нападения, ни один порт не является абсолютно безопасным.
Г-н Курт Мюль, ведущий консультант по безопасности RedTeam, объяснил: «Каждый базовый порт и служба имеют риск. Риск исходит от версии службы, даже если она настроена правильно. Правильно или установлен пароль для службы, является ли этот пароль надежным? Достаточно? Другие факторы включают в себя: выбран ли порт хакерами для атаки, пропускаете ли вы через порт вредоносное ПО. Короче говоря, опять же, существует множество факторов, которые определяют безопасность порта или службы».
CSO изучает риски, связанные с сетевыми шлюзами, на основе приложений, уязвимостей и связанных с ними атак, предлагая различные подходы к защите предприятий от злонамеренных хакеров, которые злоупотребляют этими уязвимостями.
Чем опасны сетевые шлюзы?
Всего имеется 65 535 TCP-портов и еще 65 535 UDP-портов, мы рассмотрим некоторые из наиболее опасных портов. TCP-порт 21 подключает FTP-серверы к Интернету. Эти FTP-серверы имеют множество серьезных уязвимостей, таких как анонимная аутентификация, обход каталогов, межсайтовый скриптинг, что делает порт 21 идеальной целью для хакеров.
Хотя некоторые уязвимые службы продолжают использовать эту утилиту, устаревшие службы, такие как Telnet на TCP-порту 23, изначально были небезопасными. Хотя его пропускная способность очень мала, всего несколько байт за раз, Telnet отправляет данные полностью публично в виде открытого текста. Остин Норби, ученый-компьютерщик Министерства обороны США, сказал: «Злоумышленники могут прослушивать, просматривать сертификаты, вводить команды посредством атак [человек посередине] и, наконец, выполнять удаленное выполнение кода (RCE). (Это его собственное мнение, не отражающее точку зрения какого-либо агентства).
В то время как некоторые сетевые порты создают легкие дыры для проникновения злоумышленников, другие создают идеальные пути эвакуации. Примером может служить TCP/UDP-порт 53 для DNS. После того, как хакер проник в сеть и достиг своей цели, все, что нужно сделать хакеру, чтобы получить данные, — это использовать существующее программное обеспечение для преобразования данных в DNS-трафик. «DNS редко отслеживается и редко фильтруется», — сказал Норби. Когда злоумышленники крадут данные из защищенного предприятия, они просто отправляют данные через специально разработанный DNS-сервер, который переводит данные обратно в исходное состояние.
Чем больше портов используется, тем легче провести атаку на все остальные пакеты. TCP-порт 80 для HTTP поддерживает веб-трафик, получаемый браузером. По словам Норби, атаки на веб-клиентов через порт 80 включают в себя SQL-инъекцию, подделку межсайтовых запросов, межсайтовый скриптинг и переполнение буфера.
Злоумышленники установят свои сервисы на отдельных портах. Они используют TCP-порт 1080, используемый для сокета, защищающего прокси-серверы SOCKS, для поддержки вредоносных программ и операций. Троянские кони и черви, такие как Mydoom и Bugbear, использовали в атаках порт 1080. По словам Норби, если сетевой администратор не настроит прокси-сервер SOCKS, его существование станет угрозой.
Когда хакеры попадают в беду, они будут использовать номера портов, которые можно легко запомнить, например, серию номеров 234, 6789 или тот же номер, что и 666 или 8888. Некоторые программы Backdoor и «Троянские кони» открывают и используют TCP-порт 4444 для прослушивания. , общаться, пересылать вредоносный трафик извне и отправлять вредоносные полезные данные. Некоторые другие вредоносные программы, которые также используют этот порт, включают Prosiak, Swift Remote и CrackDown.
Веб-трафик использует не только порт 80. HTTP-трафик также использует TCP-порты 8080, 8088 и 8888. Серверы, подключающиеся к этим портам, в основном представляют собой старые устройства, которые неуправляемы и незащищены, что делает их уязвимыми. Безопасность со временем возрастает. Серверы на этих портах также могут быть HTTP-прокси. Если сетевые администраторы не установят их, HTTP-прокси могут стать угрозой безопасности в системе.
Элитные злоумышленники использовали TCP и UDP-порты 31337 для знаменитого бэкдора — Back Orifice и других вредоносных программ. По TCP-порту можно упомянуть: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night и BO-клиент, например на UDP-порту — Deep BO. На «литспике» — языке, в котором используются буквы и цифры, 31337 — это «элит», что означает «элитный».
Слабые пароли могут сделать SSH и порт 22 уязвимыми для атак. По словам Дэвида Уайдена — системного инженера BoxBoat Technologies: Порт 22 — порт Secure Shell позволяет получить доступ к удаленным оболочкам на уязвимом серверном оборудовании, поскольку здесь аутентификационной информацией обычно являются имя пользователя и пароль.Пароль по умолчанию, легко угадать. Короткие пароли длиной менее 8 символов используют знакомые фразы с набором цифр, которые злоумышленникам слишком легко угадать.
Хакеры все еще атакуют IRC, работающий на портах с 6660 по 6669. Уайден сказал: «В этом порту есть много уязвимостей IRC, таких как Unreal IRCD, который позволяет злоумышленникам выполнять удаленные атаки, но обычно это обычные атаки, не имеющие большой ценности.
Некоторые порты и протоколы предоставляют злоумышленникам больший доступ. Например, порт 161 UDP привлекает злоумышленников из-за протокола SNMP, который полезен для управления компьютерами в сети, опроса информации и отправки трафика через этот порт. Мюль объясняет: SNMP позволяет пользователям запрашивать сервер, чтобы получить имена пользователей, файлы, доступные в сети, и другую информацию. SNMP часто поставляется со строками по умолчанию, которые действуют как пароли.
Защита портов, сервисов и уязвимостей
По словам Уайдена, предприятия могут защитить протокол SSH, используя аутентификацию с открытым ключом, отключив вход в систему с правами root и переместив SSH на более высокий номер порта, чтобы злоумышленники не могли его найти. Если пользователь подключается к SSH через порт с номером более 25 000, злоумышленнику будет сложно определить поверхность атаки службы SSH.
Если в вашем бизнесе используется IRC, включите брандмауэр, чтобы защитить его. «Не позволяйте трафику извне сети приближаться к сервису IRC», — добавил Уиден. Разрешить использовать IRC только пользователям VPN в сети.
Повторяющиеся номера портов и особенно последовательности чисел редко отражают правильное использование портов. «Когда вы увидите, что эти порты используются, убедитесь, что они аутентифицированы», — говорит Норби. Отслеживайте и фильтруйте DNS, чтобы избежать утечек, прекратите использование Telnet и закройте порт 23.
Безопасность всех сетевых портов должна включать в себя глубокоэшелонированную защиту. Норби говорит: закройте все порты, которые вы не используете, используйте межсетевые экраны на всех серверах, запустите новейший сетевой брандмауэр, отслеживайте и фильтруйте трафик портов. Выполняйте регулярное сканирование сетевых портов, чтобы убедиться в отсутствии пропущенных уязвимостей на порту. Обратите особое внимание на SOCKS-прокси или любые другие сервисы, которые вы еще не настроили. Исправляйте, ремонтируйте и укрепляйте любое устройство, программное обеспечение или службу, подключенную к сетевому порту, до тех пор, пока в вашей сети не исчезнут оставшиеся уязвимости. Будьте активны при появлении новых уязвимостей в программном обеспечении (как старом, так и новом), к которому злоумышленники могут получить доступ через сетевые порты.
Используйте последние обновления для любой службы, которую вы поддерживаете, правильно настройте ее и используйте надежные пароли и списки контроля доступа, которые помогут вам ограничить круг лиц, имеющих доступ, говорит МуХл. Он также добавил, что: Порты и сервисы следует регулярно проверять. Когда вы используете такие сервисы, как HTTP и HTTPS, появляется много возможностей для настройки, что может легко привести к неправильной настройке и уязвимостям безопасности.
Безопасная гавань для рискованных портов
Эксперты составили разные списки портов с высоким уровнем риска на основе разных критериев, таких как тип или серьезность угроз, связанных с каждым портом, или уровень уязвимости сервисов на определенных портах. Но до сих пор полного списка еще нет. Для дальнейшего исследования вы можете начать со списков на SANS.org, SpeedGuide.net и GaryKessler.net.
Статья в сокращенном виде из статьи «Защита опасных сетевых портов», опубликованной CSO.
Вы видите уведомление об активации Windows 10 в правом углу экрана? В этой статье вы узнаете, как удалить уведомление о запросе на авторские права в Windows 10.
Недавно Microsoft выпустила последнее накопительное обновление для пользователей ПК с Windows 10 под названием Build 14393.222. Это обновление, выпущенное для Windows 10, в основном исправляет ошибки на основе отзывов пользователей и повышает производительность операционной системы.
Есть ли в вашей локальной сети компьютеры, которым требуется внешний доступ? Использование хоста-бастиона в качестве привратника для вашей сети может быть хорошим решением.
Если вы предпочитаете использовать старую классическую клавиатуру, например IBM Model M, на которой нет физической клавиши Windows, есть простой способ добавить ее, позаимствовав клавишу, которую вы не часто используете.
Иногда вам может потребоваться удалить все старые журналы событий сразу. В этом руководстве Quantrimang.com покажет вам 3 способа быстрого удаления всех журналов событий в средстве просмотра событий Windows 10.
Во многих предыдущих статьях мы упоминали, что сохранять анонимность в Интернете чрезвычайно важно. Частная информация утекает каждый год, что делает безопасность в Интернете все более необходимой. По этой же причине нам следует использовать виртуальные IP-адреса. Ниже мы узнаем о методах создания поддельных IP-адресов!
WindowTop — это инструмент, который позволяет затемнять все окна приложений и программ, запущенных на компьютерах с Windows 10. Или вы можете использовать интерфейс с темным фоном в Windows.
Языковая панель в Windows 8 — это миниатюрная языковая панель инструментов, предназначенная для автоматического отображения на экране рабочего стола. Однако многие люди хотят скрыть эту языковую панель на панели задач.
Беспроводное подключение сегодня является необходимостью, и поэтому безопасность беспроводной сети необходима для обеспечения безопасности вашей внутренней сети.
Увеличение скорости Интернета имеет важное значение для оптимизации сетевого подключения. Вы можете получить оптимальные впечатления от развлечений и работы, используя компьютеры, телевизоры с возможностью подключения к Интернету, игровые приставки и т. д.
