Пакеты данных, передаваемые в и из пронумерованных сетевых портов , связаны с конкретными IP-адресами и конечными точками с использованием протоколов TCP или UDP. Все порты подвержены риску нападения, ни один порт не является абсолютно безопасным.
Г-н Курт Мюль, ведущий консультант по безопасности RedTeam, объяснил: «Каждый базовый порт и служба имеют риск. Риск исходит от версии службы, даже если она настроена правильно. Правильно или установлен пароль для службы, является ли этот пароль надежным? Достаточно? Другие факторы включают в себя: выбран ли порт хакерами для атаки, пропускаете ли вы через порт вредоносное ПО. Короче говоря, опять же, существует множество факторов, которые определяют безопасность порта или службы».
CSO изучает риски, связанные с сетевыми шлюзами, на основе приложений, уязвимостей и связанных с ними атак, предлагая различные подходы к защите предприятий от злонамеренных хакеров, которые злоупотребляют этими уязвимостями.
Чем опасны сетевые шлюзы?
Всего имеется 65 535 TCP-портов и еще 65 535 UDP-портов, мы рассмотрим некоторые из наиболее опасных портов. TCP-порт 21 подключает FTP-серверы к Интернету. Эти FTP-серверы имеют множество серьезных уязвимостей, таких как анонимная аутентификация, обход каталогов, межсайтовый скриптинг, что делает порт 21 идеальной целью для хакеров.
Хотя некоторые уязвимые службы продолжают использовать эту утилиту, устаревшие службы, такие как Telnet на TCP-порту 23, изначально были небезопасными. Хотя его пропускная способность очень мала, всего несколько байт за раз, Telnet отправляет данные полностью публично в виде открытого текста. Остин Норби, ученый-компьютерщик Министерства обороны США, сказал: «Злоумышленники могут прослушивать, просматривать сертификаты, вводить команды посредством атак [человек посередине] и, наконец, выполнять удаленное выполнение кода (RCE). (Это его собственное мнение, не отражающее точку зрения какого-либо агентства).
В то время как некоторые сетевые порты создают легкие дыры для проникновения злоумышленников, другие создают идеальные пути эвакуации. Примером может служить TCP/UDP-порт 53 для DNS. После того, как хакер проник в сеть и достиг своей цели, все, что нужно сделать хакеру, чтобы получить данные, — это использовать существующее программное обеспечение для преобразования данных в DNS-трафик. «DNS редко отслеживается и редко фильтруется», — сказал Норби. Когда злоумышленники крадут данные из защищенного предприятия, они просто отправляют данные через специально разработанный DNS-сервер, который переводит данные обратно в исходное состояние.
Чем больше портов используется, тем легче провести атаку на все остальные пакеты. TCP-порт 80 для HTTP поддерживает веб-трафик, получаемый браузером. По словам Норби, атаки на веб-клиентов через порт 80 включают в себя SQL-инъекцию, подделку межсайтовых запросов, межсайтовый скриптинг и переполнение буфера.
Злоумышленники установят свои сервисы на отдельных портах. Они используют TCP-порт 1080, используемый для сокета, защищающего прокси-серверы SOCKS, для поддержки вредоносных программ и операций. Троянские кони и черви, такие как Mydoom и Bugbear, использовали в атаках порт 1080. По словам Норби, если сетевой администратор не настроит прокси-сервер SOCKS, его существование станет угрозой.
Когда хакеры попадают в беду, они будут использовать номера портов, которые можно легко запомнить, например, серию номеров 234, 6789 или тот же номер, что и 666 или 8888. Некоторые программы Backdoor и «Троянские кони» открывают и используют TCP-порт 4444 для прослушивания. , общаться, пересылать вредоносный трафик извне и отправлять вредоносные полезные данные. Некоторые другие вредоносные программы, которые также используют этот порт, включают Prosiak, Swift Remote и CrackDown.
Веб-трафик использует не только порт 80. HTTP-трафик также использует TCP-порты 8080, 8088 и 8888. Серверы, подключающиеся к этим портам, в основном представляют собой старые устройства, которые неуправляемы и незащищены, что делает их уязвимыми. Безопасность со временем возрастает. Серверы на этих портах также могут быть HTTP-прокси. Если сетевые администраторы не установят их, HTTP-прокси могут стать угрозой безопасности в системе.
Элитные злоумышленники использовали TCP и UDP-порты 31337 для знаменитого бэкдора — Back Orifice и других вредоносных программ. По TCP-порту можно упомянуть: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night и BO-клиент, например на UDP-порту — Deep BO. На «литспике» — языке, в котором используются буквы и цифры, 31337 — это «элит», что означает «элитный».
Слабые пароли могут сделать SSH и порт 22 уязвимыми для атак. По словам Дэвида Уайдена — системного инженера BoxBoat Technologies: Порт 22 — порт Secure Shell позволяет получить доступ к удаленным оболочкам на уязвимом серверном оборудовании, поскольку здесь аутентификационной информацией обычно являются имя пользователя и пароль.Пароль по умолчанию, легко угадать. Короткие пароли длиной менее 8 символов используют знакомые фразы с набором цифр, которые злоумышленникам слишком легко угадать.
Хакеры все еще атакуют IRC, работающий на портах с 6660 по 6669. Уайден сказал: «В этом порту есть много уязвимостей IRC, таких как Unreal IRCD, который позволяет злоумышленникам выполнять удаленные атаки, но обычно это обычные атаки, не имеющие большой ценности.
Некоторые порты и протоколы предоставляют злоумышленникам больший доступ. Например, порт 161 UDP привлекает злоумышленников из-за протокола SNMP, который полезен для управления компьютерами в сети, опроса информации и отправки трафика через этот порт. Мюль объясняет: SNMP позволяет пользователям запрашивать сервер, чтобы получить имена пользователей, файлы, доступные в сети, и другую информацию. SNMP часто поставляется со строками по умолчанию, которые действуют как пароли.
Защита портов, сервисов и уязвимостей
По словам Уайдена, предприятия могут защитить протокол SSH, используя аутентификацию с открытым ключом, отключив вход в систему с правами root и переместив SSH на более высокий номер порта, чтобы злоумышленники не могли его найти. Если пользователь подключается к SSH через порт с номером более 25 000, злоумышленнику будет сложно определить поверхность атаки службы SSH.
Если в вашем бизнесе используется IRC, включите брандмауэр, чтобы защитить его. «Не позволяйте трафику извне сети приближаться к сервису IRC», — добавил Уиден. Разрешить использовать IRC только пользователям VPN в сети.
Повторяющиеся номера портов и особенно последовательности чисел редко отражают правильное использование портов. «Когда вы увидите, что эти порты используются, убедитесь, что они аутентифицированы», — говорит Норби. Отслеживайте и фильтруйте DNS, чтобы избежать утечек, прекратите использование Telnet и закройте порт 23.
Безопасность всех сетевых портов должна включать в себя глубокоэшелонированную защиту. Норби говорит: закройте все порты, которые вы не используете, используйте межсетевые экраны на всех серверах, запустите новейший сетевой брандмауэр, отслеживайте и фильтруйте трафик портов. Выполняйте регулярное сканирование сетевых портов, чтобы убедиться в отсутствии пропущенных уязвимостей на порту. Обратите особое внимание на SOCKS-прокси или любые другие сервисы, которые вы еще не настроили. Исправляйте, ремонтируйте и укрепляйте любое устройство, программное обеспечение или службу, подключенную к сетевому порту, до тех пор, пока в вашей сети не исчезнут оставшиеся уязвимости. Будьте активны при появлении новых уязвимостей в программном обеспечении (как старом, так и новом), к которому злоумышленники могут получить доступ через сетевые порты.
Используйте последние обновления для любой службы, которую вы поддерживаете, правильно настройте ее и используйте надежные пароли и списки контроля доступа, которые помогут вам ограничить круг лиц, имеющих доступ, говорит МуХл. Он также добавил, что: Порты и сервисы следует регулярно проверять. Когда вы используете такие сервисы, как HTTP и HTTPS, появляется много возможностей для настройки, что может легко привести к неправильной настройке и уязвимостям безопасности.
Безопасная гавань для рискованных портов
Эксперты составили разные списки портов с высоким уровнем риска на основе разных критериев, таких как тип или серьезность угроз, связанных с каждым портом, или уровень уязвимости сервисов на определенных портах. Но до сих пор полного списка еще нет. Для дальнейшего исследования вы можете начать со списков на SANS.org, SpeedGuide.net и GaryKessler.net.
Статья в сокращенном виде из статьи «Защита опасных сетевых портов», опубликованной CSO.
Версия Big Sur для macOS была официально анонсирована на недавней конференции WWDC. И вы можете полностью перенести интерфейс macOS Big Sur на Windows 10 с помощью инструмента Rainmeter.
RDStealer — это вредоносное ПО, которое пытается украсть учетные данные и данные путем заражения RDP-сервера и мониторинга его удаленных подключений.
Может быть, пришло время попрощаться с Проводником и использовать стороннее программное обеспечение для управления файлами? Вот 7 лучших альтернатив Windows File Explorer.
LoRaWAN или беспроводная сеть дальнего действия полезна для связи между маломощными устройствами на больших расстояниях.
Перейдя к «Дополнительным параметрам запуска», вы можете сбросить Windows 10, восстановить Windows 10, восстановить Windows 10 из файла образа, который вы создали ранее, исправить ошибки запуска, открыть командную строку для выполнения параметров, выбрать другие, открыть настройки UEFI, изменить настройки запуска. ..
Каждый раз, когда вы подписываетесь на новую услугу, вы можете выбрать имя пользователя и пароль или просто войти в систему через Facebook или Twitter. Но стоит ли вам это делать?
DNS Google 8.8.8.8 8.8.4.4 — это один из DNS, который предпочитают использовать многие пользователи, особенно для ускорения доступа к сети или доступа к заблокированному Facebook.
Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, вы можете настроить Edge всегда запускать в режиме InPrivate.
Сегодня обычно используются два типа шифрования: симметричное и асимметричное шифрование. Основное различие между этими двумя типами шифрования заключается в том, что при симметричном шифровании используется один ключ как для операций шифрования, так и для дешифрования.
Полноэкранный режим на вашем компьютере удалит ненужный контент. Итак, как выйти из полноэкранного режима Windows?
