Защита уязвимых сетевых портов

Защита уязвимых сетевых портов

В сети пакеты данных перемещаются в и из пронумерованных сетевых портов, связанных с конкретными IP-адресами и конечными точками, используя протоколы транспортного уровня TCP или UDP. Все порты потенциально подвержены риску атаки. Ни один порт не защищен на 100%. Имеется множество факторов, которые определяют безопасен порт или нет

Другие факторы включают в себя то, является ли порт просто тем, что злоумышленники выбрали, чтобы пропустить их атаки и вредоносное ПО, и оставить ли вы открытым порт.


Что делает эти порты уязвимыми?


В общей сложности имеется 65535 портов TCP и еще 65 535 портов UDP. Рассмотрим подробнее, TCP-порт 21 подключает FTP-серверы к Интернету. FTP-серверы обладают многочисленными уязвимостями, такими как анонимные возможности проверки подлинности, обход каталогов и межсайтовый скриптинг, что делает порт 21 идеальной целью для атак. Несмотря на то, что многие службы очень полезны для работы, например, Telnet по TCP-порту 23, они уже изначально были небезопасными. Хотя пропускная способность Telnet очень низкая, атакующие могут слушать, следить за учетными данными, вводить команды через атаки «человек-в-середине »и в конечном итоге выполнять удаленные кодовые исполнения (RCE)», - говорит Остин Норби, ученый-компьютер из Министерства обороны США (комментарии его собственные и не представляют взглядов любого работодателя).

Хотя некоторые сетевые порты создают хорошие точки входа для злоумышленников, другие делают хорошие маршруты эвакуации. TCP / UDP-порт 53 для DNS предлагает стратегию выхода. После того, как преступные хакеры внутри сети имеют свой приз, все, что им нужно сделать, чтобы вытащить его, - это доступное программное обеспечение, которое превращает данные в DNS-трафик. «DNS редко контролируется и даже реже фильтруется», - говорит Норби. После того, как злоумышленники безопасно будут сопровождать данные за пределами предприятия, они просто отправляют их через свой DNS-сервер, который они уникально разработали, чтобы перевести его обратно в первоначальную форму.

Чем чаще используется порт, тем проще будет скрывать атаки с другими пакетами. TCP-порт 80 для HTTP поддерживает веб-трафик, который получают веб-браузеры. Атаки на веб-клиентов, которые путешествуют по порту 80, включают в себя инъекции SQL, кросс-сайтные подделки, межсайтовый скриптинг и переполнение буфера.

Киберпреступники будут устанавливать свои услуги на отдельных портах. Атакующие используют TCP-порт 1080, который отрасль назначила для защищенных прокси-серверов SOCKS для поддержки вредоносного программного обеспечения и активности. Трояны и черви, такие как Mydoom и Bugbear, исторически использовали порт 1080 в атаках. Если сетевой администратор не настроил прокси-сервер SOCKS, его существование может указывать на злонамеренную активность.

Также хакеры любят использовать номера портов легкие к запоминанию, такие как последовательности чисел, такие как 234 или 6789, или один и тот же номер повторно, например 666 или 8888. Некоторые программы для бэкдоров и троянов открываются и используют TCP-порт 4444 для прослушивания и передачи вредоносного трафика извне и отправлять вредоносные полезные данные. Вредоносное программное обеспечение, такое как Prosiak, Swift Remote и CrackDown, использует этот порт.

Веб-трафик использует не только порт 80. HTTP-трафик также использует TCP-порты 8080, 8088 и 8888. Серверы, подключенные к этим портам, представляют собой в значительной степени устаревшие блоки, которые остались неуправляемыми и незащищенными, со временем увеличивая уязвимости. 

Более продвинутые злоумышленники используют порты 31337 TCP и UDP для знаменитого бэкдора Back Orifice и некоторых других вредоносных программ. На TCP-портах они включают Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night и BO-клиент; Примеры портов UDP - Deep BO. В «leetspeak», который использует буквы и цифры, 31337 кодовое слово «eleet», что означает элита.

Слабые пароли могут сделать SSH и порт 22 легкими целями. Порт 22, назначенный порт Secure Shell, который обеспечивает доступ к удаленным оболочкам на физическом сервере, уязвим, где техническая информация включает в себя учетные данные по умолчанию либо позволяет легко подобрать имена пользователей и пароли. Короткие пароли менее восьми символов с использованием знакомой фразы вместе с последовательностью цифр слишком просты для злоумышленников.

Криминальные хакеры все еще атакуют IRC, который работает на портах с 6660 по 6669. Было много уязвимостей IRC, таких как Unreal IRCD, которые допускают тривиальное удаленное выполнение злоумышленниками.

Некоторые порты и протоколы могут дать злоумышленникам широкий доступ. В этом случае порт 161 UDP привлекает злоумышленников, поскольку протокол SNMP, который используется для управления сетевыми машинами и для опроса пользователей. SNMP используется для запрашивания серверов на имена пользователей, общих сетевых ресурсов и другой информации. SNMP часто поставляется со строками по умолчанию, которые действуют как пароли.


Защита портов


Предприятие может защитить SSH, используя аутентификацию открытого ключа SSH, отключив логины от имени root и переместив SSH на более высокий номер порта, чтобы злоумышленники не смогли его легко найти. Если пользователь подключается к SSH с высоким номером порта, например, 25 000, для злоумышленников будет сложнее найти поверхность атаки для службы SSH.

Если ваше предприятие запускает IRC, держите его за брандмауэром. Не разрешайте трафик службы IRC, который поступает из-за пределов сети. Попросите пользователей VPN в сети использовать IRC.

Повторные номера портов и особенно длинные последовательности чисел редко представляют собой законное использование портов. Когда вы видите эти порты в использовании, убедитесь, что они настоящие. Отслеживайте и фильтруйте DNS, чтобы избежать эксфильтрации. И прекратите использовать Telnet и закройте порт 23.

Безопасность во всех сетевых портах должна включать защиту в глубину. Закройте все порты, которые вы не используете, используйте брандмауэры на базе хоста на каждом хосте, запустите сетевой брандмауэр следующего поколения, а также отслеживайте и фильтруйте порты. Выполняйте регулярные проверки портов, чтобы убедиться, что на любом порту не обнаружены уязвимости. Обратите особое внимание на прокси SOCKS или на любую другую службу, которую вы не настраивали. Зафиксируйте и закрепите любое устройство, программное обеспечение или услугу, подключенную к порту, до тех пор, пока в вашей резервной копии сетевых активов не будет никаких пробелов. Будьте начеку, поскольку новые уязвимости появляются в старом и новом программном обеспечении, которое злоумышленники могут достичь через сетевые порты.

Используйте последнюю версию любой поддерживаемой вами службы, настройте ее соответствующим образом и используйте надежные пароли; списки контроля доступа могут помочь вам ограничить, кто может подключаться к портам и службам. Чаще проверяйте свои порты и службы. Когда у вас есть такие сервисы, как HTTP и HTTPS, в которых вы можете неправильно настроить службу и случайно ввести уязвимость.


Безопасная гавань для опасных портов


Эксперты публикуют различные списки портов, которые имеют значительный риск, основанный на различных критериях, таких как тип или серьезность угроз, связанных с каждым портом, или степень уязвимости служб в данных портах. Ни один список не является всеобщим. Для дальнейшего изучения вы можете начать со списков с SANS.org , интернет- SpeedGuide и GaryKessler.net .

19.06.2018

Возврат к списку

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
ЭФКО,
Сентрас Иншуранс
Международный аэропорт Астана
Международный аэропорт Алматы
Bericap Kazakhstan
Метрополитен
Казросгаз
КазМунайГаз
Alina Management
KazConstruction Group
Самрук-Энерго, АО
Amanat Insurance
Nomad Life
KMF