Er is een netwerkpoort voor elk type verkeer. Sommige havens lopen meer risico dan andere. Dit zijn de ergste overtreders en wat u kunt doen om ze te beveiligen.
Netwerkadressering
Netwerk- en internet-Transport Control Protocol/Internet Protocol-verbindingen worden gemaakt van het ene IP-adres naar het andere. Voor het gemak kunnen we een websitenaam zoals cloudsavvyit.com gebruiken, maar dit is het onderliggende IP-adres dat wordt gebruikt om uw verbinding naar de juiste webserver te routeren. Hetzelfde werkt ook omgekeerd. Het netwerkverkeer dat op uw computer aankomt, is naar zijn IP-adres geleid.
Op uw computer staan veel programma's en services. Mogelijk hebt u een e-mailtoepassing en een browser op uw bureaublad geopend. Misschien gebruikt u een chatclient zoals Slack of Microsoft Teams. Als u externe machines beheert, gebruikt u mogelijk een beveiligde shell-verbinding (SSH). Als u vanuit huis werkt en verbinding moet maken met uw kantoor, kunt u een Remote Desktop Protocol-verbinding (RDP) of een Virtual Private Network-verbinding (VPN) gebruiken.
Het IP-adres identificeert alleen de computer. Genuanceerder dan dat kan het niet zijn. Maar het echte eindpunt voor een netwerkverbinding is een applicatie of servicerun. Dus hoe weet uw computer naar welke toepassing elk netwerkpakket moet worden verzonden? Het antwoord is door poorten te gebruiken.
Wanneer een koerier een pakket bij een hotel aflevert, identificeert het adres het gebouw. Het kamernummer identificeert de kamer en de hotelgast. Het straatadres is als het IP-adres en het kamernummer is als het poortadres. Toepassingen en services gebruiken specifieke, genummerde poorten. De eigenlijke bestemming voor een netwerkpakket is dus een poort op een IP-adres. Dat is voldoende om de toepassing of service op een bepaalde computer te identificeren waarvoor het pakket bestemd is.
Standaard poortnummering
Sommige poorten zijn toegewezen voor bepaalde soorten verkeer. Dit worden de bekende poorten genoemd. Andere poorten worden geregistreerd door applicaties en gereserveerd voor hun gebruik. Dit zijn de geregistreerde poorten. Er is een derde set poorten die voor elke toepassing beschikbaar is. Ze worden op ad-hocbasis aangevraagd, toegewezen, gebruikt en vrijgemaakt. Dit worden kortstondige poorten genoemd.
Advertentie
Er wordt een combinatie van poorten gebruikt in een verbinding. De netwerkverbinding heeft een poort nodig aan het lokale uiteinde van de verbinding 'in de computer' om bijvoorbeeld verbinding te maken met het externe uiteinde van de verbinding, een webserver. Als de webserver Hypertext Transfer Protocol Secure (HTTPS) gebruikt, is de externe poort poort 443. Uw computer gebruikt een van de gratis tijdelijke poorten om verbinding te maken met poort 443 op het IP-adres van de webserver.
< p>Er zijn 65535 TCP/IP-poorten (en hetzelfde aantal UDP-poorten (User Datagram Protocol).
- 0 – 1023: bekende poorten. Deze worden toegewezen aan services door de Internet Assigned Numbers Authority (IANA). SSH gebruikt bijvoorbeeld standaard poort 22, webservers luisteren naar beveiligde verbindingen op poort 443 en SMTP-verkeer (Simple Mail Transfer Protocol) gebruikt poort 25.
- 1024 – 49151: Geregistreerde poorten. Organisaties kunnen bij de IANA verzoeken om een poort die voor hen wordt geregistreerd en wordt toegewezen voor gebruik met een applicatie. Hoewel deze geregistreerde poorten semi-gereserveerd worden genoemd, moeten ze als gereserveerd worden beschouwd. Ze worden semi-gereserveerd genoemd omdat het mogelijk is dat de registratie van een haven niet meer nodig is en de haven vrijkomt voor hergebruik. Hoewel het momenteel niet-geregistreerd is, staat de poort nog steeds in de lijst met geregistreerde poorten. Het wordt gereed gehouden om door een andere organisatie te worden geregistreerd. Een voorbeeld van een geregistreerde poort is poort 3389. Dit is de poort die is gekoppeld aan RDP-verbindingen.
- 49152 – 65535: kortstondige poorten. Deze worden op ad-hocbasis gebruikt door klantprogramma's. U bent vrij om deze te gebruiken in elke toepassing die u schrijft. Meestal worden ze gebruikt als de lokale poort in de computer wanneer deze naar een bekende of gereserveerde poort op een ander apparaat verzendt om een verbinding aan te vragen en tot stand te brengen.
Geen enkele poort is inherent veilig
Een bepaalde poort is niet veiliger of loopt geen risico dan elke andere poort. Een haven is een haven. Het is het gebruik waarvoor de poort wordt gebruikt en hoe veilig dat gebruik wordt beheerd, dat bepaalt of een poort veilig is.
Het protocol dat wordt gebruikt om via een poort te communiceren, de service of toepassing die het verkeer dat door de poort gaat, verbruikt of genereert, moet actuele implementaties zijn en binnen de ondersteuningsperiode van de fabrikant vallen. Ze moeten beveiligings- en bugfix-updates ontvangen en deze moeten tijdig worden toegepast.
Hier zijn enkele veelvoorkomende poorten en hoe ze kunnen worden misbruikt.
Poort 21, File Transfer Protocol
Een onveilige FTP-poort die een FTP-server host, is een enorm beveiligingslek. Veel FTP-servers hebben kwetsbaarheden die anonieme authenticatie, zijdelingse verplaatsing binnen het netwerk, toegang tot privilege-escalatietechnieken mogelijk maken, en omdat veel FTP-servers kunnen worden beheerd via scripts, een middel om cross-site scripting in te zetten.
Advertentie
Malwareprogramma's zoals Dark FTP, Ramen en WinCrash hebben gebruik gemaakt van onveilige FTP-poorten en -services.
Poort 22 , Veilige shell
Beveiligde Shell-accounts (SSH) die zijn geconfigureerd met korte, niet-unieke, hergebruikte of voorspelbare wachtwoorden, zijn onveilig en kunnen gemakkelijk worden aangetast door wachtwoordwoordenboekaanvallen. Veel kwetsbaarheden in eerdere implementaties van SSH-services en daemons zijn ontdekt en worden nog steeds ontdekt. Patchen is van vitaal belang om de beveiliging met SSH te behouden.
Poort 23, Telnet
Telnet is een verouderde service en moet worden stopgezet. Er is geen rechtvaardiging voor het gebruik van deze oude en onveilige manier van op tekst gebaseerde communicatie. Alle informatie die het via poort 23 verzendt en ontvangt, wordt in platte tekst verzonden. Er is helemaal geen codering.
Bedreigingsactoren kunnen elke Telnet-communicatie afluisteren en kunnen eenvoudig authenticatiegegevens achterhalen. Ze kunnen man-in-the-middle-aanvallen uitvoeren door speciaal vervaardigde kwaadaardige pakketten in de niet-gemaskeerde tekststromen te injecteren.
Zelfs een niet-geverifieerde, externe aanvaller kan misbruik maken van een buffer-overflow-kwetsbaarheid in de Telnet-daemon of -service en, door kwaadaardige pakketten te maken en ze in de tekststroom te injecteren, processen op de externe server uit te voeren. Dit is een techniek die bekend staat als Externe (of willekeurige) Code Execution (RCE).
Poort 80, Hypertext Transport Protocol
Poort 80 wordt gebruikt voor onbeveiligd HTTP-verkeer (Hypertext Transport Protocol). HTTPS heeft HTTP bijna vervangen, maar sommige HTTP bestaat nog steeds op internet. Andere poorten die vaak worden gebruikt met HTTP zijn poorten 8080, 8088, 8888. Deze worden meestal gebruikt op oudere HTTP-servers en webproxy's.
Advertentie
Onbeveiligd webverkeer en de bijbehorende poorten zijn vatbaar voor cross- site scripting en vervalsingen, buffer-overflow-aanvallen en SQL-injectie-aanvallen.
Poort 1080, SOCKS Proxy's
SOCKS is een protocol dat door SOCKS-proxy's wordt gebruikt om netwerkpakketten op TCP-verbindingen naar IP-adressen te routeren en door te sturen. Poort 1080 was ooit een van de poorten bij uitstek voor malware zoals Mydoom en veel worm- en denial-of-service-aanvallen.
Poort 4444, Protocol voor transportcontrole
Sommige rootkit-, backdoor- en Trojaanse paardensoftware wordt geopend en gebruikt poort 4444. Het gebruikt deze poort om verkeer en communicatie af te luisteren, voor zijn eigen communicatie en om gegevens van de besmette computer te exfiltreren. Het wordt ook gebruikt om nieuwe kwaadaardige payloads te downloaden. Malware zoals de Blaster-worm en zijn varianten gebruikten poort 4444 om achterdeurtjes op te zetten.
Poort 6660 – 6669, Internet Relay-chat
Internet Relay Chat (IRC) is in 1988 in Finland begonnen en gaat nog steeds door. U moet tegenwoordig een ijzersterke businesscase hebben om IRC-verkeer in uw organisatie toe te laten.
Er zijn talloze IRC-kwetsbaarheden ontdekt en uitgebuit in de twintig jaar dat het bestaat. in gebruik. De UnrealIRCD-daemon had een fout in 2009 waardoor het uitvoeren van externe code een triviale zaak was.
Poort 161, Small Network Messaging Protocol
Sommige poorten en protocollen kunnen aanvallers veel informatie geven over uw infrastructuur. UDP-poort 161 is aantrekkelijk voor bedreigingsactoren omdat het kan worden gebruikt om informatie van servers te pollen, zowel over zichzelf als over de hardware en gebruikers die erachter zitten.
Advertentie
Poort 161 wordt gebruikt door het Simple Network Management Protocol, waarmee de dreigingsactoren informatie kunnen opvragen zoals infrastructuurhardware, gebruikersnamen, namen van netwerkshares en andere gevoelige informatie die voor de dreigingsactor bruikbare informatie is.
Poort 53, Domain Name Service
Bedreigingsactoren moeten rekening houden met de exfiltratieroute die hun malware zal gebruiken om gegevens en bestanden van binnen uw organisatie naar hun eigen servers te verzenden.
Poort 53 is gebruikt als de exfiltratiepoort bij uitstek omdat verkeer via de Domain Name Service zelden wordt gecontroleerd. Bedreigingsactoren zouden de gestolen gegevens losjes vermommen als DNS-verkeer en deze naar hun eigen nep-DNS-server sturen. De nep-DNS-server accepteerde het verkeer en herstelde de gegevens in de oorspronkelijke indeling.
Gedenkwaardige nummers
Sommige auteurs van malware kiezen voor gemakkelijk te onthouden reeksen van nummers of herhaalde nummers om als poorten te gebruiken. Poorten 234, 6789, 1111, 666 en 8888 zijn hiervoor allemaal gebruikt. Als u een van deze vreemd uitziende poortnummers detecteert die in uw netwerk worden gebruikt, zou een diepgaander onderzoek moeten worden gestart.
Poort 31337, dat elite in leet speak zegt, is een ander veelgebruikt poortnummer voor malware om te gebruiken. Het is gebruikt door ten minste 30 malwarevarianten, waaronder Back Orifice en Bindshell.
Hoe deze poorten te beveiligen
Alle poorten moeten gesloten, tenzij er een gedocumenteerde, beoordeelde en goedgekeurde businesscase is. Doe hetzelfde voor blootgestelde services. Standaardwachtwoorden moeten worden gewijzigd en vervangen door robuuste, unieke wachtwoorden. Indien mogelijk moet tweestapsverificatie worden gebruikt.
Advertentie
Alle services, protocollen, firmware en applicaties moeten nog steeds binnen de fabrikanten vallen’ ondersteuning van levenscycli, en beveiligings- en bugfix-patches moeten voor hen beschikbaar zijn.
Bewaak de poorten die in gebruik zijn op uw netwerk en onderzoek eventuele eigenaardigheden of onverklaarbare open poorten. Begrijp hoe uw normale poortgebruik eruitziet, zodat ongebruikelijk gedrag kan worden geïdentificeerd. Voer poortscans en penetratietests uit.
Sluit poort 23 en stop met het gebruik van Telnet. Ernstig. Stop gewoon.
SSH-poorten kunnen worden beveiligd met behulp van openbare-sleutelverificatie en tweefactorauthenticatie. Het configureren van uw netwerk om een ander poortnummer voor SSH-verkeer te gebruiken, zal ook helpen.
Als u IRC moet gebruiken, zorg er dan voor dat het zich achter een firewall bevindt en vraag IRC-gebruikers om VPN in uw netwerk te gebruiken om verbinding te maken om het te gebruiken. Laat geen verkeer van buitenaf uw IRC rechtstreeks bereiken.
Advertentie
Bewaak en filter DNS-verkeer. Niets mag poort 53 verlaten, behalve echte DNS-verzoeken.
Adopteer een diepgaande verdedigingsstrategie en maak je verdediging meerlagig. Gebruik hostgebaseerde en netwerkgebaseerde firewalls. Overweeg een inbraakdetectiesysteem (IDS) zoals het gratis en open source Snort.
Schakel alle proxy's uit die u niet heeft ingesteld of die u niet langer nodig heeft.
Sommige SNMP-retourtekenreeksen bevatten standaardreferenties in platte tekst. Schakel dit uit.
Verwijder ongewenste HTTP- en HTTPS-responsheaders en schakel de banners uit die standaard worden opgenomen in de reacties van sommige netwerkhardware. Deze geven onnodig informatie weg die alleen de dreigingsactoren ten goede komt.