Esiste una porta di rete per ogni tipo di traffico. Alcuni porti sono più a rischio di altri. Ecco i peggiori trasgressori e cosa puoi fare per proteggerli.
Indirizzamento di rete
Le connessioni di rete e Internet Transport Control Protocol/Internet Protocol vengono effettuate da un indirizzo IP a un altro. Per comodità, possiamo utilizzare un nome di sito Web come cloudavvyit.com, ma è l'indirizzo IP sottostante che viene utilizzato per instradare la connessione al server Web appropriato. La stessa cosa funziona anche al contrario. Il traffico di rete che arriva al tuo computer è stato indirizzato verso il suo indirizzo IP.
Il tuo computer avrà molti programmi e servizi in esecuzione al suo interno. Potresti avere un'applicazione di posta elettronica e un browser aperti sul desktop. Forse utilizzi un client di chat come Slack o Microsoft Teams. Se stai amministrando computer remoti, potresti utilizzare una connessione secure shell (SSH). Se lavori da casa e devi connetterti al tuo ufficio, potresti utilizzare una connessione Remote Desktop Protocol (RDP) o una connessione Virtual Private Network (VPN).
L'indirizzo IP identifica solo il computer. Non può essere più granulare di così. Ma il vero punto finale per una connessione di rete è un'applicazione o un servizio eseguito. Quindi, come fa il tuo computer a sapere a quale applicazione inviare ciascun pacchetto di rete? La risposta è usare le porte.
Quando un corriere consegna un pacco a un hotel, l'indirizzo identifica l'edificio. Il numero della camera identifica la camera e l'ospite dell'hotel. L'indirizzo è come l'indirizzo IP e il numero della stanza è come l'indirizzo della porta. Le applicazioni ei servizi utilizzano porte numerate specifiche. Quindi la destinazione effettiva di un pacchetto di rete è una porta con un indirizzo IP. Questo è sufficiente per identificare l'applicazione o il servizio su un particolare computer a cui è destinato il pacchetto.
Numerazione standard delle porte
Alcune porte sono dedicate a specifici tipi di traffico. Questi sono chiamati i porti noti. Altre porte sono registrate dalle applicazioni e riservate al loro utilizzo. Queste sono le porte registrate. Esiste un terzo set di porte disponibili per l'utilizzo da parte di qualsiasi applicazione. Vengono richiesti, allocati, utilizzati e liberati ad hoc. Questi sono chiamati porte effimere.
Pubblicità
In una connessione verrà utilizzata una combinazione di porte. La connessione di rete necessita di una porta all'estremità locale della connessione—nel computer—per connettersi all'estremità remota della connessione—un server web, ad esempio. Se il server web utilizza Hypertext Transfer Protocol Secure (HTTPS), la porta remota sarà la porta 443. Il tuo computer utilizzerà una delle porte temporanee libere per stabilire una connessione alla porta 443 all'indirizzo IP del server web.
< p>Sono presenti 65535 porte TCP/IP (e lo stesso numero di porte User Datagram Protocol (UDP)).
- 0 – 1023: porti famosi. Questi sono assegnati ai servizi dalla Internet Assigned Numbers Authority (IANA). Ad esempio, SSH utilizza la porta 22 per impostazione predefinita, i server web ascoltano le connessioni sicure sulla porta 443 e il traffico Simple Mail Transfer Protocol (SMTP) utilizza la porta 25.
- 1024 – 49151: Porte registrate. Le organizzazioni possono richiedere allo IANA una porta che sarà loro registrata e assegnata per l'uso con un'applicazione. Sebbene queste porte registrate siano chiamate semi-riservate, dovrebbero essere considerate riservate. Si chiamano semi-riservati perché è possibile che la registrazione di una porta non sia più richiesta e la porta venga liberata per il riutilizzo. Tuttavia—anche se attualmente non è registrata—la porta è ancora nell'elenco delle porte registrate. È tenuto pronto per essere registrato da un'altra organizzazione. Un esempio di porta registrata è la porta 3389. Questa è la porta associata alle connessioni RDP.
- 49152 – 65535: porte effimere. Questi vengono utilizzati ad hoc dai programmi client. Sei libero di usarli in qualsiasi applicazione che scrivi. In genere vengono utilizzati come porta locale all'interno del computer quando sta trasmettendo a una porta nota o riservata su un altro dispositivo per richiedere e stabilire una connessione.
Nessuna porta è intrinsecamente sicura
Qualsiasi porta non è più sicura o a rischio di qualsiasi altra porta. Un porto è un porto. È l'uso a cui è destinata la porta e la sicurezza con cui viene gestito tale utilizzo che determina se una porta è sicura.
Il protocollo utilizzato per comunicare attraverso una porta, il servizio o l'applicazione che consuma o genera il traffico che passa attraverso la porta deve essere implementato in corso e nel periodo di supporto del produttore. Devono ricevere aggiornamenti di sicurezza e correzione di bug e questi dovrebbero essere applicati in modo tempestivo.
Ecco alcune porte comuni e come se ne può abusare.
Porta 21, protocollo di trasferimento file
Una porta FTP non sicura che ospita un server FTP è un enorme difetto di sicurezza. Molti server FTP presentano vulnerabilità che possono consentire l'autenticazione anonima, lo spostamento laterale all'interno della rete, l'accesso alle tecniche di escalation dei privilegi e, poiché molti server FTP possono essere controllati tramite script, è un mezzo per implementare lo scripting tra siti.
Pubblicità
I programmi malware come Dark FTP, Ramen e WinCrash hanno fatto uso di porte e servizi FTP non sicuri.
Porta 22 , Shell sicura
Gli account Secure Shell (SSH) configurati con password brevi, non univoche, riutilizzabili o prevedibili non sono sicuri e possono essere facilmente compromessi da attacchi con dizionario di password. Molte vulnerabilità nelle precedenti implementazioni di servizi e daemon SSH sono state scoperte e sono ancora in fase di scoperta. L'applicazione di patch è fondamentale per mantenere la sicurezza con SSH.
Porta 23, Telnet
Telnet è un servizio legacy e dovrebbe essere ritirato. Non c'è alcuna giustificazione per l'utilizzo di questo antico e insicuro mezzo di comunicazione testuale. Tutte le informazioni che invia e riceve tramite la porta 23 vengono inviate in testo normale. Non esiste alcuna crittografia.
Gli attori delle minacce possono intercettare qualsiasi comunicazione Telnet e possono facilmente scegliere le credenziali di autenticazione. Possono eseguire attacchi man-in-the-middle iniettando pacchetti dannosi appositamente predisposti nei flussi di testo non mascherati.
Anche un aggressore remoto non autenticato può sfruttare una vulnerabilità di overflow del buffer nel daemon o servizio Telnet. e, creando pacchetti dannosi e iniettandoli nel flusso di testo, esegue processi sul server remoto. Questa è una tecnica nota come Remote (o arbitraria) Code Execution (RCE).
Porta 80, Hypertext Transport Protocol
La porta 80 viene utilizzata per il traffico HTTP (Hypertext Transport Protocol) non protetto. HTTPS ha quasi sostituito HTTP, ma alcuni HTTP esistono ancora sul web. Altre porte comunemente utilizzate con HTTP sono le porte 8080, 8088, 8888. Queste tendono ad essere utilizzate su server HTTP e proxy Web meno recenti.
Pubblicità
Il traffico Web non protetto e le porte associate sono suscettibili di cross- scripting del sito e falsificazioni, attacchi di overflow del buffer e attacchi di iniezione SQL.
Porta 1080, proxy SOCKS
SOCKS è un protocollo utilizzato dai proxy SOCKS per instradare e inoltrare pacchetti di rete su connessioni TCP a indirizzi IP. La porta 1080 era una delle porte preferite contemporaneamente, per malware come Mydoom e molti worm e denial of service.
Porta 4444, Protocollo di controllo dei trasporti
Alcuni software rootkit, backdoor e cavalli di Troia si aprono e utilizzano la porta 4444. Utilizza questa porta per intercettare traffico e comunicazioni, per le proprie comunicazioni e per estrarre i dati dal computer compromesso. Viene anche utilizzato per scaricare nuovi payload dannosi. Malware come il worm Blaster e le sue varianti utilizzavano la porta 4444 per stabilire backdoor.
Porta 6660 – 6669, Chat di inoltro Internet
Internet Relay Chat (IRC) è iniziato nel 1988 in Finlandia e continua ancora. Al giorno d'oggi dovresti avere un business case solido per consentire il traffico IRC nella tua organizzazione.
Ci sono state innumerevoli vulnerabilità IRC scoperte e sfruttate nel corso dei 20 anni in cui sono trascorsi in uso. Il demone UnrealIRCD aveva un difetto nel suo 2009 che rendeva l'esecuzione di codice remoto una cosa banale.
Porta 161, Small Network Messaging Protocol
Alcune porte e protocolli possono fornire agli aggressori molte informazioni sulla tua infrastruttura. La porta UDP 161 è interessante per gli attori delle minacce perché può essere utilizzata per raccogliere informazioni dai server, sia su se stessi che sull'hardware e sugli utenti che si trovano dietro di essi.
Pubblicità
Viene utilizzata la porta 161 dal Simple Network Management Protocol che consente agli autori delle minacce di richiedere informazioni come l'hardware dell'infrastruttura, i nomi utente, i nomi delle condivisioni di rete e altre informazioni sensibili ovvero, per l'autore delle minacce, informazioni fruibili.
Porta 53, Domain Name Service
I responsabili delle minacce devono considerare il percorso di esfiltrazione che il loro malware utilizzerà per trasmettere dati e file dall'interno dell'organizzazione ai propri server.
La porta 53 è stata utilizzata come porta di estrazione preferita perché il traffico attraverso il Domain Name Service viene monitorato raramente. Gli attori delle minacce camufferanno vagamente i dati rubati come traffico DNS e li invieranno al proprio server DNS falso. Il falso server DNS ha accettato il traffico e ha ripristinato i dati nel formato originale.
Numeri memorabili
Alcuni autori di malware scelgono sequenze di numeri facili da ricordare o numeri ripetuti da utilizzare come porte. Le porte 234, 6789, 1111, 666 e 8888 sono state tutte utilizzate per questo. Il rilevamento di uno di questi numeri di porta dall'aspetto strano in uso sulla rete dovrebbe avviare un'indagine più approfondita.
La porta 31337, che significa elite in leet speak, è un altro numero di porta comune utilizzato dal malware. È stato utilizzato da almeno 30 varianti di malware, inclusi Back Orifice e Bindshell.
Come proteggere queste porte
Tutte le porte dovrebbero essere chiuso a meno che non vi sia un business case documentato, rivisto e approvato. Fai lo stesso per i servizi esposti. Le password predefinite devono essere modificate e sostituite con password robuste e univoche. Se possibile, dovrebbe essere utilizzata l'autenticazione a due fattori.
Pubblicità
Tutti i servizi, i protocolli, il firmware e le applicazioni devono essere ancora all'interno dei produttori’ supportano i cicli di vita e per loro devono essere disponibili patch di sicurezza e correzione di bug.
Monitorare le porte che sono in uso sulla rete e indagare su eventuali stranezze o porte aperte inspiegabilmente. Comprendere l'aspetto del normale utilizzo della porta in modo da poter identificare un comportamento insolito. Esegui scansioni delle porte e test di penetrazione.
Chiudi la porta 23 e smetti di usare Telnet. Sul serio. Basta fermarsi.
Le porte SSH possono essere protette utilizzando l'autenticazione a chiave pubblica e l'autenticazione a due fattori. Anche configurare la tua rete per usare un numero di porta diverso per il traffico SSH sarà d'aiuto.
Se devi usare IRC, assicurati che sia dietro un firewall e richiedi agli utenti IRC di entrare in VPN nella tua rete per connettersi per usarlo. Non consentire al traffico esterno di raggiungere direttamente il tuo IRC.
Pubblicità
Monitora e filtra il traffico DNS. Niente dovrebbe lasciare la porta 53 se non le richieste DNS autentiche.
Adotta una strategia di difesa approfondita e rendi le tue difese multilivello. Utilizzare firewall basati su host e di rete. Prendi in considerazione un sistema di rilevamento delle intrusioni (IDS) come Snort, gratuito e open source.
Disattiva tutti i proxy che non hai configurato o che non ti servono più.
Alcune stringhe di ritorno SNMP contengono credenziali predefinite in testo normale. Disabilitalo.
Rimuovi le intestazioni di risposta HTTP e HTTPS indesiderate e disattiva i banner che vengono inclusi per impostazione predefinita nelle risposte da alcuni hardware di rete. Questi forniscono inutilmente informazioni che avvantaggiano solo gli attori delle minacce.