Là’ un port réseau pour chaque type de trafic. Certains ports sont plus à risque que d'autres. Voici les pires contrevenants et ce que vous pouvez faire pour les sécuriser.
Adressage réseau
Les connexions réseau et Internet Transport Control Protocol/Internet Protocol sont établies d'une adresse IP à une autre. Pour plus de commodité, nous pouvons utiliser un nom de site Web comme cloudsavvyit.com, mais c'est l'adresse IP sous-jacente qui est utilisée pour acheminer votre connexion vers le serveur Web approprié. La même chose fonctionne aussi à l'envers. Le trafic réseau qui arrive sur votre ordinateur a été dirigé vers son adresse IP.
Votre ordinateur contiendra de nombreux programmes et services en cours d'exécution. Vous pouvez avoir une application de messagerie et un navigateur ouverts sur votre bureau. Vous utilisez peut-être un client de chat comme Slack ou Microsoft Teams. Si vous administrez des machines distantes, vous utilisez peut-être une connexion SSH (Secure Shell). Si vous travaillez à domicile et que vous devez vous connecter à votre bureau, vous pouvez utiliser une connexion RDP (Remote Desktop Protocol) ou une connexion VPN (Virtual Private Network).
L'adresse IP identifie uniquement l'ordinateur. Cela ne peut pas être plus granulaire que cela. Mais le véritable point de terminaison d'une connexion réseau est une application ou un service exécuté. Alors, comment votre ordinateur sait-il à quelle application envoyer chaque paquet réseau ? La réponse est en utilisant des ports.
Lorsqu'un coursier livre un colis à un hôtel, l'adresse postale identifie le bâtiment. Le numéro de chambre identifie la chambre et le client de l'hôtel. L'adresse postale est comme l'adresse IP, et le numéro de chambre est comme l'adresse du port. Les applications et les services utilisent des ports spécifiques et numérotés. Ainsi, la destination réelle d'un paquet réseau est un port à une adresse IP. Cela suffit pour identifier l'application ou le service sur un ordinateur particulier auquel le paquet est destiné.
Numérotation de port standard
Certains ports sont dédiés à des types de trafic spécifiques. Ceux-ci sont appelés les ports bien connus. Les autres ports sont enregistrés par les applications et réservés à leur usage. Ce sont les ports enregistrés. Il existe un troisième ensemble de ports disponibles pour toute application. Ils sont demandés, alloués, utilisés et libérés de manière ponctuelle. Ce sont des ports éphémères.
Publicité
Un mélange de ports sera utilisé dans une connexion. La connexion réseau a besoin d'un port à l'extrémité locale de la connexion—dans l'ordinateur—pour se connecter à l'extrémité distante de la connexion—un serveur Web, par exemple. Si le serveur Web utilise le protocole HTTPS (Hypertext Transfer Protocol Secure), le port distant sera le port 443. Votre ordinateur utilisera l'un des ports éphémères libres pour établir une connexion au port 443 à l'adresse IP du serveur Web.
< p>Il y a 65535 ports TCP/IP (et le même nombre de ports UDP (User Datagram Protocol)).
- 0 – 1023 : ports bien connus. Ceux-ci sont attribués aux services par l'Internet Assigned Numbers Authority (IANA). Par exemple, SSH utilise le port 22 par défaut, les serveurs Web écoutent les connexions sécurisées sur le port 443 et le trafic SMTP (Simple Mail Transfer Protocol) utilise le port 25.
- 1024 – 49151: Ports enregistrés. Les organisations peuvent faire des demandes à l'IANA pour un port qui leur sera enregistré et attribué pour une utilisation avec une application. Bien que ces ports enregistrés soient appelés semi-réservés, ils doivent être considérés comme réservés. Ils sont dits semi-réservés car il est possible que l'enregistrement d'un port ne soit plus requis et que le port soit libéré pour être réutilisé. Cependant—même s'il n'est actuellement pas enregistré—le port est toujours dans la liste des ports enregistrés. Il est tenu en vue d'être enregistré par une autre organisation. Un exemple de port enregistré est le port 3389. Il s'agit du port associé aux connexions RDP.
- 49152 – 65535 : Ports éphémères. Ceux-ci sont utilisés sur une base ad hoc par les programmes clients. Vous êtes libre de les utiliser dans n'importe quelle application que vous écrivez. Généralement, ils sont utilisés comme port local à l'intérieur de l'ordinateur lorsqu'il transmet à un port connu ou réservé sur un autre appareil afin de demander et d'établir une connexion.
Aucun port n'est intrinsèquement sûr
Un port donné n'est pas plus sûr ou à risque que tout autre port. Un port est un port. C'est l'utilisation du port et la sécurité de sa gestion qui déterminent si un port est sécurisé.
Le protocole utilisé pour communiquer via un port, le service ou l'application qui consomme ou génère le trafic qui passe par le port doit être des implémentations actuelles et dans la période de support de leur fabricant. Ils doivent recevoir des mises à jour de sécurité et de correction de bogues et celles-ci doivent être appliquées en temps opportun.
Voici quelques ports courants et comment ils peuvent être abusés.
Port 21, protocole de transfert de fichiers
Un port FTP non sécurisé hébergeant un serveur FTP est une énorme faille de sécurité. De nombreux serveurs FTP présentent des vulnérabilités qui peuvent permettre une authentification anonyme, un mouvement latéral au sein du réseau, l'accès aux techniques d'escalade de privilèges, et—parce que de nombreux serveurs FTP peuvent être contrôlés via des scripts—un moyen de déployer des scripts intersites.
Publicité
Les programmes malveillants tels que Dark FTP, Ramen et WinCrash ont utilisé des ports et des services FTP non sécurisés.
Port 22 , Shell sécurisé
Les comptes Secure Shell (SSH) configurés avec des mots de passe courts, non uniques, réutilisés ou prévisibles ne sont pas sécurisés et peuvent être facilement compromis par des attaques par dictionnaire de mots de passe. De nombreuses vulnérabilités dans les implémentations passées des services et démons SSH ont été découvertes et sont toujours découvertes. L'application de correctifs est vitale pour maintenir la sécurité avec SSH.
Port 23, Telnet
Telnet est un service hérité qui devrait être supprimé. Il n'y a aucune justification à l'utilisation de ce moyen de communication textuel ancien et peu sûr. Toutes les informations qu'il envoie et reçoit via le port 23 sont envoyées en clair. Il n'y a aucun cryptage.
Les acteurs malveillants peuvent espionner n'importe quelle communication Telnet et peuvent facilement sélectionner les identifiants d'authentification. Ils peuvent effectuer des attaques de type “man-in-the-middle” en injectant des paquets malveillants spécialement conçus dans les flux de texte non masqués.
Même un attaquant distant non authentifié peut exploiter une vulnérabilité de débordement de tampon dans le démon ou le service Telnet et, en créant des paquets malveillants et en les injectant dans le flux de texte, exécutez des processus sur le serveur distant. Il s'agit d'une technique connue sous le nom d'exécution de code à distance (ou arbitraire) (RCE).
Port 80, protocole de transport hypertexte
Le port 80 est utilisé pour le trafic HTTP (Hypertext Transport Protocol) non sécurisé. HTTPS a pratiquement remplacé HTTP, mais certains HTTP existent toujours sur le Web. Les autres ports couramment utilisés avec HTTP sont les ports 8080, 8088, 8888. Ils sont généralement utilisés sur des serveurs HTTP et des proxys Web plus anciens.
Publicité
Le trafic Web non sécurisé et les ports associés sont susceptibles de se croiser. scripts de site et falsifications, attaques par débordement de mémoire tampon et attaques par injection SQL.
Port 1080, proxys SOCKS
SOCKS est un protocole utilisé par les proxys SOCKS pour router et transférer les paquets réseau sur les connexions TCP vers les adresses IP. Le port 1080 était l'un des ports de choix à un moment donné, pour les logiciels malveillants tels que Mydoom et de nombreuses attaques de vers et de déni de service.
Port 4444, Protocole de contrôle de transport
Certains logiciels de rootkit, de porte dérobée et de cheval de Troie s'ouvrent et utilisent le port 4444. Il utilise ce port pour écouter le trafic et les communications, pour ses propres communications et pour exfiltrer les données de l'ordinateur compromis. Il est également utilisé pour télécharger de nouvelles charges utiles malveillantes. Des logiciels malveillants tels que le ver Blaster et ses variantes ont utilisé le port 4444 pour établir des portes dérobées.
Port 6660 – 6669, Chat par relais Internet
Internet Relay Chat (IRC) a commencé en 1988 en Finlande, et il est toujours en cours. De nos jours, vous auriez besoin d'une analyse de rentabilisation solide pour autoriser le trafic IRC dans votre organisation.
Il y a eu d'innombrables vulnérabilités IRC découvertes et exploitées au cours des 20 années environ. utilisé. Le démon UnrealIRCD avait une faille dans son 2009 qui rendait l'exécution de code à distance une question triviale.
Port 161, Small Network Messaging Protocol
Certains ports et protocoles peuvent fournir aux attaquants de nombreuses informations sur votre infrastructure. Le port UDP 161 est attrayant pour les acteurs de la menace car il peut être utilisé pour interroger les informations des serveurs à la fois sur eux-mêmes et sur le matériel et les utilisateurs qui se trouvent derrière eux.
Publicité
Le port 161 est utilisé par le protocole de gestion de réseau simple qui permet aux acteurs de la menace de demander des informations telles que le matériel d'infrastructure, les noms d'utilisateur, les noms de partage de réseau et d'autres informations sensibles qui constituent, pour l'acteur de la menace, des informations exploitables.
Port 53, service de noms de domaine
Les acteurs de la menace doivent prendre en compte la route d'exfiltration que leurs logiciels malveillants utiliseront pour transmettre des données et des fichiers de votre organisation à leurs propres serveurs.
Le port 53 a été utilisé comme port d'exfiltration de choix, car le trafic via le service de noms de domaine est rarement surveillé. Les acteurs de la menace déguiseraient vaguement les données volées en trafic DNS et les enverraient à leur propre faux serveur DNS. Le faux serveur DNS a accepté le trafic et restauré les données dans leur format d'origine.
Memorable Numbers
Certains auteurs de logiciels malveillants choisissent des séquences de nombres faciles à mémoriser ou nombres répétés à utiliser comme ports. Les ports 234, 6789, 1111, 666 et 8888 ont tous été utilisés pour cela. La détection de l'un de ces numéros de port étranges en cours d'utilisation sur votre réseau devrait déclencher une enquête plus approfondie.
Le port 31337, qui épelle élite dans le let speak, est un autre numéro de port commun à utiliser par les logiciels malveillants. Il a été utilisé par au moins 30 variantes de logiciels malveillants, dont Back Orifice et Bindshell.
Comment sécuriser ces ports
Tous les ports doivent être fermé à moins qu'il n'y ait une analyse de rentabilisation documentée, examinée et approuvée. Faites de même pour les services exposés. Les mots de passe par défaut doivent être modifiés et remplacés par des mots de passe robustes et uniques. Si possible, une authentification à deux facteurs doit être utilisée.
Publicité
Tous les services, protocoles, micrologiciels et applications doivent toujours appartenir aux fabricants’ prend en charge les cycles de vie, et des correctifs de sécurité et de correction de bogues doivent être disponibles pour eux.
Surveillez les ports qui sont utilisés sur votre réseau et enquêtez sur toutes les bizarreries ou les ports ouverts de manière inexplicable. Comprenez à quoi ressemble votre utilisation normale du port afin que les comportements inhabituels puissent être identifiés. Effectuez des analyses de ports et des tests de pénétration.
Fermez le port 23 et arrêtez d'utiliser Telnet. Sérieusement. Arrêtez-vous.
Les ports SSH peuvent être sécurisés en utilisant l'authentification par clé publique et l'authentification à deux facteurs. Configurer votre réseau pour utiliser un numéro de port différent pour le trafic SSH sera également utile.
Si vous devez utiliser IRC, assurez-vous qu'il est derrière un pare-feu et demandez aux utilisateurs d'IRC de se connecter à votre réseau pour se connecter afin de l'utiliser. N'autorisez aucun trafic extérieur à atteindre directement votre IRC.
Publicité
Surveillez et filtrez le trafic DNS. Rien ne doit quitter le port 53 autre que les requêtes DNS authentiques.
Adoptez une stratégie de défense en profondeur et rendez vos défenses multicouches. Utilisez des pare-feu basés sur l'hôte et sur le réseau. Envisagez un système de détection d'intrusion (IDS) tel que le Snort gratuit et open source.
Désactivez tous les proxys que vous n'avez pas configurés ou dont vous n'avez plus besoin.
Certaines chaînes de retour SNMP contiennent des informations d'identification par défaut en texte brut. Désactivez cette option.
Supprimez les en-têtes de réponse HTTP et HTTPS indésirables et désactivez les bannières qui sont incluses par défaut dans les réponses de certains matériels réseau. Ceux-ci donnent inutilement des informations qui ne profitent qu'aux acteurs de la menace.