Det finns en nätverksport för alla typer av trafik. Vissa hamnar är mer utsatta än andra. Här är de värsta gärningsmännen och vad du kan göra för att säkra dem.
Network Addressing
Nätverk och internet Transport Control Protocol/Internet Protocol -anslutningar görs från en IP -adress till en annan. För enkelhets skull kan vi använda ett webbplatsnamn som cloudsavvyit.com, men det är den underliggande IP -adressen som används för att dirigera din anslutning till lämplig webbserver. Samma sak fungerar också omvänt. Nätverkstrafiken som kommer till din dator har riktats mot dess IP -adress.
Din dator kommer att ha massor av program och tjänster som körs inuti den. Du kanske har ett e -postprogram och en webbläsare öppen på skrivbordet. Kanske använder du en chattklient som Slack eller Microsoft Teams. Om du administrerar fjärrdatorer kan du använda en säker skal (SSH) -anslutning. Om du arbetar hemifrån och behöver ansluta till ditt kontor kan du använda en Remote Desktop Protocol (RDP) -anslutning eller en Virtual Private Network (VPN) -anslutning.
IP -adressen identifierar bara datorn. Det kan inte vara mer detaljerat än så. Men den verkliga slutpunkten för en nätverksanslutning är en applikation eller tjänstekörning. Så hur vet din dator vilket program du ska skicka varje nätverkspaket till? Svaret är genom att använda portar.
När en kurir levererar ett paket till ett hotell, identifierar gatuadressen byggnaden. Rumsnumret identifierar rummet och hotellets gäst. Gatuadressen är som IP -adressen och rumsnumret är som portadressen. Program och tjänster använder specifika, numrerade portar. Så den faktiska destinationen för ett nätverkspaket är till en port på en IP -adress. Det räcker för att identifiera programmet eller tjänsten på en viss dator som paketet är avsett för.
Standard Port Numbering
Vissa portar är dedikerade till specifika trafiktyper. Dessa kallas de välkända hamnarna. Andra portar registreras av applikationer och reserveras för deras användning. Det här är de registrerade hamnarna. Det finns en tredje uppsättning portar som är tillgängliga för alla applikationer att använda. De begärs, tilldelas, används och frigörs ad hoc. Dessa kallas flyktiga hamnar.
Annons
En blandning av portar kommer att användas i en anslutning. Nätverksanslutningen behöver en port vid den lokala änden av anslutningen — i datorn — för att ansluta till fjärränden av anslutningen — en webbserver, till exempel. Om webbservern använder Hypertext Transfer Protocol Secure (HTTPS) kommer fjärrporten att vara port 443. Din dator kommer att använda någon av de fria kortvariga portarna för att ansluta till port 443 på webbserverns IP -adress.
< p>Det finns 65535 TCP/IP -portar (och samma antal UDP -portar).
- 0 – 1023 : Kända hamnar. Dessa tilldelas tjänster av Internet Assigned Numbers Authority (IANA). Till exempel använder SSH port 22 som standard, webbservrar lyssnar efter säkra anslutningar på port 443 och Simple Mail Transfer Protocol (SMTP) trafik använder port 25.
- 1024 – 49151 : Registrerade hamnar. Organisationer kan göra förfrågningar till IANA om en port som kommer att registreras till dem och tilldelas för användning med ett program. Även om dessa registrerade hamnar kallas semi-reserverade bör de anses vara reserverade. De kallas halvreserverade eftersom det är möjligt att registrering av en hamn inte längre krävs och hamnen frigörs för återanvändning. Men — även om den för närvarande är oregistrerad — hamnen finns fortfarande i listan över registrerade hamnar. Det hålls redo att registreras av en annan organisation. Ett exempel på en registrerad port är port 3389. Detta är porten som är associerad med RDP -anslutningar.
- 49152 – 65535 : Flyktiga hamnar. Dessa används ad hoc av klientprogram. Du är fri att använda dessa i alla program du skriver. Vanligtvis används de som den lokala porten inuti datorn när den överförs till en välkänd eller reserverad port på en annan enhet för att begära och upprätta en anslutning.
Ingen port är i och för sig säker
En given port är inte säkrare eller mer riskfylld än någon annan port. En hamn är en hamn. Det är användningen som porten används för, och hur säkert den användningen hanteras, som avgör om en port är säker.
Protokollet som används för att kommunicera via en port, tjänsten eller applikationen som förbrukar eller genererar trafik som passerar genom porten måste vara aktuella implementeringar och inom tillverkarens supportperiod. De måste ta emot säkerhets- och buggfixuppdateringar och dessa bör tillämpas i tid.
Här är några vanliga portar och hur de kan missbrukas.
Port 21, File Transfer Protocol
En osäker FTP -port som är värd för en FTP -server är en enorm säkerhetsbrist. Många FTP-servrar har sårbarheter som kan tillåta anonym autentisering, sidoförflyttning i nätverket, åtkomst till tekniker för eskalering av privilegier och — eftersom många FTP-servrar kan styras via skript — ett sätt att distribuera skript över flera webbplatser.
Annonsering
Malware-program som Dark FTP, Ramen och WinCrash har använt osäkra FTP-portar och tjänster.
Port 22 , Säkert skal
Secure Shell-konton (SSH) konfigurerade med korta, icke-unika, återanvända eller förutsägbara lösenord är osäkra och kan lätt komprometteras av lösenordsattacker. Många sårbarheter i tidigare implementeringar av SSH -tjänster och demoner har upptäckts och upptäcks fortfarande. Patchning är avgörande för att upprätthålla säkerheten med SSH.
Port 23, Telnet
Telnet är en äldre tjänst och en som bör pensioneras. Det finns ingen motivering för att använda detta gamla och osäkra sätt för textbaserad kommunikation. All information som den skickar och tar emot via port 23 skickas i klartext. Det finns ingen kryptering alls.
Hotaktörer kan avlyssna vilken Telnet -kommunikation som helst och kan enkelt välja autentiseringsuppgifter. De kan utföra man-in-the-middle-attacker genom att injicera specialtillverkade skadliga paket i de omaskerade textflödena.
Även en oautentiserad, fjärranfallare kan utnyttja en buffertöverflödessårbarhet i Telnet-demonen eller -tjänsten och genom att skapa skadliga paket och injicera dem i textströmmen, utföra processer på fjärrservern. Detta är en teknik som kallas Remote (eller abitrary) Code Execution (RCE).
Port 80, Hypertext Transport Protocol
Port 80 används för osäker Hypertext Transport Protocol (HTTP) trafik. HTTPS har allt annat än ersatt HTTP, men viss HTTP finns fortfarande ute på webben. Andra portar som vanligtvis används med HTTP är portar 8080, 8088, 8888. Dessa tenderar att användas på äldre HTTP-servrar och webbproxys.
Annonsering
Osäker webbtrafik och tillhörande portar är mottagliga för kors- webbplatsskript och förfalskningar, buffertöverflödesattacker och SQL-injektionsattacker.
Port 1080, SOCKS Proxies
SOCKS är ett protokoll som används av SOCKS proxyservrar för att dirigera och vidarebefordra nätverkspaket på TCP-anslutningar till IP-adresser. Port 1080 var en av de valda portarna på en gång, för skadlig programvara som Mydoom och många mask- och denial of service-attacker.
Port 4444, Transportkontrollprotokoll
Vissa rootkit-, bakdörr- och trojanska hästprogramvara öppnar och använder port 4444. Den använder denna port för att avlyssna trafik och kommunikation, för sin egen kommunikation och för att exfiltrera data från den komprometterade datorn. Det används också för att ladda ner nya skadliga nyttolaster. Skadlig programvara som Blaster-masken och dess varianter använde port 4444 för att etablera bakdörrar.
Port 6660 – 6669, Internet Relay Chat
Internet Relay Chat (IRC) startade 1988 i Finland, och det pågår fortfarande. Du skulle behöva ha ett affärsfall av gjutjärn för att tillåta IRC-trafik in i din organisation nuförtiden.
Det har funnits otaliga IRC-sårbarheter som har upptäckts och utnyttjats under de 20 år som det har varit i användning. UnrealIRCD-demonen hade en brist under 2009 som gjorde körning av fjärrkod till en trivial fråga.
Port 161, Small Network Messaging Protocol
Vissa portar och protokoll kan ge angripare mycket information om din infrastruktur. UDP -port 161 är attraktiv för hotaktörer eftersom den kan användas för att polla information från servrar, både om sig själva och om hårdvaran och användare som sitter bakom dem.
Annonsering
Port 161 används genom det enkla nätverkshanteringsprotokollet som gör det möjligt för hotaktörerna att begära information som infrastrukturhårdvara, användarnamn, nätverksresursnamn och annan känslig information, till hotaktören, användbar intelligens.
Port 53, domännamnstjänst
Hotaktörer måste överväga den exfiltreringsväg deras skadliga program kommer att använda för att överföra data och filer från din organisation till sina egna servrar.
Port 53 har använts som valfri exfiltreringsport eftersom trafik genom domännamnstjänsten sällan övervakas. Hotaktörer skulle löst dölja den stulna informationen som DNS -trafik och skicka den till sin egen falska DNS -server. Den falska DNS-servern accepterade trafiken och återställde data till sitt ursprungliga format.
Memorable Numbers
Vissa malware-författare väljer lätt att komma ihåg sekvenser av siffror eller upprepade nummer som ska användas som portar. Portarna 234, 6789, 1111, 666 och 8888 har alla använts för detta. Att upptäcka något av dessa udda portnummer som används i ditt nätverk bör inleda en djupare undersökning.
Port 31337, som stavar eliten i leet speak, är ett annat vanligt portnummer för skadlig kod att använda. Den har använts av minst 30 skadliga varianter, inklusive Back Orifice och Bindshell.
Så här skyddar du dessa portar
Alla portar ska vara stängs om det inte finns ett dokumenterat, granskat och godkänt affärscas. Gör samma sak för exponerade tjänster. Standardlösenord måste ändras och ersättas med robusta, unika lösenord. Om möjligt bör tvåfaktorsautentisering användas.
Annonsering
Alla tjänster, protokoll, fast programvara och applikationer måste fortfarande finnas inom tillverkarna ’ stödja livscykler, och säkerhets- och buggfixningskorrigeringar måste finnas tillgängliga för dem.
Övervaka portarna som används i ditt nätverk och undersök eventuella konstigheter eller oförklarligt öppna portar. Förstå hur din normala portanvändning ser ut så att ovanligt beteende kan identifieras. Utför portskanningar och penetrationstester.
Stäng port 23 och sluta använda Telnet. Allvarligt. Sluta bara.
SSH-portar kan säkras med hjälp av offentlig nyckelautentisering och tvåfaktorsautentisering. Det hjälper också att konfigurera ditt nätverk för att använda ett annat portnummer för SSH -trafik.
Om du måste använda IRC, se till att det ligger bakom en brandvägg och kräva att IRC -användare måste ansluta VPN till ditt nätverk för att kunna ansluta det. Låt ingen extern trafik träffa din IRC direkt.
Annonsering
Övervaka och filtrera DNS -trafik. Ingenting bör lämna port 53 annat än äkta DNS-förfrågningar.
Anta en försvarsfördjupad strategi och gör ditt försvar flerlagrat. Använd värdbaserade och nätverksbaserade brandväggar. Överväg ett intrångsdetekteringssystem (IDS), som fria och öppen källkod.
Inaktivera alla proxyservrar som du inte har konfigurerat eller som du inte längre behöver.
Vissa SNMP-retursträngar har standardreferenser för vanlig text. Inaktivera detta.
Ta bort oönskade HTTP- och HTTPS -svarsrubriker och stäng av banners som ingår som standard i svaren från viss nätverkshårdvara. Dessa ger onödigt mycket information som bara gynnar hotaktörerna.
& nbsp;