Für jede Art von Datenverkehr gibt es einen Netzwerkport. Einige Häfen sind stärker gefährdet als andere. Hier sind die schlimmsten Täter und was Sie tun können, um sie zu schützen.
Netzwerkadressierung
Netzwerk- und Internet-Transport Control Protocol/Internet Protocol-Verbindungen werden von einer IP-Adresse zu einer anderen hergestellt. Der Einfachheit halber verwenden wir möglicherweise einen Websitenamen wie cloudavvyit.com, aber es ist die zugrunde liegende IP-Adresse, die verwendet wird, um Ihre Verbindung zum entsprechenden Webserver zu leiten. Das gleiche funktioniert auch umgekehrt. Der Netzwerkverkehr, der auf Ihrem Computer ankommt, wurde an seine IP-Adresse geleitet.
Auf Ihrem Computer laufen viele Programme und Dienste. Möglicherweise sind auf Ihrem Desktop eine E-Mail-Anwendung und ein Browser geöffnet. Vielleicht verwenden Sie einen Chat-Client wie Slack oder Microsoft Teams. Wenn Sie Remote-Computer verwalten, verwenden Sie möglicherweise eine sichere Shell-Verbindung (SSH). Wenn Sie von zu Hause aus arbeiten und eine Verbindung zu Ihrem Büro herstellen müssen, können Sie eine RDP-Verbindung (Remote Desktop Protocol) oder eine VPN-Verbindung (Virtual Private Network) verwenden.
Die IP-Adresse identifiziert nur den Computer. Granularer geht es nicht. Der eigentliche Endpunkt einer Netzwerkverbindung ist jedoch eine Anwendungs- oder Dienstausführung. Woher weiß Ihr Computer also, an welche Anwendung jedes Netzwerkpaket gesendet werden soll? Die Antwort ist die Verwendung von Ports.
Wenn ein Kurier ein Paket an ein Hotel liefert, identifiziert die Straßenadresse das Gebäude. Die Zimmernummer identifiziert das Zimmer und den Hotelgast. Die Straßenadresse ist wie die IP-Adresse und die Zimmernummer ist wie die Port-Adresse. Anwendungen und Dienste verwenden spezifische, nummerierte Ports. Das eigentliche Ziel eines Netzwerkpakets ist also ein Port an einer IP-Adresse. Das reicht aus, um die Anwendung oder den Dienst auf einem bestimmten Computer zu identifizieren, für den das Paket bestimmt ist.
Standard-Portnummerierung
Einige Ports sind dediziert zu bestimmten Verkehrsarten. Diese werden als bekannte Ports bezeichnet. Andere Ports werden von Anwendungen registriert und für ihre Verwendung reserviert. Dies sind die registrierten Ports. Es gibt einen dritten Satz von Ports, die für jede Anwendung verfügbar sind. Sie werden ad hoc angefordert, zugewiesen, verwendet und freigegeben. Diese werden als kurzlebige Ports bezeichnet.
Werbung
In einer Verbindung wird eine Mischung von Ports verwendet. Die Netzwerkverbindung benötigt einen Port am lokalen Ende der Verbindung—im Computer,—um eine Verbindung zum entfernten Ende der Verbindung, beispielsweise einem Webserver, herzustellen. Wenn der Webserver Hypertext Transfer Protocol Secure (HTTPS) verwendet, ist der Remote-Port Port 443. Ihr Computer verwendet einen der freien kurzlebigen Ports, um eine Verbindung zu Port 443 der IP-Adresse des Webservers herzustellen.
< p>Es gibt 65535 TCP/IP-Ports (und dieselbe Anzahl von UDP-Ports (User Datagram Protocol).
- 0 – 1023: Bekannte Ports. Diese werden Diensten von der Internet Assigned Numbers Authority (IANA) zugewiesen. SSH verwendet beispielsweise standardmäßig Port 22, Webserver lauschen auf Port 443 auf sichere Verbindungen und SMTP-Datenverkehr (Simple Mail Transfer Protocol) verwendet Port 25.
- 1024 – 49151: Registrierte Ports. Organisationen können bei der IANA einen Port beantragen, der bei ihnen registriert und zur Verwendung mit einer Anwendung zugewiesen wird. Obwohl diese registrierten Ports als semi-reserviert bezeichnet werden, sollten sie als reserviert betrachtet werden. Sie werden als semi-reserviert bezeichnet, da es möglich ist, dass die Registrierung eines Ports nicht mehr erforderlich ist und der Port für die Wiederverwendung freigegeben wird. —obwohl es derzeit nicht registriert ist—ist der Port immer noch in der Liste der registrierten Ports. Es wird für die Registrierung durch eine andere Organisation bereitgehalten. Ein Beispiel für einen registrierten Port ist Port 3389. Dies ist der Port, der RDP-Verbindungen zugeordnet ist.
- 49152 – 65535: Ephemere Ports. Diese werden ad-hoc von Client-Programmen verwendet. Sie können diese in jeder Anwendung verwenden, die Sie schreiben. Normalerweise werden sie als lokaler Port innerhalb des Computers verwendet, wenn er an einen bekannten oder reservierten Port auf einem anderen Gerät sendet, um eine Verbindung anzufordern und herzustellen.
Kein Port ist von Natur aus sicher
Jeder Port ist nicht sicherer oder gefährdeter als jeder andere Port. Ein Hafen ist ein Hafen. Es ist die Verwendung des Ports und wie sicher diese Verwendung verwaltet wird, die bestimmt, ob ein Port sicher ist.
Das Protokoll, das für die Kommunikation über einen Port verwendet wird, der Dienst oder die Anwendung, die den über den Port geleiteten Datenverkehr verbraucht oder generiert, muss aktuelle Implementierungen aufweisen und innerhalb des Supportzeitraums des Herstellers liegen. Sie müssen Sicherheits- und Bugfix-Updates erhalten und diese sollten zeitnah angewendet werden.
Hier sind einige gängige Ports und wie sie missbraucht werden können.
Port 21, File Transfer Protocol
Ein unsicherer FTP-Port, auf dem ein FTP-Server gehostet wird, ist eine große Sicherheitslücke. Viele FTP-Server weisen Sicherheitslücken auf, die eine anonyme Authentifizierung, seitliche Bewegungen innerhalb des Netzwerks, Zugriff auf Techniken zur Rechteausweitung ermöglichen und —da viele FTP-Server über Skripts gesteuert werden können, ein Mittel zur Bereitstellung von Cross-Site-Scripting.
Werbung
Malware-Programme wie Dark FTP, Ramen und WinCrash haben unsichere FTP-Ports und -Dienste genutzt.
Port 22 , Sichere Shell
Secure Shell-Konten (SSH), die mit kurzen, nicht eindeutigen, wiederverwendeten oder vorhersehbaren Passwörtern konfiguriert sind, sind unsicher und können durch Passwortwörterbuchangriffe leicht kompromittiert werden. Viele Schwachstellen in früheren Implementierungen von SSH-Diensten und -Daemons wurden entdeckt und werden noch immer entdeckt. Patchen ist wichtig, um die Sicherheit mit SSH aufrechtzuerhalten.
Port 23, Telnet
Telnet ist ein veralteter Dienst und sollte eingestellt werden. Es gibt keine Rechtfertigung für die Verwendung dieses alten und unsicheren Mittels der textbasierten Kommunikation. Alle über Port 23 gesendeten und empfangenen Informationen werden im Klartext gesendet. Es gibt überhaupt keine Verschlüsselung.
Bedrohungsakteure können jede Telnet-Kommunikation abhören und Authentifizierungsdaten einfach auslesen. Sie können Man-in-the-Middle-Angriffe ausführen, indem sie speziell gestaltete bösartige Pakete in die unmaskierten Textstreams einschleusen.
Selbst ein nicht authentifizierter Remote-Angreifer kann eine Pufferüberlauf-Schwachstelle im Telnet-Daemon oder -Dienst ausnutzen und durch Erstellen bösartiger Pakete und deren Einschleusen in den Textstrom, Ausführen von Prozessen auf dem entfernten Server. Dies ist eine Technik, die als Remote Code Execution (RCE) bekannt ist.
Port 80, Hypertext Transport Protocol
Port 80 wird für ungesicherten HTTP-Datenverkehr (Hypertext Transport Protocol) verwendet. HTTPS hat HTTP fast ersetzt, aber ein Teil von HTTP existiert noch immer im Web. Andere häufig mit HTTP verwendete Ports sind die Ports 8080, 8088, 8888. Diese werden in der Regel auf älteren HTTP-Servern und Web-Proxys verwendet.
Werbung
Ungesicherter Web-Traffic und die zugehörigen Ports sind anfällig für Cross- Site-Scripting und Fälschungen, Buffer-Overflow-Angriffe und SQL-Injection-Angriffe.
Port 1080, SOCKS-Proxys
SOCKS ist ein Protokoll, das von SOCKS-Proxys verwendet wird, um Netzwerkpakete über TCP-Verbindungen an IP-Adressen weiterzuleiten und weiterzuleiten. Port 1080 war früher einer der Ports der Wahl für Malware wie Mydoom und viele Würmer- und Denial-of-Service-Angriffe.
Port 4444, Transportkontrollprotokoll
Einige Rootkit-, Backdoor- und Trojaner-Software öffnet und verwendet Port 4444. Sie verwendet diesen Port, um Datenverkehr und Kommunikation zu belauschen, für seine eigene Kommunikation und um Daten vom kompromittierten Computer zu extrahieren. Es wird auch verwendet, um neue bösartige Nutzlasten herunterzuladen. Malware wie der Blaster-Wurm und seine Varianten verwendeten Port 4444, um Hintertüren einzurichten.
Port 6660 – 6669, Internet-Relay-Chat
Internet Relay Chat (IRC) wurde 1988 in Finnland gegründet und läuft noch immer. Heutzutage benötigen Sie einen gusseisernen Business Case, um IRC-Datenverkehr in Ihr Unternehmen zu lassen.
In den über 20 Jahren wurden unzählige IRC-Schwachstellen entdeckt und ausgenutzt in Benutzung. Der UnrealIRCD-Daemon hatte im Jahr 2009 einen Fehler, der die Remotecodeausführung zu einer trivialen Angelegenheit machte.
Port 161, Small Network Messaging Protocol
Einige Ports und Protokolle können Angreifern viele Informationen über Ihre Infrastruktur geben. UDP-Port 161 ist für Bedrohungsakteure attraktiv, da er verwendet werden kann, um Informationen von Servern abzufragen, sowohl über sich selbst als auch über die Hardware und die Benutzer, die dahinter sitzen.
Werbung
Port 161 wird verwendet durch das Simple Network Management Protocol, das es den Bedrohungsakteuren ermöglicht, Informationen wie Infrastrukturhardware, Benutzernamen, Namen von Netzwerkfreigaben und andere vertrauliche Informationen anzufordern, d. h. für den Bedrohungsakteur umsetzbare Informationen.
Port 53, Domain Name Service
Bedrohungsakteure müssen die Exfiltrationsroute berücksichtigen, die ihre Malware verwendet, um Daten und Dateien aus Ihrem Unternehmen an ihre eigenen Server zu übertragen.
Port 53 wurde als Exfiltrationsport der Wahl verwendet, da der Datenverkehr über den Domain Name Service selten überwacht wird. Bedrohungsakteure würden die gestohlenen Daten lose als DNS-Datenverkehr tarnen und an ihren eigenen gefälschten DNS-Server senden. Der falsche DNS-Server hat den Datenverkehr akzeptiert und die Daten in ihrem ursprünglichen Format wiederhergestellt.
Einprägsame Zahlen
Einige Malware-Autoren wählen einfach zu merkende Zahlenfolgen oder wiederholte Nummern, die als Ports verwendet werden sollen. Dafür wurden die Ports 234, 6789, 1111, 666 und 8888 verwendet. Das Erkennen einer dieser seltsam aussehenden Portnummern, die in Ihrem Netzwerk verwendet werden, sollte eine eingehendere Untersuchung einleiten.
Port 31337, was Elite im Wortlaut bedeutet, ist eine weitere gängige Portnummer, die von Malware verwendet wird. Es wurde von mindestens 30 Malware-Varianten verwendet, darunter Back Orifice und Bindshell.
So sichern Sie diese Ports
Alle Ports sollten geschlossen, es sei denn, es liegt ein dokumentierter, geprüfter und genehmigter Geschäftsfall vor. Machen Sie dasselbe für exponierte Dienste. Standardpasswörter müssen geändert und durch robuste, eindeutige Passwörter ersetzt werden. Wenn möglich sollte eine Zwei-Faktor-Authentifizierung verwendet werden.
Werbung
Alle Dienste, Protokolle, Firmware und Anwendungen müssen sich weiterhin innerhalb der Hersteller befinden&8217; Support-Lebenszyklen, und Sicherheits- und Bugfix-Patches müssen für sie verfügbar sein.
Überwachen Sie die Ports, die in Ihrem Netzwerk verwendet werden, und untersuchen Sie alle Merkwürdigkeiten oder unerklärlicherweise offenen Ports. Verstehen Sie, wie Ihre normale Portverwendung aussieht, damit ungewöhnliches Verhalten erkannt werden kann. Führen Sie Port-Scans und Penetrationstests durch.
Schließen Sie Port 23 und beenden Sie die Verwendung von Telnet. Ernsthaft. Hör einfach auf.
SSH-Ports können mit Public-Key-Authentifizierung und Zwei-Faktor-Authentifizierung gesichert werden. Das Konfigurieren Ihres Netzwerks für die Verwendung einer anderen Portnummer für SSH-Datenverkehr wird ebenfalls hilfreich sein.
Wenn Sie IRC verwenden müssen, stellen Sie sicher, dass es sich hinter einer Firewall befindet und verlangen Sie von IRC-Benutzern, sich mit einem VPN in Ihr Netzwerk zu verbinden, um es zu verwenden. Erlauben Sie keinem externen Datenverkehr, Ihren IRC direkt zu treffen.
Werbung
Überwachen und filtern Sie den DNS-Datenverkehr. Nichts sollte Port 53 verlassen, außer echte DNS-Anfragen.
Verfolgen Sie eine tiefgreifende Verteidigungsstrategie und gestalten Sie Ihre Verteidigung vielschichtig. Verwenden Sie hostbasierte und netzwerkbasierte Firewalls. Ziehen Sie ein Intrusion Detection System (IDS) wie das kostenlose und Open-Source-Snort in Betracht.
Deaktivieren Sie alle Proxys, die Sie nicht eingerichtet haben oder die Sie nicht mehr benötigen.
Einige SNMP-Rückgabezeichenfolgen enthalten Standard-Anmeldeinformationen im Klartext. Deaktivieren Sie dies.
Entfernen Sie unerwünschte HTTP- und HTTPS-Antwortheader und deaktivieren Sie die Banner, die standardmäßig in den Antworten einiger Netzwerkhardware enthalten sind. Diese geben unnötigerweise Informationen preis, die nur den Bedrohungsakteuren zugute kommen.