Datové pakety přenášené do az číslovaných síťových portů jsou přidruženy ke konkrétním IP adresám a koncovým bodům pomocí protokolů TCP nebo UDP. Všechny porty jsou ohroženy útokem, žádný port není absolutně bezpečný.
Pan Kurt Muhl – přední bezpečnostní konzultant RedTeamu vysvětlil: „Každý základní port a služba má riziko. Riziko pochází z verze služby, i když je správně nakonfigurována. stačí? Mezi další faktory patří, zda si hackeři zvolili port k útoku, necháváte portem procházet malware. Zkrátka Znovu, existuje mnoho faktorů, které určují zabezpečení portu nebo služby.“
CSO zkoumá rizika síťových bran založených na aplikacích, zranitelnostech a souvisejících útocích a poskytuje několik přístupů k ochraně podniků před zlomyslnými hackery, kteří tyto zranitelnosti zneužívají.
Čím jsou síťové brány nebezpečné?
Celkem je zde 65 535 TCP portů a dalších 65 535 UDP portů, podíváme se na některé z nejnebezpečnějších portů. TCP port 21 připojuje FTP servery k internetu. Tyto FTP servery mají mnoho hlavních zranitelností, jako je anonymní ověřování, procházení adresářů, skriptování mezi weby, díky čemuž je port 21 ideálním cílem pro hackery.
Zatímco některé zranitelné služby tento nástroj nadále používají, starší služby, jako je Telnet na portu TCP 23, byly zpočátku ze své podstaty nejisté. Přestože je jeho šířka pásma velmi malá, pouze několik bajtů najednou, Telnet odesílá data zcela veřejně v čistém textu. Austin Norby - počítačový vědec z amerického ministerstva obrany řekl: "Útočníci mohou poslouchat, prohlížet certifikáty, vkládat příkazy prostřednictvím útoků [man-in-the-middle] a nakonec provádět vzdálené spouštění kódu (RCE). (Toto je jeho vlastní názor, nereprezentuje názory žádné agentury).
Zatímco některé síťové porty vytvářejí snadné otvory pro útočníky, aby se dovnitř dostali, jiné vytvářejí dokonalé únikové cesty. Příkladem je TCP/UDP port 53 pro DNS. Jakmile proniknou do sítě a dosáhnou svého cíle, vše, co musí hacker udělat, aby dostal data ven, je použít stávající software k přeměně dat na DNS provoz. "DNS je zřídka monitorován a zřídka filtrován," řekl Norby. Když útočníci ukradnou data ze zabezpečeného podniku, jednoduše je odešlou prostřednictvím speciálně navrženého serveru DNS, který data převede zpět do původního stavu.
Čím více portů se používá, tím snazší je propašovat útoky do všech ostatních paketů. TCP port 80 pro HTTP podporuje webový provoz přijatý prohlížečem. Podle Norbyho zahrnují útoky na webové klienty přes port 80 hacky SQL injection, falšování požadavků mezi weby, skriptování mezi weby a přetečení vyrovnávací paměti.
Útočníci nastaví své služby na samostatných portech. Používají TCP port 1080 - používá se pro ochranu soketu proxy "SOCKS" pro podporu malwaru a operací. Trojské koně a červi jako Mydoom a Bugbear použili port 1080 při útocích. Pokud správce sítě nenastaví proxy SOCKS, jeho existence je hrozbou, řekl Norby.
Když mají hackeři potíže, použijí čísla portů, která si lze snadno zapamatovat, například řadu čísel 234, 6789 nebo stejné číslo jako 666 nebo 8888. Některý software Backdoor a trojský kůň se otevře a použije port TCP 4444 k poslechu , komunikovat, přeposílat škodlivý provoz zvenčí a odesílat škodlivá data. Některé další malware, který také používá tento port, zahrnují Prosiak, Swift Remote a CrackDown.
Webový provoz nevyužívá pouze port 80. HTTP provoz také využívá TCP porty 8080, 8088 a 8888. Servery připojující se k těmto portům jsou většinou starší boxy, které nejsou spravované a nechráněné, což je činí zranitelnými.Bezpečnost se postupem času zvyšuje. Servery na těchto portech mohou být také proxy HTTP, pokud je správci sítě nenainstalují, mohou se HTTP proxy stát problémem zabezpečení v systému.
Elitní útočníci použili TCP a UDP porty 31337 pro slavný backdoor – Back Orifice a další malwarové programy. Na TCP portu můžeme zmínit: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night a BO klienta, například na UDP portu je Deep BO. V „leetspeaku“ – jazyce, který používá písmena a čísla, je 31337 „eleet“, což znamená Elite.
Slabá hesla mohou způsobit, že SSH a port 22 budou zranitelné vůči útokům. Podle Davida Widena - systémového inženýra ve společnosti BoxBoat Technologies: Port 22 - Port Secure Shell umožňuje přístup ke vzdáleným shellům na zranitelném hardwaru serveru, protože zde jsou autentizační informace obvykle uživatelské jméno a heslo Výchozí heslo, které lze snadno uhodnout. Krátká hesla, méně než 8 znaků, používají známé fráze s řetězcem čísel, které jsou pro útočníky příliš snadné uhodnout.
Hackeři stále útočí na IRC běžící na portech 6660 až 6669. Widen řekl: Na tomto portu je mnoho zranitelností IRC, jako je Unreal IRCD, které umožňuje útočníkům provádět vzdálené útoky, ale obvykle jde o normální útoky, které nemají velkou hodnotu.
Některé porty a protokoly umožňují útočníkům větší dosah. Například port UDP 161 přitahuje útočníky kvůli protokolu SNMP, který je užitečný pro správu počítačů v síti, získávání informací a odesílání provozu přes tento port. Muhl vysvětluje: SNMP umožňuje uživatelům dotazovat se na server, aby získali uživatelská jména, soubory sdílené v síti a další informace. SNMP se často dodává s výchozími řetězci, které fungují jako hesla.
Chraňte porty, služby a zranitelná místa
Podle Widen mohou podniky chránit protokol SSH pomocí ověřování pomocí veřejného klíče, zakázáním přihlášení jako root a přesunem SSH na vyšší číslo portu, aby jej útočníci nemohli najít. Pokud se uživatel připojí k SSH na čísle portu až 25 000, bude pro útočníka obtížné určit útočnou plochu služby SSH.
Pokud vaše firma provozuje IRC, zapněte firewall, abyste ji ochránili. Nedovolte, aby se do blízkosti služby IRC přiblížil žádný provoz mimo síť, dodal Widen. Povolit pouze uživatelům VPN v síti používat IRC.
Opakující se čísla portů a zejména sekvence čísel zřídka představují správné použití portů. Když uvidíte, že se tyto porty používají, ujistěte se, že jsou ověřené, říká Norby. Monitorujte a filtrujte DNS, abyste předešli únikům a přestali používat Telnet a zavřete port 23.
Zabezpečení na všech síťových portech musí zahrnovat ochranu do hloubky. Norby říká: Zavřete všechny porty, které nepoužíváte, používejte hostitelské firewally na všech serverech, spusťte nejnovější síťový firewall, sledujte a filtrujte provoz portů. Provádějte pravidelné skenování síťových portů, abyste se ujistili, že na portu nejsou žádná zranitelná místa. Zvláštní pozornost věnujte SOCKS proxy nebo jiným službám, které jste ještě nenastavili. Opravujte, opravujte a posilujte jakékoli zařízení, software nebo službu připojenou k síťovému portu, dokud ve vaší síti nezůstanou žádná zranitelná místa. Buďte proaktivní, když se v softwaru (starém i novém) objeví nové chyby zabezpečení, ke kterým mají útočníci přístup prostřednictvím síťových portů.
Používejte nejnovější aktualizace pro jakoukoli službu, kterou podporujete, správně ji nakonfigurujte a používejte silná hesla a seznamy řízení přístupu, které vám pomohou omezit, kdo má přístup, říká MuHl., který se může připojit k portům a službám. Dodal také, že: Přístavy a služby by měly být pravidelně kontrolovány. Když používáte služby jako HTTP a HTTPS, existuje velký prostor pro přizpůsobení, což může snadno vést k nesprávné konfiguraci a zranitelnosti zabezpečení.
Bezpečný přístav pro rizikové přístavy
Odborníci přišli s různými seznamy vysoce rizikových portů na základě různých kritérií, jako je typ nebo závažnost hrozeb spojených s každým portem nebo úroveň zranitelnosti služeb na určitých portech. Doposud však neexistuje úplný seznam. Pro další výzkum můžete začít se seznamy na SANS.org, SpeedGuide.net a GaryKessler.net.
Článek zkrácený z "Zabezpečení rizikových síťových portů" publikovaný CSO.
Statická IP adresa je pevná IP adresa nakonfigurovaná v nastavení počítače nebo routeru. Někteří poskytovatelé internetových služeb (ISP) vyžadují zadání statické IP adresy na vašem počítači nebo nastavení TCP/IP routeru, abyste se mohli připojit k internetu.
Podle způsobu infekce patří PublicBoardSearch do kategorie únosců prohlížeče. Jedná se o typ malwaru navržený tak, aby převzal nastavení známého prohlížeče.
Kolekce tapet s vysokým rozlišením pro uživatele počítačů a notebooků s plným rozlišením od Full HD po 4K.
Unixový systém, také známý jako „loopback“, může sám sobě posílat a přijímat síťovou komunikaci přes virtuální síťové zařízení. Počítač může posílat zprávy sám sobě, což umožňuje komunikaci bez aktivní sítě.
Pravděpodobně jste slyšeli rčení, že dostanete to, za co zaplatíte, ale co když dojde na antivirový software? Měli byste si raději koupit softwarové balíčky, než se rozhodnout pro bezplatná řešení ochrany? Možná tomu tak není a zde je důvod!
V dnešním článku Quantrimang shrne oblíbené značky antivirového softwaru na trhu a zjistí, jak se liší mezi Windows PC a macOS.
Není jasné, co Sun Valley přinese kromě změn a vylepšení uživatelského rozhraní nejvyšší úrovně. Zde je tedy to, co uživatelé doufají, že uvidí od velké aktualizace systému Windows 10 Sun Valley, která bude uvedena v příštím roce.
Systém Windows poskytuje možnost Spustit jako správce, která uživatelům umožňuje spouštět aplikace a programy s oprávněními správce. Můžete jej také použít k odstraňování problémů s počítačem. Ale co když tato funkce nefunguje a odebere vám práva správce?
Chyby související s jednotkou vašeho počítače mohou zabránit správnému spuštění systému a omezit přístup k vašim souborům a aplikacím.
Některé varianty malwaru mohou používat různé moduly ke změně toho, jak ovlivňují cílový systém. Co je tedy modulární malware a jak funguje?
