Datapakker, der transmitteres til og fra nummererede netværksporte , er forbundet med specifikke IP-adresser og slutpunkter ved hjælp af TCP- eller UDP-protokoller. Alle havne risikerer at blive angrebet, ingen havn er absolut sikker.
Mr. Kurt Muhl - RedTeams førende sikkerhedskonsulent forklarede: "Enhver underliggende port og service har risiko. Risikoen kommer fra versionen af tjenesten, selvom den er konfigureret korrekt. korrekt eller indstillet en adgangskode til tjenesten, er det password stærk nok? Andre faktorer omfatter, er porten valgt af hackere til at angribe, slipper du malware gennem porten. Kort sagt Igen er der mange faktorer, der bestemmer sikkerheden for en port eller tjeneste."
CSO undersøger risikoen for netværksgateways baseret på applikationer, sårbarheder og tilknyttede angreb, hvilket giver flere tilgange til at beskytte virksomheder mod ondsindede hackere, der misbruger disse sårbarheder.
Hvad gør netværksgateways farlige?
Der er i alt 65.535 TCP-porte og yderligere 65.535 UDP-porte, vi vil se på nogle af de farligste porte. TCP-port 21 forbinder FTP-servere til internettet. Disse FTP-servere har mange store sårbarheder såsom anonym godkendelse, kataloggennemgang, cross-site scripting, hvilket gør port 21 til et ideelt mål for hackere.
Mens nogle sårbare tjenester fortsætter med at bruge hjælpeprogrammet, var ældre tjenester som Telnet på TCP-port 23 i sagens natur usikre til at begynde med. Selvom dens båndbredde er meget lille, kun få bytes ad gangen, sender Telnet data fuldstændigt offentligt i klartekst. Austin Norby - datalog ved det amerikanske forsvarsministerium sagde: "Angribere kan lytte, se certifikater, injicere kommandoer gennem [man-in-the-middle] angreb og til sidst udføre Remote Code Executions (RCE). (Dette er hans egen mening, repræsenterer ikke synspunkter fra nogen agentur).
Mens nogle netværksporte skaber nemme huller for angribere at komme ind i, skaber andre perfekte flugtveje. TCP/UDP-port 53 til DNS er et eksempel. Når de først har infiltreret netværket og nået deres mål, er alt, hvad hackeren skal gøre for at få dataene ud, at bruge eksisterende software til at omdanne dataene til DNS-trafik. "DNS overvåges sjældent og filtreres sjældent," sagde Norby. Når angribere stjæler data fra en sikker virksomhed, sender de blot dataene gennem en specialdesignet DNS-server, der oversætter dataene tilbage til deres oprindelige tilstand.
Jo flere porte der bruges, jo lettere er det at snige angreb ind i alle andre pakker. TCP-port 80 til HTTP understøtter webtrafik modtaget af browseren. Ifølge Norby inkluderer angreb på webklienter via port 80 SQL-injection hacks, cross-site request forgery, cross-site scripting og buffer overflow.
Angribere vil konfigurere deres tjenester på separate porte. De bruger TCP-port 1080 - bruges til socket, der beskytter "SOCKS"-proxyer, til støtte for malware og operationer. Trojanske heste og orme som Mydoom og Bugbear har brugt port 1080 i angreb. Hvis en netværksadministrator ikke konfigurerer en SOCKS-proxy, er dens eksistens en trussel, sagde Norby.
Når hackere er i problemer, vil de bruge portnumre, der let kan huskes, såsom rækken af tal 234, 6789 eller det samme nummer som 666 eller 8888. Nogle Backdoor- og trojanske heste-software åbner og bruger TCP-port 4444 til at lytte , kommunikere, videresende ondsindet trafik udefra og sende ondsindede nyttelaster. Nogle andre malware, der også bruger denne port, inkluderer Prosiak, Swift Remote og CrackDown.
Webtrafik bruger ikke kun port 80. HTTP-trafik bruger også TCP-porte 8080, 8088 og 8888. Servere, der forbinder til disse porte, er for det meste ældre bokse, der er uadministrerede og ubeskyttede, hvilket gør dem sårbare. Sikkerheden øges over tid. Servere på disse porte kan også være HTTP-proxyer, hvis netværksadministratorer ikke installerer dem, kan HTTP-proxyer blive et sikkerhedsproblem i systemet.
Eliteangribere brugte TCP- og UDP-porte 31337 til den berømte bagdør - Back Orifice og andre malware-programmer. På TCP-porten kan vi nævne: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night og BO-klient, for eksempel på UDP-porten er Deep BO. I "leetspeak" - et sprog, der bruger bogstaver og tal, er 31337 "eleet", hvilket betyder Elite.
Svage adgangskoder kan gøre SSH og port 22 sårbare over for angreb. Ifølge David Widen - systemingeniør hos BoxBoat Technologies: Port 22 - Sikker Shell-port giver adgang til eksterne skaller på sårbar serverhardware, for her er godkendelsesoplysningerne normalt brugernavn og adgangskode.standardadgangskode, let at gætte. Korte adgangskoder, færre end 8 tegn, bruger velkendte sætninger med en række tal, der er for nemme for angribere at gætte.
Hackere angriber stadig IRC, der kører på portene 6660 til og med 6669. Widen sagde: Ved denne port er der mange IRC-sårbarheder, såsom Unreal IRCD, der tillader angribere at udføre fjernangreb, men disse er normalt normale angreb, ikke af stor værdi.
Nogle porte og protokoller giver angribere større rækkevidde. For eksempel tiltrækker UDP-port 161 angribere på grund af SNMP-protokollen, som er nyttig til at administrere netværkscomputere, polling-information og sende trafik gennem denne port. Muhl forklarer: SNMP giver brugerne mulighed for at forespørge serveren for at få brugernavne, filer delt på netværket og mere information. SNMP kommer ofte med standardstrenge, der fungerer som adgangskoder.
Beskyt porte, tjenester og sårbarheder
Ifølge Widen kan virksomheder beskytte SSH-protokollen ved at bruge offentlig nøglegodkendelse, deaktivere login som root og flytte SSH til et højere portnummer, så angribere ikke kan finde det. Hvis en bruger opretter forbindelse til SSH på et portnummer så højt som 25.000, vil det være svært for en angriber at bestemme angrebsoverfladen for SSH-tjenesten.
Hvis din virksomhed kører IRC, skal du tænde en firewall for at beskytte den. Tillad ikke nogen trafik uden for netværket at komme i nærheden af IRC-tjenesten, tilføjede Widen. Tillad kun VPN-brugere på netværket at bruge IRC.
Gentagne portnumre og især talsekvenser repræsenterer sjældent korrekt brug af porte. Når du ser disse porte blive brugt, så sørg for, at de er autentificeret, siger Norby. Overvåg og filtrer DNS for at undgå lækager og stop med at bruge Telnet og luk port 23.
Sikkerhed på alle netværksporte skal omfatte forsvar i dybden. Norby siger: Luk alle porte du ikke bruger, brug værtsbaserede firewalls på alle servere, kør den nyeste netværksbaserede firewall, overvåg og filtrer porttrafik. Udfør regelmæssig netværksportsscanning for at sikre, at der ikke er nogen ubesvarede sårbarheder på porten. Vær særlig opmærksom på SOCKS proxyer eller andre tjenester, du ikke har konfigureret endnu. Patch, reparer og forstærk enhver enhed, software eller service, der er tilsluttet netværksporten, indtil der ikke er nogen resterende sårbarheder i dit netværk. Vær proaktiv, når nye sårbarheder dukker op i software (både gammel og ny), som angribere kan få adgang til via netværksporte.
Brug de seneste opdateringer til enhver tjeneste, du understøtter, konfigurer den korrekt, og brug stærke adgangskoder og adgangskontrollister, der hjælper dig med at begrænse, hvem der har adgang, siger MuHl., der kan oprette forbindelse til porte og tjenester. Han tilføjede også, at: Havne og tjenester bør kontrolleres regelmæssigt. Når du bruger tjenester som HTTP og HTTPS, er der meget plads til tilpasning, hvilket nemt kan føre til fejlkonfiguration og sikkerhedssårbarheder.
Sikker havn for risikohavne
Eksperter er kommet med forskellige lister over højrisiko-porte baseret på forskellige kriterier, såsom typen eller sværhedsgraden af trusler, der er forbundet med hver port, eller graden af sårbarhed af tjenesterne på visse havne. Men indtil nu er der stadig ingen komplet liste. For yderligere forskning kan du starte med listerne på SANS.org, SpeedGuide.net og GaryKessler.net.
Artikel forkortet fra "Sikring af risikable netværksporte" udgivet af CSO.
Windows Firewall med avanceret sikkerhed er en firewall, der kører på Windows Server 2012 og er aktiveret som standard. Firewall-indstillinger i Windows Server 2012 administreres i Windows Firewall Microsoft Management Console.
Når du ændrer adgangskoden til Vigor Draytek-modem- og router-login-admin-siden, vil brugere begrænse uautoriseret adgang til at ændre modem-adgangskoden, hvilket sikrer vigtige netværksoplysninger.
Heldigvis kan brugere af Windows-computere, der kører AMD Ryzen-processorer, bruge Ryzen Master til nemt at overclocke RAM uden at røre BIOS.
USB-C-porten er blevet standarden for dataoverførsel, videooutput og opladning på moderne Windows-bærbare computere. Selvom dette er praktisk, kan det være frustrerende, når du tilslutter din bærbare computer til en USB-C-oplader, og den ikke oplader.
Fejlen Kan ikke oprette tjeneste på Ultraviewer opstår, når vi installerer softwaren med fejlkode 1072.
Fejlen med ikke at vise ID på Ultraviewer vil påvirke fjerncomputerforbindelsen.
Ultraviewer fjernstyrer computeren og har en tilstand til at sende og modtage filer.
Normalt, når du sletter en fil på Windows, slettes filen ikke med det samme, men gemmes i papirkurven. Derefter skal du gøre et trin mere: tøm papirkurven. Men hvis du ikke ønsker at skulle gøre dette andet trin, vil vi vise dig, hvordan du permanent sletter en fil i artiklen nedenfor.
Det mørke web er et mystisk sted med et berømt ry. Det er ikke svært at finde det mørke web. Men at lære at navigere sikkert er en anden sag, især hvis du ikke ved, hvad du laver, eller hvad du kan forvente.
Teknisk set er Adrozek ikke en virus. Det er en browser hijacker, også kendt som browser modifier. Det betyder, at malware blev installeret på din computer uden din viden.
