Paketi podataka koji se prenose na i s numeriranih mrežnih priključaka povezani su s određenim IP adresama i krajnjim točkama, koristeći TCP ili UDP protokole. Sve su luke u opasnosti od napada, nijedna luka nije apsolutno sigurna.
G. Kurt Muhl - vodeći sigurnosni konzultant RedTeama objasnio je: "Svaki temeljni port i usluga nosi rizik. Rizik dolazi od verzije usluge, čak i ako je ispravno konfigurirana. ispravno ili postavite lozinku za uslugu, je li ta lozinka jaka dovoljno? Ostali čimbenici uključuju jesu li hakeri odabrali port za napad, puštate li zlonamjerni softver kroz port. Ukratko, opet, postoje mnogi čimbenici koji određuju sigurnost porta ili usluge."
CSO ispituje rizik mrežnih pristupnika na temelju aplikacija, ranjivosti i povezanih napada, pružajući više pristupa za zaštitu poduzeća od zlonamjernih hakera koji zlorabe ove ranjivosti.
Što čini mrežne pristupnike opasnima?
Postoji ukupno 65.535 TCP portova i još 65.535 UDP portova, pogledat ćemo neke od najopasnijih portova. TCP port 21 povezuje FTP poslužitelje s Internetom. Ovi FTP poslužitelji imaju mnoge velike ranjivosti kao što su anonimna provjera autentičnosti, obilaženje direktorija, skriptiranje između stranica, što port 21 čini idealnom metom za hakere.
Dok neke ranjive usluge nastavljaju koristiti uslužni program, naslijeđene usluge poput Telneta na TCP portu 23 bile su inherentno nesigurne u početku. Iako je njegova propusnost vrlo mala, samo nekoliko bajtova odjednom, Telnet šalje podatke potpuno javno u čistom tekstu. Austin Norby – računalni znanstvenik u Ministarstvu obrane SAD-a rekao je: "Napadači mogu slušati, pregledavati certifikate, ubacivati naredbe kroz [man-in-the-middle] napade i na kraju, izvoditi daljinsko izvršavanje koda (RCE). (Ovo je njegovo vlastito mišljenje, ne predstavlja stavove nijedne agencije).
Dok neki mrežni priključci stvaraju rupe u koje napadači mogu lako ući, drugi stvaraju savršene rute za bijeg. TCP/UDP port 53 za DNS je primjer. Nakon što su se infiltrirali u mrežu i postigli svoj cilj, sve što haker treba učiniti kako bi izvukao podatke je koristiti postojeći softver za pretvaranje podataka u DNS promet. "DNS se rijetko prati i rijetko filtrira", rekao je Norby. Kada napadači ukradu podatke iz sigurnog poduzeća, oni jednostavno pošalju podatke putem posebno dizajniranog DNS poslužitelja koji prevodi podatke natrag u izvorno stanje.
Što se više portova koristi, to je lakše provući napade u sve ostale pakete. TCP port 80 za HTTP podržava web promet koji prima preglednik. Prema Norbyju, napadi na web klijente preko priključka 80 uključuju hakiranje SQL injection, krivotvorenje zahtjeva između web stranica, skriptiranje između web stranica i prekoračenje međuspremnika.
Napadači će svoje usluge postaviti na zasebne portove. Koriste TCP port 1080 - koristi se za utičnicu koja štiti "SOCKS" proxyje, kao podršku zlonamjernom softveru i operacijama. Trojanski konji i crvi kao što su Mydoom i Bugbear koristili su port 1080 u napadima. Ako mrežni administrator ne postavi SOCKS proxy, njegovo postojanje predstavlja prijetnju, rekao je Norby.
Kada su hakeri u nevolji, koristit će brojeve portova koji se lako pamte, kao što je niz brojeva 234, 6789 ili isti broj kao 666 ili 8888. Neki softver Backdoor i trojanski konj otvaraju se i koriste TCP port 4444 za slušanje , komunicirati, prosljeđivati zlonamjerni promet izvana i slati zlonamjerne sadržaje. Neki drugi zlonamjerni softver koji također koristi ovaj priključak uključuje Prosiak, Swift Remote i CrackDown.
Web promet ne koristi samo priključak 80. HTTP promet također koristi TCP priključke 8080, 8088 i 8888. Poslužitelji koji se povezuju na te priključke uglavnom su stariji uređaji kojima se ne upravlja i nisu zaštićeni, što ih čini ranjivima. Sigurnost se povećava s vremenom. Poslužitelji na ovim priključcima također mogu biti HTTP proxyji, ako ih mrežni administratori ne instaliraju, HTTP proxyji mogu postati sigurnosni problem u sustavu.
Elitni napadači koristili su TCP i UDP portove 31337 za poznati backdoor - Back Orifice i druge malware programe. Na TCP portu možemo spomenuti: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night i BO klijent, npr. na UDP portu je Deep BO. Na "leetspeak" - jeziku koji koristi slova i brojke, 31337 je "eleet", što znači Elita.
Slabe lozinke mogu učiniti SSH i port 22 ranjivima na napade. Prema Davidu Widenu - sistemskom inženjeru u BoxBoat Technologies: Port 22 - Secure Shell port omogućuje pristup udaljenim školjkama na ranjivom hardveru poslužitelja, jer su ovdje podaci za autentifikaciju obično korisničko ime i lozinka. zadana lozinka, lako se pogoditi. Kratke lozinke, manje od 8 znakova, koriste poznate fraze s nizom brojeva koje je napadačima prelako pogoditi.
Hakeri još uvijek napadaju IRC koji radi na portovima 6660 do 6669. Widen je rekao: Na ovom portu postoji mnogo IRC ranjivosti, kao što je Unreal IRCD koji napadačima omogućuje izvođenje daljinskih napada, ali to su obično normalni napadi, bez velike vrijednosti.
Neki priključci i protokoli omogućuju napadačima veći doseg. Na primjer, UDP port 161 privlači napadače zbog SNMP protokola, koji je koristan za upravljanje umreženim računalima, prikupljanje podataka i slanje prometa kroz ovaj port. Muhl objašnjava: SNMP omogućuje korisnicima postavljanje upita poslužitelju kako bi dobili korisnička imena, datoteke koje se dijele na mreži i više informacija. SNMP često dolazi sa zadanim nizovima koji djeluju kao lozinke.
Zaštitite portove, usluge i ranjivosti
Prema Widenu, tvrtke mogu zaštititi SSH protokol korištenjem provjere autentičnosti s javnim ključem, onemogućavanjem prijave kao root i premještanjem SSH-a na viši broj porta kako ga napadači ne bi mogli pronaći. Ako se korisnik spoji na SSH na broju priključka čak 25.000, napadaču će biti teško odrediti površinu napada SSH usluge.
Ako vaša tvrtka koristi IRC, uključite vatrozid da je zaštitite. Nemojte dopustiti da se promet izvan mreže približi IRC usluzi, dodao je Widen. Dopustite samo VPN korisnicima na mreži korištenje IRC-a.
Brojevi portova koji se ponavljaju, a posebno nizovi brojeva rijetko predstavljaju ispravnu upotrebu portova. Kada vidite da se ti portovi koriste, provjerite jesu li autentificirani, kaže Norby. Pratite i filtrirajte DNS kako biste izbjegli curenje i prestali koristiti Telnet i zatvorili port 23.
Sigurnost na svim mrežnim priključcima mora uključivati dubinsku obranu. Norby kaže: Zatvorite sve portove koje ne koristite, koristite vatrozid temeljen na hostu na svim poslužiteljima, pokrenite najnoviji vatrozid temeljen na mreži, nadzirite i filtrirajte promet portova. Izvršite redovito skeniranje mrežnog priključka kako biste bili sigurni da nema propuštenih ranjivosti na priključku. Obratite posebnu pozornost na SOCKS proxy ili bilo koje druge usluge koje još niste postavili. Zakrpite, popravite i ojačajte bilo koji uređaj, softver ili uslugu spojenu na mrežni priključak sve dok u vašoj mreži više ne bude ranjivih točaka. Budite proaktivni kada se u softveru (i starom i novom) pojave nove ranjivosti kojima napadači mogu pristupiti putem mrežnih priključaka.
Koristite najnovija ažuriranja za bilo koju uslugu koju podržavate, ispravno je konfigurirajte i koristite jake lozinke i popise za kontrolu pristupa koji će vam pomoći da ograničite tko ima pristup, kaže MuHl. može se povezati s portovima i uslugama. Također je dodao da: luke i usluge treba redovito provjeravati. Kada koristite usluge kao što su HTTP i HTTPS, postoji mnogo prostora za prilagodbu, što može lako dovesti do pogrešne konfiguracije i sigurnosnih propusta.
Sigurna luka za rizične luke
Stručnjaci su došli do različitih popisa visokorizičnih portova na temelju različitih kriterija kao što su vrsta ili ozbiljnost prijetnji povezanih sa svakim portom ili razina ranjivosti servisa na određenim portovima. Ali do sada još uvijek ne postoji potpuni popis. Za daljnje istraživanje možete započeti s popisima na SANS.org, SpeedGuide.net i GaryKessler.net.
Članak skraćeno iz "Osiguranje rizičnih mrežnih priključaka" koji je objavio CSO.
Scareware je zlonamjerni računalni program osmišljen kako bi prevario korisnike da misle da je to legitimna aplikacija i traži od vas da potrošite novac na nešto što ne radi ništa.
cFosSpeed je softver koji povećava brzinu internetske veze, smanjuje latenciju prijenosa i povećava snagu veze do otprilike 3 puta. Osobito za one koji igraju online igre, cFosSpeed će podržati kako biste mogli iskusiti igru bez ikakvih problema s mrežom.
Vatrozid za Windows s naprednom sigurnošću je vatrozid koji radi na Windows Serveru 2012 i omogućen je prema zadanim postavkama. Postavkama vatrozida u sustavu Windows Server 2012 upravlja se u Windows Firewall Microsoft Management Console.
Prilikom promjene lozinke administratorske stranice za prijavu modema i usmjerivača Vigor Draytek, korisnici će ograničiti neovlašteni pristup za promjenu lozinke modema, osiguravajući važne informacije o mreži.
Srećom, korisnici Windows računala s AMD Ryzen procesorima mogu koristiti Ryzen Master za jednostavno overclockiranje RAM-a bez diranja BIOS-a.
USB-C priključak postao je standard za prijenos podataka, video izlaz i punjenje na modernim Windows prijenosnim računalima. Iako je to zgodno, može biti frustrirajuće kada prijenosno računalo priključite na USB-C punjač, a ono se ne puni.
Pogreška Cannot Create Service na Ultravieweru javlja se kada instaliramo softver s kodom pogreške 1072.
Pogreška neprikazivanja ID-a na Ultravieweru utjecat će na vezu s udaljenim računalom.
Ultraviewer daljinski upravlja računalom i ima način rada za slanje i primanje datoteka.
Obično, kada brišete datoteku u sustavu Windows, datoteka se neće odmah izbrisati, već će se spremiti u koš za smeće. Nakon toga morat ćete napraviti još jedan korak: isprazniti smeće. Ali ako ne želite morati napraviti ovaj drugi korak, pokazat ćemo vam kako trajno izbrisati datoteku u članku u nastavku.
