Kako zaštititi visokorizične mrežne priključke?

Paketi podataka koji se prenose na i s numeriranih mrežnih priključaka povezani su s određenim IP adresama i krajnjim točkama, koristeći TCP ili UDP protokole. Sve su luke u opasnosti od napada, nijedna luka nije apsolutno sigurna.

G. Kurt Muhl - vodeći sigurnosni konzultant RedTeama objasnio je: "Svaki temeljni port i usluga nosi rizik. Rizik dolazi od verzije usluge, čak i ako je ispravno konfigurirana. ispravno ili postavite lozinku za uslugu, je li ta lozinka jaka dovoljno? Ostali čimbenici uključuju jesu li hakeri odabrali port za napad, puštate li zlonamjerni softver kroz port. Ukratko, opet, postoje mnogi čimbenici koji određuju sigurnost porta ili usluge."

CSO ispituje rizik mrežnih pristupnika na temelju aplikacija, ranjivosti i povezanih napada, pružajući više pristupa za zaštitu poduzeća od zlonamjernih hakera koji zlorabe ove ranjivosti.

• Opsežan skup alata za nadzor mreže
• Top 10 osnovnih alata za rješavanje problema s mrežom koje IT ljudi trebaju znati

Što čini mrežne pristupnike opasnima?

Postoji ukupno 65.535 TCP portova i još 65.535 UDP portova, pogledat ćemo neke od najopasnijih portova. TCP port 21 povezuje FTP poslužitelje s Internetom. Ovi FTP poslužitelji imaju mnoge velike ranjivosti kao što su anonimna provjera autentičnosti, obilaženje direktorija, skriptiranje između stranica, što port 21 čini idealnom metom za hakere.

Dok neke ranjive usluge nastavljaju koristiti uslužni program, naslijeđene usluge poput Telneta na TCP portu 23 bile su inherentno nesigurne u početku. Iako je njegova propusnost vrlo mala, samo nekoliko bajtova odjednom, Telnet šalje podatke potpuno javno u čistom tekstu. Austin Norby – računalni znanstvenik u Ministarstvu obrane SAD-a rekao je: "Napadači mogu slušati, pregledavati certifikate, ubacivati ​​naredbe kroz [man-in-the-middle] napade i na kraju, izvoditi daljinsko izvršavanje koda (RCE). (Ovo je njegovo vlastito mišljenje, ne predstavlja stavove nijedne agencije).

Dok neki mrežni priključci stvaraju rupe u koje napadači mogu lako ući, drugi stvaraju savršene rute za bijeg. TCP/UDP port 53 za DNS je primjer. Nakon što su se infiltrirali u mrežu i postigli svoj cilj, sve što haker treba učiniti kako bi izvukao podatke je koristiti postojeći softver za pretvaranje podataka u DNS promet. "DNS se rijetko prati i rijetko filtrira", rekao je Norby. Kada napadači ukradu podatke iz sigurnog poduzeća, oni jednostavno pošalju podatke putem posebno dizajniranog DNS poslužitelja koji prevodi podatke natrag u izvorno stanje.

Što se više portova koristi, to je lakše provući napade u sve ostale pakete. TCP port 80 za HTTP podržava web promet koji prima preglednik. Prema Norbyju, napadi na web klijente preko priključka 80 uključuju hakiranje SQL injection, krivotvorenje zahtjeva između web stranica, skriptiranje između web stranica i prekoračenje međuspremnika.

Napadači će svoje usluge postaviti na zasebne portove. Koriste TCP port 1080 - koristi se za utičnicu koja štiti "SOCKS" proxyje, kao podršku zlonamjernom softveru i operacijama. Trojanski konji i crvi kao što su Mydoom i Bugbear koristili su port 1080 u napadima. Ako mrežni administrator ne postavi SOCKS proxy, njegovo postojanje predstavlja prijetnju, rekao je Norby.

Kada su hakeri u nevolji, koristit će brojeve portova koji se lako pamte, kao što je niz brojeva 234, 6789 ili isti broj kao 666 ili 8888. Neki softver Backdoor i trojanski konj otvaraju se i koriste TCP port 4444 za slušanje , komunicirati, prosljeđivati ​​zlonamjerni promet izvana i slati zlonamjerne sadržaje. Neki drugi zlonamjerni softver koji također koristi ovaj priključak uključuje Prosiak, Swift Remote i CrackDown.

Web promet ne koristi samo priključak 80. HTTP promet također koristi TCP priključke 8080, 8088 i 8888. Poslužitelji koji se povezuju na te priključke uglavnom su stariji uređaji kojima se ne upravlja i nisu zaštićeni, što ih čini ranjivima. Sigurnost se povećava s vremenom. Poslužitelji na ovim priključcima također mogu biti HTTP proxyji, ako ih mrežni administratori ne instaliraju, HTTP proxyji mogu postati sigurnosni problem u sustavu.

Elitni napadači koristili su TCP i UDP portove 31337 za poznati backdoor - Back Orifice i druge malware programe. Na TCP portu možemo spomenuti: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night i BO klijent, npr. na UDP portu je Deep BO. Na "leetspeak" - jeziku koji koristi slova i brojke, 31337 je "eleet", što znači Elita.

Slabe lozinke mogu učiniti SSH i port 22 ranjivima na napade. Prema Davidu Widenu - sistemskom inženjeru u BoxBoat Technologies: Port 22 - Secure Shell port omogućuje pristup udaljenim školjkama na ranjivom hardveru poslužitelja, jer su ovdje podaci za autentifikaciju obično korisničko ime i lozinka. zadana lozinka, lako se pogoditi. Kratke lozinke, manje od 8 znakova, koriste poznate fraze s nizom brojeva koje je napadačima prelako pogoditi.

Hakeri još uvijek napadaju IRC koji radi na portovima 6660 do 6669. Widen je rekao: Na ovom portu postoji mnogo IRC ranjivosti, kao što je Unreal IRCD koji napadačima omogućuje izvođenje daljinskih napada, ali to su obično normalni napadi, bez velike vrijednosti.

Neki priključci i protokoli omogućuju napadačima veći doseg. Na primjer, UDP port 161 privlači napadače zbog SNMP protokola, koji je koristan za upravljanje umreženim računalima, prikupljanje podataka i slanje prometa kroz ovaj port. Muhl objašnjava: SNMP omogućuje korisnicima postavljanje upita poslužitelju kako bi dobili korisnička imena, datoteke koje se dijele na mreži i više informacija. SNMP često dolazi sa zadanim nizovima koji djeluju kao lozinke.

Zaštitite portove, usluge i ranjivosti

Prema Widenu, tvrtke mogu zaštititi SSH protokol korištenjem provjere autentičnosti s javnim ključem, onemogućavanjem prijave kao root i premještanjem SSH-a na viši broj porta kako ga napadači ne bi mogli pronaći. Ako se korisnik spoji na SSH na broju priključka čak 25.000, napadaču će biti teško odrediti površinu napada SSH usluge.

Ako vaša tvrtka koristi IRC, uključite vatrozid da je zaštitite. Nemojte dopustiti da se promet izvan mreže približi IRC usluzi, dodao je Widen. Dopustite samo VPN korisnicima na mreži korištenje IRC-a.

Brojevi portova koji se ponavljaju, a posebno nizovi brojeva rijetko predstavljaju ispravnu upotrebu portova. Kada vidite da se ti portovi koriste, provjerite jesu li autentificirani, kaže Norby. Pratite i filtrirajte DNS kako biste izbjegli curenje i prestali koristiti Telnet i zatvorili port 23.

Sigurnost na svim mrežnim priključcima mora uključivati ​​dubinsku obranu. Norby kaže: Zatvorite sve portove koje ne koristite, koristite vatrozid temeljen na hostu na svim poslužiteljima, pokrenite najnoviji vatrozid temeljen na mreži, nadzirite i filtrirajte promet portova. Izvršite redovito skeniranje mrežnog priključka kako biste bili sigurni da nema propuštenih ranjivosti na priključku. Obratite posebnu pozornost na SOCKS proxy ili bilo koje druge usluge koje još niste postavili. Zakrpite, popravite i ojačajte bilo koji uređaj, softver ili uslugu spojenu na mrežni priključak sve dok u vašoj mreži više ne bude ranjivih točaka. Budite proaktivni kada se u softveru (i starom i novom) pojave nove ranjivosti kojima napadači mogu pristupiti putem mrežnih priključaka.

Koristite najnovija ažuriranja za bilo koju uslugu koju podržavate, ispravno je konfigurirajte i koristite jake lozinke i popise za kontrolu pristupa koji će vam pomoći da ograničite tko ima pristup, kaže MuHl. može se povezati s portovima i uslugama. Također je dodao da: luke i usluge treba redovito provjeravati. Kada koristite usluge kao što su HTTP i HTTPS, postoji mnogo prostora za prilagodbu, što može lako dovesti do pogrešne konfiguracije i sigurnosnih propusta.

Sigurna luka za rizične luke

Stručnjaci su došli do različitih popisa visokorizičnih portova na temelju različitih kriterija kao što su vrsta ili ozbiljnost prijetnji povezanih sa svakim portom ili razina ranjivosti servisa na određenim portovima. Ali do sada još uvijek ne postoji potpuni popis. Za daljnje istraživanje možete započeti s popisima na SANS.org, SpeedGuide.net i GaryKessler.net.

Članak skraćeno iz "Osiguranje rizičnih mrežnih priključaka" koji je objavio CSO.

• 8 najboljih sigurnih Wifi usmjerivača
• Kako učiniti svoj VPN sigurnijim?
• Kako zaštititi svoje račune U2F sigurnosnim ključevima?