A számozott hálózati portokra és onnan továbbított adatcsomagok meghatározott IP-címekhez és végpontokhoz vannak társítva TCP vagy UDP protokollok használatával. Minden port ki van téve a támadás veszélyének, egyik port sem teljesen biztonságos.
Kurt Muhl úr – a RedTeam vezető biztonsági tanácsadója kifejtette: "Minden mögöttes portnak és szolgáltatásnak van kockázata. A kockázat a szolgáltatás verziójából ered, még akkor is, ha megfelelően van konfigurálva. helyesen vagy jelszót állít be a szolgáltatáshoz, erős-e a jelszó elég? Az egyéb tényezők közé tartozik, hogy a hackerek a portot választják -e megtámadásra, átengedi-e a rosszindulatú programokat a porton. Röviden, sok tényező határozza meg egy port vagy szolgáltatás biztonságát."
A CSO az alkalmazások, a sebezhetőségek és a kapcsolódó támadások alapján vizsgálja a hálózati átjárók kockázatát, és többféle megközelítést kínál a vállalkozások védelmére a rosszindulatú hackerekkel szemben, akik visszaélnek ezekkel a sérülékenységekkel.
Mi teszi veszélyessé a hálózati átjárókat?
Összesen 65 535 TCP port és további 65 535 UDP port található, a legveszélyesebb portokat nézzük meg. A 21-es TCP-port összeköti az FTP-kiszolgálókat az internettel. Ezek az FTP-kiszolgálók számos jelentős sebezhetőséget tartalmaznak, mint például az anonim hitelesítés, a címtárbejárás, a helyek közötti szkriptelés, így a 21-es port ideális célpont a hackerek számára.
Míg néhány sebezhető szolgáltatás továbbra is használja a segédprogramot, a régi szolgáltatások, mint például a Telnet a 23-as TCP-porton, kezdetben nem voltak biztonságosak. Bár a sávszélessége nagyon kicsi, egyszerre csak néhány bájt, a Telnet teljesen nyilvánosan, tiszta szövegben küldi el az adatokat. Austin Norby, az Egyesült Államok Védelmi Minisztériumának informatikusa elmondta: "A támadók figyelhetnek, megtekinthetik a tanúsítványokat, parancsokat adhatnak be [man-in-the-middle] támadásokon keresztül, és végül távoli kódvégrehajtást (RCE) hajthatnak végre. (Ez az ő saját véleménye, nem képviseli egyetlen ügynökség véleményét sem).
Míg egyes hálózati portok könnyű lyukakat hoznak létre a támadók számára, míg mások tökéletes menekülési útvonalakat hoznak létre. Példa erre a DNS 53-as TCP/UDP portja. Miután beszivárogtak a hálózatba és elérték céljukat, a hackernek csak annyit kell tennie, hogy kiszedje az adatokat, hogy a meglévő szoftverek segítségével DNS-forgalommá alakítsa át az adatokat. "A DNS-t ritkán figyelik és ritkán szűrik" - mondta Norby. Amikor a támadók adatokat lopnak el egy biztonságos vállalatból, egyszerűen elküldik az adatokat egy speciálisan kialakított DNS-kiszolgálón keresztül, amely visszafordítja az adatokat az eredeti állapotukba.
Minél több portot használunk, annál könnyebb a támadások bejutása az összes többi csomagba. A HTTP 80-as TCP-portja támogatja a böngésző által fogadott webforgalmat. Norby szerint a webes kliensek elleni támadások a 80-as porton keresztül SQL-befecskendezést, helyek közötti kérés-hamisítást, helyek közötti parancsfájlokat és puffertúlcsordulást tartalmazhatnak.
A támadók külön portokon állítják be szolgáltatásaikat. Az 1080-as TCP-portot használják - a "SOCKS" proxy-k védelmére szolgáló foglalathoz használják a rosszindulatú programok és a műveletek támogatására. A trójai falók és férgek, például a Mydoom és a Bugbear az 1080-as portot használták támadásokhoz. Ha egy hálózati rendszergazda nem állít be SOCKS proxyt, annak létezése fenyegetést jelent – mondta Norby.
Ha a hackerek bajba kerülnek, könnyen megjegyezhető portszámokat használnak, például a 234-es, 6789-es számsorokat, vagy ugyanazt a számot, mint a 666 vagy 8888. Egyes Backdoor és trójai faló szoftverek megnyitják és a 4444-es TCP-portot használják a figyeléshez. , kommunikál, rosszindulatú forgalmat továbbít kívülről, és rosszindulatú hasznos adatokat küld. A portot használó egyéb rosszindulatú programok közé tartozik a Prosiak, a Swift Remote és a CrackDown.
A webes forgalom nem csak a 80-as portot használja. A HTTP-forgalom a 8080-as, 8088-as és 8888-as TCP-portokat is használja. Az ezekhez a portokhoz csatlakozó szerverek többnyire régebbi, nem felügyelt és nem védett dobozok, így sebezhetőek. A biztonság idővel növekszik. Az ezeken a portokon lévő kiszolgálók HTTP-proxy is lehetnek, ha a hálózati rendszergazdák nem telepítik őket, a HTTP-proxy biztonsági aggályokká válhat a rendszerben.
Az elit támadók a 31337-es TCP- és UDP-portokat használták a híres backdoor - Back Orifice - és más rosszindulatú programokhoz. A TCP portról említhetjük: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night és BO kliens, az UDP porton például a Deep BO. A „leetspeak”-ben – egy betűket és számokat használó nyelven – a 31337 az „eleet”, azaz elit.
A gyenge jelszavak sebezhetővé tehetik az SSH-t és a 22-es portot a támadásokkal szemben. David Widen – a BoxBoat Technologies rendszermérnöke szerint: 22-es port – A Secure Shell port lehetővé teszi a távoli shellekhez való hozzáférést a sebezhető szerverhardveren, mert itt a hitelesítési információ általában a felhasználónév és a jelszó.alapértelmezett jelszó, könnyen kitalálható. A 8 karakternél rövidebb jelszavak ismerős kifejezéseket használnak számsorral, amelyeket a támadók túl könnyen kitalálnak.
A hackerek még mindig támadják a 6660-tól 6669-ig terjedő portokon futó IRC-t. Widen azt mondta: Ezen a porton számos IRC sebezhetőség található, például az Unreal IRCD, amely lehetővé teszi a támadók számára, hogy távoli támadásokat hajtsanak végre, de ezek általában normális támadások, nem sok értéket képviselnek.
Egyes portok és protokollok nagyobb hozzáférést tesznek lehetővé a támadók számára. Például a 161-es UDP-port vonzza a támadókat az SNMP-protokoll miatt, amely hasznos a hálózati számítógépek kezeléséhez, információk lekérdezéséhez és a forgalom ezen a porton keresztül történő továbbításához. Muhl elmagyarázza: Az SNMP lehetővé teszi a felhasználók számára, hogy lekérdezzék a szervert, hogy felhasználóneveket, a hálózaton megosztott fájlokat és további információkat kapjanak. Az SNMP gyakran alapértelmezett karakterláncokkal érkezik, amelyek jelszóként működnek.
Védje a portokat, szolgáltatásokat és sebezhetőségeket
Widen szerint a vállalkozások megvédhetik az SSH-protokollt nyilvános kulcsú hitelesítéssel, letiltják a root-ként való bejelentkezést, és magasabb portszámra helyezik át az SSH-t, hogy a támadók ne találják meg. Ha egy felhasználó 25 000-es portszámmal csatlakozik az SSH-hoz, a támadó számára nehéz lesz meghatározni az SSH-szolgáltatás támadási felületét.
Ha cége IRC-t futtat, kapcsoljon be tűzfalat a védelme érdekében. Ne engedje, hogy a hálózaton kívülről érkező forgalom az IRC szolgáltatás közelébe kerüljön – tette hozzá Widen. Csak a VPN-felhasználók számára engedélyezze az IRC használatát.
Az ismétlődő portszámok és különösen a számsorok ritkán jelzik a portok megfelelő használatát. Amikor azt látja, hogy ezek a portok használatban vannak, győződjön meg arról, hogy hitelesítették őket – mondja Norby. Figyelje és szűrje a DNS-t a szivárgások elkerülése érdekében, és hagyja abba a Telnet használatát, és zárja be a 23-as portot.
Az összes hálózati port biztonságának tartalmaznia kell a mélyreható védelmet. Norby azt mondja: Zárja be az összes nem használt portot, használjon gazdagép alapú tűzfalat minden szerveren, futtassa a legújabb hálózati alapú tűzfalat, figyelje és szűrje a port forgalmat. Végezzen rendszeres hálózati port-ellenőrzést, hogy megbizonyosodjon arról, hogy a porton nincsenek kihagyott sebezhetőségek. Fordítson különös figyelmet a SOCKS proxykra vagy bármely más szolgáltatásra, amelyet még nem állított be. Javítson ki, javítson és erősítsen meg minden, a hálózati porthoz csatlakoztatott eszközt, szoftvert vagy szolgáltatást mindaddig, amíg a hálózaton már nem maradnak sebezhető pontok. Legyen proaktív, amikor új biztonsági rések jelennek meg a szoftverekben (régi és új), amelyekhez a támadók a hálózati portokon keresztül hozzáférhetnek.
Használja a legfrissebb frissítéseket minden támogatott szolgáltatáshoz, konfigurálja megfelelően, és használjon erős jelszavakat és hozzáférés-vezérlési listákat, amelyek segítenek korlátozni a hozzáférést – mondja a MuHl. csatlakozhat portokhoz és szolgáltatásokhoz. Azt is hozzátette, hogy: A kikötőket és a szolgáltatásokat rendszeresen ellenőrizni kell. Amikor olyan szolgáltatásokat használ, mint a HTTP és a HTTPS, nagy a testreszabási lehetőség, ami könnyen hibás konfigurációhoz és biztonsági résekhez vezethet.
Biztonságos kikötő a kockázatos kikötők számára
A szakértők különböző listákat állítanak össze a magas kockázatú portokról, különböző kritériumok alapján, mint például az egyes portokhoz kapcsolódó fenyegetések típusa vagy súlyossága, vagy a szolgáltatások sebezhetőségi szintje. De a mai napig még nincs teljes lista. A további kutatásokhoz kezdheti a SANS.org, a SpeedGuide.net és a GaryKessler.net listáival.
A cikk a KSH által közzétett "Kockázatos hálózati portok biztonsága" című cikkből készült.
A statikus IP-cím a számítógép vagy az útválasztó beállításaiban konfigurált rögzített IP-cím. Egyes internetszolgáltatók (ISP) megkövetelik, hogy statikus IP-címet adjon meg a számítógépén vagy az útválasztó TCP/IP-beállításaiban, hogy csatlakozhasson az internethez.
A fertőzés módja szerint a PublicBoardSearch a böngésző-gépeltérítő kategóriába tartozik. Ez egy olyan típusú rosszindulatú program, amelyet arra terveztek, hogy átvegye egy ismerős böngésző beállításait.
Nagy felbontású háttérképek gyűjteménye számítógép- és laptopfelhasználók számára teljes felbontásban Full HD-tól 4K-ig.
A Unix rendszer, más néven „visszacsatolás”, képes hálózati kommunikációt küldeni és fogadni magának egy virtuális hálózati eszközön keresztül. A számítógép képes üzeneteket küldeni magának, lehetővé téve a kommunikációt aktív hálózat nélkül.
Biztosan hallottad már azt a mondást, hogy azt kapod, amiért fizetsz, de mi a helyzet a víruskereső szoftverrel? Vásároljon szoftvercsomagokat az ingyenes védelmi megoldások helyett? Talán nem ez a helyzet, és itt van az ok!
A mai cikkben a Quantrimang összefoglalja a piacon lévő népszerű víruskereső szoftvermárkákat, és megnézi, miben különböznek a Windows PC-k és a macOS között.
Nem világos, hogy a Sun Valley mit hoz a legfelső szintű felhasználói felület változtatásokon és fejlesztéseken túl. Tehát íme, amit a felhasználók látni fognak a Windows 10 nagy Sun Valley frissítésétől, amikor az jövőre indul.
A Windows a Futtatás rendszergazdaként lehetőséget biztosít, amely lehetővé teszi a felhasználók számára, hogy rendszergazdai jogosultságokkal futtassák az alkalmazásokat és programokat. Használhatja számítógépe hibaelhárítására is. De mi van, ha ez a funkció hibásan működik, és elveszi a rendszergazdai jogokat?
A számítógép meghajtójával kapcsolatos hibák megakadályozhatják a rendszer megfelelő indítását, és korlátozhatják a hozzáférést a fájlokhoz és az alkalmazásokhoz.
Egyes rosszindulatú programváltozatok különböző modulokat használhatnak a célrendszerre gyakorolt hatásuk megváltoztatására. Tehát mi az a moduláris kártevő, és hogyan működik?
