Hvernig á að vernda áhættusamar nettengi?

Gagnapakkar sem eru sendir til og frá númeruðum netgáttum eru tengdir tilteknum IP-tölum og endapunktum, með því að nota TCP eða UDP samskiptareglur. Allar hafnir eiga á hættu að verða fyrir árás, engin höfn er algjörlega örugg.

Herra Kurt Muhl - leiðandi öryggisráðgjafi RedTeam útskýrði: "Sérhver undirliggjandi höfn og þjónusta hefur áhættu. Áhættan stafar af útgáfu þjónustunnar, jafnvel þótt hún sé rétt stillt. rétt eða stillt lykilorð fyrir þjónustuna, er lykilorðið sterkt nóg? Aðrir þættir eru ma, er höfnin valin af tölvuþrjótum til að ráðast á, ertu að hleypa spilliforritum í gegnum höfnina. Í stuttu máli Aftur, það eru margir þættir sem ákvarða öryggi hafnar eða þjónustu."

CSO skoðar hættuna á netgáttum byggt á forritum, veikleikum og tengdum árásum, sem býður upp á margar aðferðir til að vernda fyrirtæki gegn illgjarnum tölvuþrjótum sem misnota þessa veikleika.

• Alhliða netvöktunarverkfærasett
• Topp 10 helstu bilanaleitartæki fyrir netkerfi sem upplýsingatæknifólk þarf að þekkja

Hvað gerir netgáttir hættulegar?

Það eru alls 65.535 TCP tengi og önnur 65.535 UDP tengi, við munum skoða nokkrar af hættulegustu höfnunum. TCP tengi 21 tengir FTP netþjóna við internetið. Þessir FTP netþjónar hafa marga stóra veikleika eins og nafnlausa auðkenningu, yfirferð á skrám, forskriftir á milli vefsvæða, sem gerir höfn 21 að kjörnu skotmarki fyrir tölvuþrjóta.

Þó að sumar viðkvæmar þjónustur haldi áfram að nota tólið, var eldri þjónusta eins og Telnet á TCP tengi 23 í eðli sínu óörugg til að byrja með. Þó að bandbreidd þess sé mjög lítil, aðeins nokkur bæti í einu, sendir Telnet gögn algjörlega opinberlega í skýrum texta. Austin Norby - tölvunarfræðingur hjá bandaríska varnarmálaráðuneytinu sagði: „Árásarmenn geta hlustað, skoðað skírteini, sprautað skipunum í gegnum [mann-í-miðju] árásir og að lokum, að lokum, framkvæmt Remote Code Executions (RCE). (Þetta er hans eigin skoðun, stendur ekki fyrir skoðunum neinnar stofnunar).

Þó að sumar netgáttir búi til auðveldar göt fyrir árásarmenn að komast inn, búa aðrar til fullkomnar flóttaleiðir. TCP/UDP tengi 53 fyrir DNS er dæmi. Þegar þeir hafa síast inn í netið og náð markmiði sínu þarf allt sem tölvuþrjóturinn þarf að gera til að koma gögnunum út að nota núverandi hugbúnað til að breyta gögnunum í DNS umferð. „DNS er sjaldan fylgst með og sjaldan síað,“ sagði Norby. Þegar árásarmenn stela gögnum úr öruggu fyrirtæki senda þeir einfaldlega gögnin í gegnum sérhannaðan DNS netþjón sem þýðir gögnin aftur í upprunalegt ástand.

Því fleiri port sem eru notuð, því auðveldara er að lauma árásum inn í alla aðra pakka. TCP tengi 80 fyrir HTTP styður vefumferð sem vafranum berst. Samkvæmt Norby innihalda árásir á vefbiðlara í gegnum port 80 SQL innspýtingarárásir, falsanir á beiðnum á milli vefsvæða, forskriftir milli vefsvæða og yfirflæði biðminni.

Árásarmenn munu setja upp þjónustu sína á aðskildum höfnum. Þeir nota TCP tengi 1080 - notað fyrir fals sem verndar "SOCKS" umboð, til stuðnings spilliforritum og aðgerðum. Trójuhestar og ormar eins og Mydoom og Bugbear hafa notað port 1080 í árásum. Ef netkerfisstjóri setur ekki upp SOCKS proxy er tilvist hans ógn, sagði Norby.

Þegar tölvuþrjótar eru í vandræðum munu þeir nota gáttarnúmer sem auðvelt er að muna, eins og númeraröðina 234, 6789, eða sama númer og 666 eða 8888. Sumir Backdoor og Trojan horse hugbúnaður opnast og nota TCP tengi 4444 til að hlusta , hafa samskipti, senda skaðlega umferð utan frá og senda illgjarn farm. Sum önnur spilliforrit sem einnig notar þessa höfn eru Prosiak, Swift Remote og CrackDown.

Vefumferð notar ekki bara port 80. HTTP umferð notar einnig TCP tengi 8080, 8088 og 8888. Netþjónar sem tengjast þessum höfnum eru að mestu leyti eldri kassar sem eru óstýrðir og óvarðir, sem gerir þá viðkvæma. Öryggi eykst með tímanum. Netþjónar á þessum höfnum geta líka verið HTTP umboð, ef netkerfisstjórar setja þá ekki upp geta HTTP umboð orðið öryggisvandamál í kerfinu.

Elite árásarmenn notuðu TCP og UDP tengi 31337 fyrir hina frægu bakdyrum - Back Orifice og önnur spilliforrit. Á TCP tenginu má nefna: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night og BO viðskiptavin, til dæmis á UDP tenginu er Deep BO. Í "leetspeak" - tungumáli sem notar bókstafi og tölustafi, er 31337 "eleet", sem þýðir Elite.

Veik lykilorð geta gert SSH og port 22 viðkvæm fyrir árásum. Samkvæmt David Widen - kerfisfræðingi hjá BoxBoat Technologies: Port 22 - Secure Shell tengi leyfir aðgang að ytri skeljum á viðkvæmum netþjónsbúnaði, því hér eru auðkenningarupplýsingar venjulega notendanafn og lykilorð sjálfgefið lykilorð, auðvelt að giska á. Stutt lykilorð, færri en 8 stafir, nota kunnuglegar setningar með talnastreng sem er of auðvelt fyrir árásarmenn að giska á.

Tölvusnápur eru enn að ráðast á IRC sem keyrir á höfnum 6660 til 6669. Widen sagði: Í þessari höfn eru margir IRC veikleikar, eins og Unreal IRCD sem gerir árásarmönnum kleift að framkvæma fjarárásir, en þetta eru venjulega venjulegar árásir, ekki mikils virði.

Sumar hafnir og samskiptareglur gera árásarmönnum kleift að ná meira. Til dæmis er UDP-tengi 161 að laða að árásarmenn vegna SNMP-samskiptareglunnar, sem er gagnlegt til að stjórna nettengdum tölvum, skoða upplýsingar og senda umferð um þessa höfn. Muhl útskýrir: SNMP gerir notendum kleift að spyrjast fyrir um netþjóninn til að fá notendanöfn, skrár sem deilt er á netinu og frekari upplýsingar. SNMP kemur oft með sjálfgefna strengi sem virka sem lykilorð.

Verndaðu hafnir, þjónustu og veikleika

Samkvæmt Widen geta fyrirtæki verndað SSH-samskiptareglur með því að nota auðkenningu almenningslykils, slökkva á innskráningu sem rót og færa SSH í hærra gáttarnúmer svo árásarmenn geti ekki fundið það. Ef notandi tengist SSH á gáttarnúmeri allt að 25.000, verður erfitt fyrir árásarmann að ákvarða árásaryfirborð SSH þjónustunnar.

Ef fyrirtækið þitt rekur IRC skaltu kveikja á eldvegg til að vernda hann. Ekki leyfa neinni umferð utan netkerfisins að koma nálægt IRC þjónustunni, bætti Widen við. Leyfðu aðeins VPN notendum inn á netið til að nota IRC.

Endurtekin gáttanúmer og sérstaklega númeraraðir tákna sjaldan rétta notkun gátta. Þegar þú sérð að þessar hafnir eru notaðar skaltu ganga úr skugga um að þær séu auðkenndar, segir Norby. Fylgstu með og síaðu DNS til að forðast leka og hættu að nota Telnet og lokaðu tengi 23.

Öryggi á öllum nethöfnum verður að fela í sér dýptarvörn. Norby segir: Lokaðu öllum höfnum sem þú notar ekki, notaðu eldveggi sem byggir á hýsil á öllum netþjónum, keyrðu nýjasta nettengda eldvegginn, fylgstu með og síaðu höfnumferð. Framkvæmdu reglulega netgáttarskönnun til að tryggja að engir veikleikar séu á höfninni. Gefðu sérstaka athygli á SOCKS umboðum eða annarri þjónustu sem þú hefur ekki sett upp ennþá. Lagfærðu, gerðu við og styrktu hvaða tæki, hugbúnað eða þjónustu sem er tengd við netgáttina þar til engir veikleikar eru eftir á netinu þínu. Vertu fyrirbyggjandi þegar nýir veikleikar birtast í hugbúnaði (bæði gömlum og nýjum) sem árásarmenn geta nálgast í gegnum nettengi.

Notaðu nýjustu uppfærslurnar fyrir hvaða þjónustu sem þú styður, stilltu hana á réttan hátt og notaðu sterk lykilorð og aðgangsstýringarlista sem hjálpa þér að takmarka hverjir hafa aðgang, segir MuHl geta tengst höfnum og þjónustu. Hann bætti einnig við að: Hafnir og þjónusta ætti að skoða reglulega. Þegar þú notar þjónustu eins og HTTP og HTTPS er mikið pláss fyrir aðlögun, sem getur auðveldlega leitt til rangstillingar og öryggisveikleika.

Örugg höfn fyrir áhættuhafnir

Sérfræðingar hafa komið með mismunandi lista yfir áhættuhafnir á grundvelli mismunandi viðmiða eins og tegund eða alvarleika ógnanna sem tengjast hverri höfn eða varnarstig þjónustunnar á ákveðnum höfnum. En hingað til er enn enginn tæmandi listi. Fyrir frekari rannsóknir geturðu byrjað á listunum á SANS.org, SpeedGuide.net og GaryKessler.net.

Grein stytt frá "Að tryggja áhættusamar nethafnir" birt af CSO.

• 8 bestu öruggu Wifi beinarnir
• Hvernig á að gera VPN þitt öruggara?
• Hvernig á að tryggja reikninga þína með U2F öryggislyklum?