Datapaket som överförs till och från numrerade nätverksportar associeras med specifika IP-adresser och slutpunkter, med hjälp av TCP- eller UDP-protokoll. Alla hamnar riskerar att bli attackerade, ingen hamn är helt säker.
Herr Kurt Muhl - RedTeams ledande säkerhetskonsult förklarade: "Varje underliggande port och tjänst har risk. Risken kommer från versionen av tjänsten, även om den är korrekt konfigurerad. korrekt eller ställ in ett lösenord för tjänsten, är att lösenordet är starkt tillräckligt? Andra faktorer inkluderar, är den port som valts av hackare att attackera, släpper du in skadlig programvara genom porten. Kort sagt Återigen, det finns många faktorer som avgör säkerheten för en port eller tjänst."
CSO undersöker risken för nätverksgateways baserat på applikationer, sårbarheter och associerade attacker, vilket ger flera metoder för att skydda företag från illvilliga hackare som missbrukar dessa sårbarheter.
Vad gör nätverksgateways farliga?
Det finns totalt 65 535 TCP-portar och ytterligare 65 535 UDP-portar, vi kommer att titta på några av de farligaste portarna. TCP-port 21 ansluter FTP-servrar till Internet. Dessa FTP-servrar har många stora sårbarheter som anonym autentisering, katalogövergång, cross-site scripting, vilket gör port 21 till ett idealiskt mål för hackare.
Medan vissa sårbara tjänster fortsätter att använda verktyget, var äldre tjänster som Telnet på TCP-port 23 i sig osäkra till att börja med. Även om dess bandbredd är mycket liten, bara några byte åt gången, skickar Telnet data helt offentligt i klartext. Austin Norby - datavetare vid det amerikanska försvarsdepartementet sa: "Angripare kan lyssna, se certifikat, injicera kommandon genom [man-in-the-middle]-attacker och slutligen, utföra Remote Code Executions (RCE). (Detta är hans egen åsikt, representerar inte åsikter från någon byrå).
Medan vissa nätverksportar skapar enkla hål för angripare att ta sig in, skapar andra perfekta flyktvägar. TCP/UDP-port 53 för DNS är ett exempel. När de väl har infiltrerat nätverket och uppnått sitt mål behöver hackaren bara använda befintlig programvara för att omvandla datan till DNS-trafik för att få ut data. "DNS övervakas sällan och filtreras sällan," sa Norby. När angripare stjäl data från ett säkert företag skickar de helt enkelt data via en specialdesignad DNS-server som översätter data tillbaka till sitt ursprungliga tillstånd.
Ju fler portar som används, desto lättare är det att smyga in attacker i alla andra paket. TCP-port 80 för HTTP stöder webbtrafik som tas emot av webbläsaren. Enligt Norby inkluderar attacker på webbklienter via port 80 SQL-injektionshack, förfalskning av förfrågningar på flera ställen, skript över platsen och buffertspill.
Angripare kommer att ställa in sina tjänster på separata portar. De använder TCP-port 1080 - används för uttaget som skyddar "SOCKS"-proxyer, till stöd för skadlig programvara och operationer. Trojanska hästar och maskar som Mydoom och Bugbear har använt port 1080 i attacker. Om en nätverksadministratör inte ställer in en SOCKS-proxy är dess existens ett hot, sa Norby.
När hackare har problem kommer de att använda portnummer som lätt kan kommas ihåg, till exempel nummerserien 234, 6789, eller samma nummer som 666 eller 8888. Vissa program för Backdoor och trojanska hästar öppnas och använder TCP-port 4444 för att lyssna , kommunicera, vidarebefordra skadlig trafik utifrån och skicka skadliga nyttolaster. En del annan skadlig programvara som också använder den här porten inkluderar Prosiak, Swift Remote och CrackDown.
Webbtrafik använder inte bara port 80. HTTP-trafik använder också TCP-portarna 8080, 8088 och 8888. Servrar som ansluter till dessa portar är oftast äldre boxar som är ohanterade och oskyddade, vilket gör dem sårbara Säkerheten ökar med tiden. Servrar på dessa portar kan också vara HTTP-proxyer, om nätverksadministratörer inte installerar dem kan HTTP-proxyer bli ett säkerhetsproblem i systemet.
Elitangripare använde TCP- och UDP-portar 31337 för den berömda bakdörren - Back Orifice och andra skadliga program. På TCP-porten kan vi nämna: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night och BO-klienten, till exempel på UDP-porten är Deep BO. I "leetspeak" - ett språk som använder bokstäver och siffror, är 31337 "eleet", vilket betyder Elit.
Svaga lösenord kan göra SSH och port 22 sårbara för attacker. Enligt David Widen - systemingenjör på BoxBoat Technologies: Port 22 - Secure Shell-port tillåter åtkomst till fjärrskal på sårbar serverhårdvara, för här är autentiseringsinformationen vanligtvis användarnamn och lösenord standardlösenord, lätt att gissa. Korta lösenord, färre än 8 tecken, använder bekanta fraser med en rad siffror som är för lätta för angripare att gissa.
Hackare attackerar fortfarande IRC som körs på portarna 6660 till 6669. Widen sa: Vid den här porten finns det många IRC-sårbarheter, såsom Unreal IRCD som tillåter angripare att utföra fjärrattacker, men dessa är vanligtvis normala attacker, inte av mycket värde.
Vissa portar och protokoll ger angripare större räckvidd. Till exempel lockar UDP-port 161 angripare på grund av SNMP-protokollet, vilket är användbart för att hantera nätverksanslutna datorer, pollinginformation och skicka trafik genom denna port. Muhl förklarar: SNMP tillåter användare att fråga servern för att få användarnamn, filer som delas på nätverket och mer information. SNMP kommer ofta med standardsträngar som fungerar som lösenord.
Skydda portar, tjänster och sårbarheter
Enligt Widen kan företag skydda SSH-protokollet genom att använda autentisering med publik nyckel, inaktivera inloggning som root och flytta SSH till ett högre portnummer så att angripare inte kan hitta det. Om en användare ansluter till SSH på ett portnummer så högt som 25 000, kommer det att vara svårt för en angripare att fastställa attackytan för SSH-tjänsten.
Om ditt företag kör IRC, aktivera en brandvägg för att skydda den. Tillåt inte någon trafik från utanför nätverket att komma nära IRC-tjänsten, tillade Widen. Tillåt endast VPN-användare på nätverket att använda IRC.
Upprepade portnummer och särskilt nummersekvenser representerar sällan korrekt användning av portar. När du ser att dessa portar används, se till att de är autentiserade, säger Norby. Övervaka och filtrera DNS för att undvika läckor och sluta använda Telnet och stänga port 23.
Säkerheten på alla nätverksportar måste omfatta försvar på djupet. Norby säger: Stäng alla portar du inte använder, använd värdbaserade brandväggar på alla servrar, kör den senaste nätverksbaserade brandväggen, övervaka och filtrera porttrafik. Utför regelbunden nätverksportskanning för att säkerställa att det inte finns några missade sårbarheter på porten. Var särskilt uppmärksam på SOCKS proxyservrar eller andra tjänster som du inte har konfigurerat ännu. Lagra, reparera och förstärk alla enheter, programvara eller tjänster som är anslutna till nätverksporten tills det inte finns några återstående sårbarheter i ditt nätverk. Var proaktiv när nya sårbarheter dyker upp i programvara (både gammal och ny) som angripare kan komma åt via nätverksportar.
Använd de senaste uppdateringarna för alla tjänster du stödjer, konfigurera dem ordentligt och använd starka lösenord och åtkomstkontrollistor som hjälper dig att begränsa vem som har åtkomst, säger MuHl. kan ansluta till portar och tjänster. Han tillade också att: Hamnar och tjänster bör kontrolleras regelbundet. När du använder tjänster som HTTP och HTTPS finns det mycket utrymme för anpassning, vilket lätt kan leda till felkonfiguration och säkerhetssårbarheter.
Säker hamn för riskhamnar
Experter har kommit fram till olika listor över högriskportar baserat på olika kriterier såsom typen eller svårighetsgraden av hot som är förknippade med varje port eller graden av sårbarhet för tjänsterna på vissa hamnar. Men än så länge finns det ingen komplett lista. För ytterligare forskning kan du börja med listorna på SANS.org, SpeedGuide.net och GaryKessler.net.
Artikel förkortad från "Säkring av riskfyllda nätverksportar" publicerad av CSO.
Windows-brandvägg med avancerad säkerhet är en brandvägg som körs på Windows Server 2012 och som är aktiverad som standard. Brandväggsinställningar i Windows Server 2012 hanteras i Windows-brandväggens Microsoft Management Console.
När användarna ändrar lösenordet för Vigor Draytek Modem och Routers inloggningsadminsida, begränsar användarna obehörig åtkomst för att ändra modemets lösenord, vilket säkrar viktig nätverksinformation.
Lyckligtvis kan användare av Windows-datorer som kör AMD Ryzen-processorer använda Ryzen Master för att enkelt överklocka RAM utan att röra BIOS.
USB-C-porten har blivit standarden för dataöverföring, videoutgång och laddning på moderna bärbara Windows-datorer. Även om detta är bekvämt, kan det vara frustrerande när du ansluter din bärbara dator till en USB-C-laddare och den inte laddas.
Felet Kan inte skapa tjänst på Ultraviewer uppstår när vi installerar programvaran med felkod 1072.
Felet att inte visa ID på Ultraviewer kommer att påverka fjärrdatoranslutningen.
Ultraviewer fjärrstyr datorn och har ett läge för att skicka och ta emot filer.
Normalt, när du tar bort en fil på Windows, kommer filen inte att raderas omedelbart utan sparas i papperskorgen. Efter det måste du göra ytterligare ett steg: töm papperskorgen. Men om du inte vill behöva göra det här andra steget kommer vi att visa dig hur du tar bort en fil permanent i artikeln nedan.
Det mörka nätet är en mystisk plats med ett berömt rykte. Att hitta det mörka nätet är inte svårt. Men att lära sig att navigera på ett säkert sätt är en annan sak, särskilt om du inte vet vad du gör eller vad du kan förvänta dig.
Tekniskt sett är Adrozek inte ett virus. Det är en webbläsarkapare, även känd som webbläsarmodifierare. Det betyder att skadlig programvara installerades på din dator utan din vetskap.
