Як захистити мережеві порти високого ризику?

Пакети даних, що передаються до та з пронумерованих мережевих портів , пов’язані з певними IP-адресами та кінцевими точками за допомогою протоколів TCP або UDP. Усі порти піддаються ризику атаки, жоден порт не є абсолютно безпечним.

Містер Курт Мул, провідний консультант із безпеки RedTeam, пояснив: «Кожен основний порт і служба має ризик. Ризик походить від версії служби, навіть якщо вона налаштована правильно. Достатньо? Інші фактори включають: чи обрано хакерами порт для атаки, чи пропускаєте ви через порт зловмисне програмне забезпечення. Коротше кажучи, існує багато факторів, які визначають безпеку порту чи служби».

CSO вивчає ризик мережевих шлюзів на основі додатків, уразливостей і пов’язаних з ними атак, надаючи різноманітні підходи для захисту бізнесу від зловмисних хакерів, які зловживають цими вразливими місцями.

• Комплексний набір інструментів моніторингу мережі
• 10 найпопулярніших інструментів для усунення несправностей мережі, які ІТ-спеціалісти повинні знати

Що робить мережеві шлюзи небезпечними?

Загалом існує 65 535 портів TCP і ще 65 535 портів UDP, ми розглянемо деякі з найнебезпечніших портів. TCP-порт 21 підключає FTP-сервери до Інтернету. Ці FTP-сервери мають багато основних вразливостей, таких як анонімна автентифікація, обхід каталогу, міжсайтовий сценарій, що робить порт 21 ідеальною мішенню для хакерів.

Хоча деякі вразливі служби продовжують використовувати цю утиліту, застарілі служби, такі як Telnet на TCP-порту 23, спочатку були небезпечними. Незважаючи на те, що його пропускна здатність дуже мала, лише кілька байтів за раз, Telnet надсилає дані повністю відкрито у відкритому вигляді. Остін Норбі, комп’ютерний науковець з Міністерства оборони США сказав: «Зловмисники можуть прослуховувати, переглядати сертифікати, вводити команди через атаки [людина посередині] і, нарешті, виконувати віддалене виконання коду (RCE). (Це його власна думка, не виражає позицію жодного агентства).

У той час як деякі мережеві порти створюють легкі отвори для зловмисників, інші створюють ідеальні шляхи евакуації. Прикладом є порт TCP/UDP 53 для DNS. Після того, як вони проникли в мережу та досягли своєї мети, все, що хакеру потрібно зробити, щоб отримати дані, це використати наявне програмне забезпечення для перетворення даних у трафік DNS. "DNS рідко контролюється і рідко фільтрується", - сказав Норбі. Коли зловмисники викрадають дані із захищеного підприємства, вони просто надсилають дані через спеціально розроблений DNS-сервер, який переводить дані назад у вихідний стан.

Чим більше портів використовується, тим легше проникнути в усі інші пакети. TCP-порт 80 для HTTP підтримує веб-трафік, отриманий браузером. За словами Норбі, атаки на веб-клієнтів через порт 80 включають злом SQL-ін’єкції, підробку міжсайтових запитів, міжсайтовий скриптинг і переповнення буфера.

Зловмисники встановлять свої сервіси на окремих портах. Вони використовують TCP-порт 1080, який використовується для захисту сокетів проксі-серверів "SOCKS", для підтримки шкідливих програм і операцій. Троянські коні та хробаки, такі як Mydoom і Bugbear, використовували порт 1080 для атак. Якщо мережевий адміністратор не налаштує проксі-сервер SOCKS, його існування є загрозою, сказав Норбі.

Коли хакери мають проблеми, вони використовуватимуть номери портів, які можна легко запам’ятати, як-от ряд чисел 234, 6789 або той самий номер, що й 666 чи 8888. Деякі програми Backdoor і Trojan відкривають і використовують TCP-порт 4444 для прослуховування , спілкуватися, пересилати зловмисний трафік іззовні та надсилати шкідливі корисні дані. Деякі інші шкідливі програми, які також використовують цей порт, включають Prosiak, Swift Remote і CrackDown.

Веб-трафік використовує не лише порт 80. Трафік HTTP також використовує TCP-порти 8080, 8088 і 8888. Сервери, які підключаються до цих портів, здебільшого є старими, некерованими та незахищеними, що робить їх уразливими. Безпека з часом зростає. Сервери на цих портах також можуть бути HTTP-проксі, якщо мережеві адміністратори не встановлять їх, HTTP-проксі можуть стати проблемою безпеки в системі.

Елітні зловмисники використовували порти TCP і UDP 31337 для відомого бекдору - Back Orifice та інших шкідливих програм. З TCP-порту ми можемо згадати: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night і BO client, наприклад на UDP-порті Deep BO. На «leetspeak» — мові, яка використовує літери та цифри, 31337 — це «eleet», що означає «Елітний».

Слабкі паролі можуть зробити SSH і порт 22 вразливими до атак. За словами Девіда Вайдена, системного інженера BoxBoat Technologies: Порт 22 — порт Secure Shell дозволяє отримати доступ до віддалених оболонок на вразливому серверному обладнанні, оскільки тут інформацією для автентифікації зазвичай є ім’я користувача та пароль, пароль за замовчуванням, який легко вгадати. Короткі паролі, що містять менше 8 символів, містять знайомі фрази з рядком цифр, які зловмисникам легко вгадати.

Хакери все ще атакують IRC, що працює на портах з 6660 по 6669. Віден сказав: на цьому порту є багато вразливостей IRC, наприклад Unreal IRCD, яка дозволяє зловмисникам виконувати віддалені атаки, але зазвичай це звичайні атаки, які не мають особливого значення.

Деякі порти та протоколи дають зловмисникам більший доступ. Наприклад, UDP-порт 161 приваблює зловмисників через протокол SNMP, який корисний для керування мережевими комп’ютерами, опитування інформації та надсилання трафіку через цей порт. Муль пояснює: SNMP дозволяє користувачам надсилати запити серверу, щоб отримати імена користувачів, файли, якими спільно користуються в мережі, та іншу інформацію. SNMP часто поставляється з рядками за замовчуванням, які діють як паролі.

Захистіть порти, служби та вразливості

За словами Відена, підприємства можуть захистити протокол SSH, використовуючи автентифікацію з відкритим ключем, вимкнувши вхід як root і перемістивши SSH на вищий номер порту, щоб зловмисники не могли його знайти. Якщо користувач підключається до SSH на порту з номером до 25 000, зловмисникові буде важко визначити поверхню атаки служби SSH.

Якщо ваш бізнес використовує IRC, увімкніть брандмауер, щоб захистити його. Не дозволяйте тр��фіку ззовні мережі наближатися до служби IRC, додав Віден. Дозволяйте використовувати IRC лише користувачам VPN.

Повторювані номери портів і особливо послідовності чисел рідко вказують на правильне використання портів. Коли ви бачите, що ці порти використовуються, переконайтеся, що вони автентифіковані, каже Норбі. Відстежуйте та фільтруйте DNS, щоб уникнути витоків, припинити використання Telnet і закрити порт 23.

Безпека на всіх мережевих портах повинна включати глибокий захист. Норбі каже: закрийте всі порти, якими ви не користуєтеся, використовуйте брандмауери на основі хоста на всіх серверах, запустіть останню версію мережевого брандмауера, відстежуйте та фільтруйте трафік портів. Виконуйте регулярне сканування мережевого порту, щоб переконатися, що на порту немає вразливих місць. Зверніть особливу увагу на проксі SOCKS або будь-які інші служби, які ви ще не налаштували. Виправляйте, ремонтуйте та зміцнюйте будь-який пристрій, програмне забезпечення чи службу, підключену до мережевого порту, доки у вашій мережі не зникнуть уразливі місця. Будьте проактивними, коли в програмному забезпеченні (як старому, так і новому) з’являються нові вразливості, до яких зловмисники можуть отримати доступ через мережеві порти.

Використовуйте останні оновлення для будь-якої служби, яку ви підтримуєте, налаштуйте її належним чином і використовуйте надійні паролі та списки контролю доступу, які допоможуть вам обмежити доступ, каже MuHl.може підключатися до портів і служб. Він також додав, що: порти та служби слід регулярно перевіряти. Коли ви використовуєте такі служби, як HTTP та HTTPS, є багато можливостей для налаштування, що може легко призвести до неправильної конфігурації та вразливості безпеки.

Безпечна гавань для ризикованих портів

Експерти склали різні списки портів високого ризику на основі різних критеріїв, таких як тип або серйозність загроз, пов’язаних з кожним портом, або рівень уразливості служб на певних портах. Але повного списку досі немає. Для подальших досліджень ви можете почати зі списків на SANS.org, SpeedGuide.net і GaryKessler.net.

Стаття, скорочена з «Захист ризикованих мережевих портів», опублікованої CSO.

• 8 найкращих безпечних маршрутизаторів Wi-Fi
• Як зробити свою VPN безпечнішою?
• Як захистити свої облікові записи за допомогою ключів безпеки U2F?