使用TCP或UDP传输层协议,数据包在与特定IP地址和端点相关联的编号网络端口之间来回传输。所有端口都有被攻击的潜在危险。没有端口是天生安全的。
“每个端口和基本的服务是有风险的。风险来自于服务的版本,是否有人已经正确配置它,并且,如果有该服务密码,这是否强烈?还有更多的因素决定一个端口或服务是否是安全的,”库尔特Mühl的,在RedTeam防盗铅封安全顾问解释说。其他因素包括该端口是否仅仅是一个攻击者已经选择通过以及是否离开港口开放滑倒他们的攻击和恶意软件。
CSO检查基于相关应用程序、漏洞和攻击的危险网络端口,提供方法来保护企业免受恶意黑客滥用这些开口。
是什么让这些港口有风险?
总共有65535个TCP端口和另一个65,535 UDP端口;我们来看看一些diciest的人的。TCP端口21个连接FTP服务器连接到互联网。FTP服务器进行大量的漏洞,如匿名身份验证功能,目录遍历和跨站点脚本,使得端口21的理想目标。
虽然一些易受攻击的服务已经持续效用,传统业务如Telnet TCP端口23上从一开始根本不安全。虽然它的带宽是在同一时间几个字节微小,远程登录发送数据以明文形式暴露无遗。“Attackers can listen in, watch for credentials, inject commands via [man-in-the-middle] attacks, and ultimately perform Remote Code Executions (RCE),” says Austin Norby, computer scientist at the U.S. Department of Defense (comments are his own and don’t represent the views of any employer).
有些网络端口是攻击者的良好入口点,而其他端口则是很好的逃离路径。TCP/UDP端口53为DNS提供了一个退出策略。一旦网络内的犯罪黑客获得了他们的战利品,他们所需要做的就是使用现成的软件将数据转换成DNS流量。“DNS很少受到监控,过滤的情况更少,”Norby说。一旦攻击者将数据安全护送到企业之外,他们只需通过自己的DNS服务器发送数据,而DNS服务器是他们专门设计来将数据转换回原始形式的。
一个端口使用得越普遍,就越容易与所有其他数据包一起偷袭。用于HTTP的TCP端口80支持web浏览器接收的web通信。根据Norby的说法,通过端口80对web客户端的攻击包括SQL注入、跨站点请求伪造、跨站点脚本和缓冲区溢出。
网络罪犯会建立自己的服务上单个端口。攻击者使用TCP端口1080,哪个行业有指定插座安全“SOCKS”代理,支持的恶意软件和活动。特洛伊木马和蠕虫等的Mydoom和熊地精的攻击,在历史上所使用的端口1080。“如果没有设置一个网络管理员了SOCKS代理,它的存在可能表明恶意活动,”诺比说。
当黑客得到无精打采,他们使用,他们可以很容易地记住端口号,如反复像234或6789,或相同数量的数字序列,比如666或8888的一些后门和木马软件打开并使用TCP 4444端口监听在,沟通,向前恶意流量来自外部,并发送恶意代码。已使用此端口的一些恶意软件包括Prosiak,斯威夫特远程和打击力度。
Web流量未使用端口80独自一人。HTTP流量也使用TCP端口8080,8088,8888和连接到这些端口的服务器是已无人管理和保护,随着时间的推移越来越集聚大部分漏洞老式机顶盒。“这些端口上的服务器也可以是HTTP代理,其中,如果网络管理员没有安装它们,可能代表了系统内的安全问题,”诺比说。
据推测,精英攻击者使用TCP和UDP端口31337为著名的后门后门后门和一些其他恶意软件程序。在TCP端口上,它们包括Sockdmini、Back Fire和icmp_pipe。c、回孔俄罗斯、怪胎88、男爵夜、和博客户等数个;UDP端口上的示例包括深BO。在使用字母和数字的leetspeak中,31337拼成“eleet”,意思是精英。
弱密码可以让SSH和端口22容易攻击的目标。22端口,指定安全Shell端口,可以接入到物理服务器硬件的远程shell是脆弱的,其中凭证包括默认或容易被猜出的用户名和密码,根据大卫扩大,在BoxBoat技术系统工程师。使用熟悉的短语与数字的序列一起少于八个字符的短密码太容易攻击者猜测。
黑客犯罪仍然在攻击IRC,它运行在端口6660到6669。“有许多IRC漏洞,比如虚幻的IRCD,允许攻击者进行微不足道的远程执行,”加宽说。
一些端口和协议可以让攻击者大量接触不到的地方。典型的例子,UDP端口161诱人的攻击者,因为SNMP协议,这是一个用于管理网络计算机和投票信息是有用的,通过此端口发送流量。“SNMP允许您查询用户名,网络共享等信息的服务器。SNMP往往与默认的字符串,如密码的行为,”Mühl的解释。
保护端口、服务和漏洞
企业可以通过使用SSH公钥认证,禁止登录为根用户,移动SSH到一个更高的端口号,使攻击者不会轻易发现它保护SSH,说扩大。“如果一个用户连接到SSH像25000高端口数量,这将是更难攻击者定位攻击面SSH服务,说:”扩大。
如果您的企业运行IRC,请将其置于防火墙之后。“不允许任何来自外部网络的IRC服务流量。”让用户通过VPN进入网络使用IRC,”加宽说。
重复的端口号和数字,尤其是长序列很少代表一个合法使用的端口。“当你在使用中看到这些端口,确保它们是真实的,”诺比说。监控和过滤DNS以避免渗出。并停止使用Telnet和关闭端口23。
在所有的网络端口安全应包括防御纵深。关闭任何端口,您不使用,使用基于主机的防火墙在每台主机上,运行一个基于网络的下一代防火墙,以及监控和过滤端口流量诺比说。定期做端口扫描的一部分笔测试确保任何端口上没有未检查的漏洞。特别注意SOCKS代理或任何您没有设置的其他服务。修补和加固连接到该端口的任何设备、软件或服务,直到你的网络资产装甲没有凹陷为止。当新旧软件中出现新的漏洞,攻击者可以通过网络端口到达时,要主动出击。
使用您所支持的任何服务的最新版本,适当配置,并使用强密码;访问控制列表可以帮助你限制谁可以连接到端口和服务,Muhl说。经常测试端口和服务。当你有HTTP和HTTPS这样的服务,你可以定制很多,很容易错误配置服务,意外地引入一个漏洞,”Muhl解释说;“并更改那些默认SNMP字符串。”
安全港高风险港口
专家根据不同的标准发布带有重大风险的端口列表,这些标准包括每个端口所受威胁的类型或严重程度,或给定端口上服务的脆弱性程度。没有一个清单是包罗万象的。要进行进一步的调查,可以从列表开始SANS.org,互联网SpeedGuide,GaryKessler.net。
这篇文章,“保护危险的网络端口”最初是由方案 。