Co to są porty TCP i UDP?
TCP i UDP odnoszą się do protokołu warstwy transferu używanego do kompleksowej komunikacji między dwoma serwerami; porty są częścią datagramu TCP lub UDP w celu ustanowienia prawidłowej komunikacji. Można powiedzieć, że „porty” są czymś w rodzaju „drzwi” do określonej usługi, niezależnie od tego, czy używamy TCP, czy UDP, ponieważ oba protokoły używają portów. Same porty nie są niebezpieczne, port jest portem i nie ma znaczenia, czy port 22 to port 50505, najważniejsze jest przeznaczenie danego portu, niebezpieczne jest posiadanie otwartego portu dla usługi na poziomie aplikacji, która nie nie jest chroniony, ponieważ każdy może połączyć się z tą usługą i wykorzystać luki lub bezpośrednio nas zhakować. Oczywiście,
W TCP i UDP mamy łącznie 65 535 portów, mamy klasyfikację według numeru portu do użycia, ponieważ niektóre porty nazywane są „znanymi” i są przeznaczone do konkretnych zastosowań, chociaż istnieje wiele innych portów. Są powszechnie używane przez różne programy komunikacyjne, zarówno lokalnie w sieci, jak i przez Internet. Posiadamy również porty zarejestrowane i porty efemeryczne.
Znane porty
Znane porty od 0 do 1023 są rejestrowane i przypisywane przez Internet Numbering Authority (IANA). Na przykład ta lista portów zawiera między innymi port 20 dla FTP-Data, port 21 dla FTP-Control, port 22 dla SSH, port 23 dla Telnet, porty 80 i 443 dla sieci (odpowiednio HTTP i HTTPS) oraz komunikaty o portach. protokoły poziomu aplikacji.
Zarejestrowane porty
Zarejestrowane porty mieszczą się w zakresie od 1024 do 49151. Główna różnica między tymi portami polega na tym, że różne organizacje mogą zażądać przypisania IANA określonego domyślnego portu, który ma być przypisany do użycia z określoną aplikacją. Te zarejestrowane porty są zablokowane i żadna inna organizacja nie będzie mogła ich ponownie zarejestrować, jednak zazwyczaj są one „częściowo blokowane”, ponieważ jeśli jedna organizacja przestanie z nich korzystać, może zostać ponownie wykorzystana przez inną firmę. Wyraźnym przykładem zarejestrowanego portu jest 3389, który jest używany do połączeń pulpitu zdalnego RDP w systemie Windows.
Porty efemeryczne
Są to porty od 49152 do 65535, ten zakres portów jest używany przez programy klienckie i jest stale ponownie używany. Ten zakres portów jest zwykle używany podczas transmisji do znanego lub zarezerwowanego portu z innego urządzenia, takiego jak sieć pasywna lub FTP. Na przykład, gdy odwiedzamy witrynę, portem docelowym zawsze będzie 80 lub 443, ale port źródłowy (aby dane wiedziały, jak je zwrócić) używa portu epimetru.
Które porty powinienem konkretnie chronić?
Wszystkie porty używane do tworzenia komunikacji zdalnej, czy to do udostępniania plików, zdalnego sterowania konsolą, a nawet aplikacji pulpitu zdalnego, poczty e-mail i innych podatnych na ataki usług, muszą być odpowiednio chronione. Następnie masz listę portów (TCP), które musisz chronić i zamykać, gdy nie zamierzasz ich używać, ponieważ mogą być używane w przyszłości, a zapomnieliśmy je odpowiednio zabezpieczyć.
- Port 21: Używany przez protokół przesyłania plików FTP.
- Port 22: używany przez protokół SSH do zdalnego zarządzania komputerem
- Port 23: używany przez Telnet do zdalnego zarządzania komputerami (bez zabezpieczeń)
- Porty 80, 8080, 8088, 8888 i 443: Wszystkie porty sieciowe powinny być zamknięte, jeśli nie mamy serwera WWW, a jeśli taki mamy, powinniśmy go odpowiednio monitorować, aby złagodzić potencjalne ataki sieciowe, takie jak SQL, XSS, i inne ataki.
- Port 4444: Ten port jest zwykle używany przez trojany i złośliwe oprogramowanie, zaleca się, aby zawsze go wyłączać.
- Porty 6660-6669: Te porty są używane przez popularny IRC, jeśli ich nie użyjemy, nie otworzymy ich.
- 161 Port UDP: używany przez protokół SNMP do przeglądania konfiguracji i zarządzania różnymi urządzeniami, takimi jak routery, przełączniki i serwery. Zaleca się zamknięcie go, jeśli nie zamierzasz z niego korzystać.
- Port UDP 53: port używany przez protokół DNS, ten port może być używany do eksportowania informacji do samych zapytań DNS.
Oczywiście wszystkie te porty, które wyjaśniliśmy, są najbardziej podstawowe, ale zawsze powinniśmy postępować zgodnie z polityką wykluczania wszystkich oprócz tych, które są używane, w ten sposób nie zapomnimy zamknąć różnych portów. Jeśli wykluczymy wszystko (oprócz tych, które są używane i autoryzowane), będziemy mieli wysoce chroniony system, ponieważ otwarte drzwi to pierwszy krok do włamania.
Jak prawidłowo zabezpieczyć drzwi?
Domyślnie wszystkie porty muszą być zamknięte, chyba że korzystasz z określonej usługi i musisz ją otworzyć. Bardzo ważne jest, aby zawsze eksportować jak najmniej usług lokalnych, ponieważ obszar ataku będzie mniejszy. Zapory pozwolą nam automatycznie zamknąć wszystkie drzwi i otworzyć tylko te, których potrzebujemy.
Do jego aktualizacji wymagane jest oprogramowanie służące do otwierania gniazda TCP lub UDP. Zamknięcie wszystkich portów poza jednym jest mało przydatne, jeśli usługa działająca na tym porcie jest nieaktualna i ma luki w zabezpieczeniach. Dlatego tak ważne jest aktualizowanie całego oprogramowania, zaleca się, aby zawsze używać oprogramowania, które jest zawsze utrzymywane w celu otrzymywania różnych aktualizacji.
Jeśli uwierzytelnianie jest wymagane w celu uzyskania dostępu do określonej usługi, konieczne jest, aby poświadczenia były silne, w miarę możliwości używaj certyfikatów cyfrowych lub kluczy SSH (jeśli zamierzasz uwierzytelniać się na serwerze SSH). Na przykład zawsze zaleca się zamknięcie usługi Telnet 23, ponieważ jest to protokół niezabezpieczony i dlatego nie należy go używać w żadnych okolicznościach.
Zdecydowanie zaleca się monitorowanie, które porty TCP i UDP są używane do wykrywania możliwych problemów z włamaniami trojana lub infekcją. Ważne jest, aby badać wszelkie dziwne ruchy lub otwierać drzwi, kiedy nie powinieneś. Bardzo ważne jest również, aby wiedzieć, jak dana usługa zachowuje się (nasłuchując określonego portu) w normalnych warunkach użytkowania, aby wykryć nieprawidłowe zachowanie.
Wreszcie, oprócz użycia zapory sieciowej do zamykania wszystkich portów, których nie używamy, byłoby również wysoce zalecane użycie IDS / IPS do wykrywania dziwnych zachowań na poziomie sieci i nadal byłoby wskazane „zainstalowanie IDS. PC siebie, aby mógł wykryć wszelkie nieprawidłowości.