Dlaczego kontrola jest tak ważna dla otwartych portów UDP?
Istnieje wiele bardzo ważnych protokołów, które wykorzystują do komunikacji porty UDP, niektóre z nich to popularny system nazw domen (DNS) i prosty protokół zarządzania siecią (SNMP). Oba protokoły domyślnie używają portów DNS, które musimy zamknąć, gdy nie są używane, a nawet sprawdzić, czy korzystamy z tych protokołów.
Bezpieczny protokół DNS
Serwery DNS zazwyczaj używają portu UDP 53, chociaż mamy również możliwość korzystania z innych portów, takich jak TCP 53, i chociaż używamy DNS przez HTTPS lub DNS przez TLS, porty są różne i są zarządzane przez TCP zamiast UDP. Port UDP 53 jest szeroko stosowany do odbierania zapytań DNS i aby na nie odpowiedzieć, konieczne jest blokowanie komunikacji przychodzącej za pomocą tego portu przez przednią szybę, w przypadku braku serwera DNS. ponieważ możemy mieć do czynienia ze skanowaniem portów, aby spróbować uzyskać cenne informacje w celu późniejszego zaatakowania tego serwera.
Jeśli serwer DNS jest skonfigurowany, bardzo ważne jest również odpowiednie zabezpieczenie go zaporą ogniową, aby uniknąć ataków DoS, które mogłyby uniemożliwić serwerowi DNS odpowiedź.Dzięki zaporom ogniowym możemy ograniczyć liczbę żądań na sekundę, które możemy otrzymać, odrzucić je od wszystkich innych, a nawet „blokuj” adresy IP przed wysyłaniem nam dodatkowych informacji.
Naprawdę przydatne narzędzie do ochrony serwera DNS przed atakami DoS Błąd2ban ten To narzędzie pomaga nam analizować rzeczywisty dziennik procesu i, w zależności od dziennika, będziemy w stanie wykryć możliwe ataki typu „odmowa usługi”, aby później zablokować te źródłowe adresy IP w zaporze. W ten sposób Fail2ban będzie aktywnie chronił serwer DNS, gdy tylko wykryje ruch większy niż „normalny”, automatycznie poinformuje firewall, aby zablokował każde żądanie z określonego źródłowego adresu IP, pozostawiając serwer DNS dostępny dla reszty sprzęt.
DHCP używa również UDP, musi być chroniony
Innym szeroko stosowanym protokołem jest Dynamic Host Control Protocol (DHCP), protokół, który zapewnia nam dynamiczne i automatyczne prywatne adresy IP w naszej sieci lokalnej. Protokół ten wykorzystuje porty UDP 67/68 do odbierania i wysyłania informacji. Potencjalny intruz może stale wysyłać nam DHCP Discover, aby nasycić serwer DHCP lub bezpośrednio przeskanować sieć w poszukiwaniu serwera DHCP, aby dowiedzieć się, której wersji procesu używamy i czy istnieje znana luka w zabezpieczeniach, którą można wykorzystać później.
Zalecamy, aby jeśli nie korzystasz z serwera DHCP, najlepiej wyłączyć ten proces, a jeśli go używasz, upewnij się, że zawsze korzystasz z najnowszej dostępnej wersji i że jest ona wolna od luk. ten
Jak chronić SNMP i zapobiegać atakom
Innym protokołem szeroko stosowanym w sieciach jest Protokół SNMP ten Ten protokół SNMP działa na poziomie aplikacji i umożliwia wymianę informacji dotyczących zarządzania między urządzeniami sieciowymi. Ponadto protokół SNMP znajduje się nie tylko na komputerach, ale prawie na wszystkich urządzeniach sieciowych, takich jak routery, przełączniki zarządzane, serwery, drukarki, modemy, a nawet telefony VoIP. Dzięki temu protokołowi administratorzy sieci będą mogli monitorować w razie problemu, korzystając z systemów monitoringu takich jak Nagios, Icinga2, Zabbix wśród wielu innych, które istnieją, a nie tylko pozwalać na podgląd konfiguracji i monitorowanie stanu całego sieci, umożliwia również zdalną konfigurację.
Ze względu na samą naturę SNMP bardzo prawdopodobne jest, że proces ten będzie wykonywany z uprawnieniami administratora na serwerze, komputerze lub routerze, ponieważ jeśli SNMP pozwala na zmianę konfiguracji hosta, musi mieć do tego uprawnienia . Obecnie istnieją dwie powszechnie używane wersje SNMP, SNMPv2c, które można znaleźć na większości urządzeń, takich jak routery, przełączniki zarządzane, modemy i telefonia VoIP, oraz wersja SNMPv3, którą można znaleźć na tych samych urządzeniach, jeśli oprogramowanie układowe jest obsługiwane. ten SNMPv3 dodaje wiele środków bezpieczeństwa, integruje uwierzytelnianie z szyfrowaniem danych, a cała komunikacja jest szyfrowana od końca do końca, aby zapewnić prywatność.
Pierwszą rzeczą, którą należy wziąć pod uwagę, aby właściwie chronić SNMP, jest to, że jeśli go nie użyjemy, najlepiej, co możemy zrobić, to wyłączyć ten proces, inną opcją jest całkowite wyłączenie odpowiednich portów z UDP 161 i UDP 162. na zaporze. Dzięki tym dwóm działaniom zapobiegniemy wykorzystaniu wszelkiego rodzaju luki znalezionej w usłudze SNMP, ponieważ pierwszą rzeczą, jaką zrobiłby atakujący, jest wykonanie skanowania portów i sprawdzenie, czy usługa SNMP jest aktywna. Ponadto nie wolno nam zapominać, że nawet jeśli SNMP jest tylko do odczytu, możliwe jest uzyskanie ataku typu „odmowa usługi”, jeśli protokół nie jest prawidłowo zaimplementowany, jak miało to miejsce w przypadku systemu Cisco iOS wiele lat temu.
Innym środkiem bezpieczeństwa, który możemy zastosować, jest reagowanie tylko na ustawione przez nas adresy IP, jednak UDP nie jest protokołem zorientowanym na połączenie, więc oszustwa IP są naprawdę proste, więc ta opcja jest plusem, a nie kompletnym rozwiązaniem. Jeśli używasz protokołu SNMPv3, będziesz chroniony przed tym potencjalnym atakiem.
Na poziomie zapory, jeśli korzystasz z iptables lub innych zapór, możemy stworzyć pewne reguły ograniczające dostęp do serwera SNMP naszego urządzenia, a także wysyłać informacje na inny adres IP.
$ iptables -A INPUT -s <direccion ip> -p udp -m udp --dport 161 -j ACCEPT
$ iptables -A OUTPUT -d <direccion ip> -p udp -m udp --sport 161 -j ACCEPT
Oczywiście w przypadku korzystania z wersji niższych niż SNMPv3 cała komunikacja nie jest szyfrowana, chociaż mamy uwierzytelnianie odczytowe i pisemne na różnych serwerach, dlatego zdecydowanie zaleca się, aby nie mieć dostępu do komputera w sieci zarządzania, ponieważ może to spowodować atak człowieka i uprowadzone dane uwierzytelniające połączenia SNMP RW. Właściwa segmentacja sieci w sieciach VLAN ma fundamentalne znaczenie i nie należy jej pomijać w projektowaniu i bezpieczeństwie sieci. Dzięki SNMPv3 będziemy mieli dobre uwierzytelnianie i szyfrowanie z szyfrowaniem, ale jest podatne na gwałtowne siły lub ataki słownikowe w celu odgadnięcia kluczy uwierzytelniających, zwłaszcza jeśli są one krótkie, dlatego zalecane jest użycie „długich kluczy”. Wreszcie,
Ten sam program Fail2ban, który zaproponowaliśmy wcześniej, jest również w stanie odpowiednio chronić protokół SNMP przed możliwymi atakami DoS ze strony intruzów sieciowych.
Jak dowiedzieć się, które porty UDP otworzyłeś z Internetu?
Najłatwiejszym sposobem sprawdzenia otwartych portów UDP jest przejście do określonej witryny za pomocą zwykłej przeglądarki internetowej. W takim przypadku zalecamy to zrobić test zużycia ten W przypadku dostępu zewnętrznego (poza naszą siecią lokalną) wskazane jest najpierw podanie naszego publicznego adresu IP przez sieć jakie jest moje IP ten
Po wejściu do testu portu pierwszą rzeczą, którą musimy zrobić, to podać nasz publiczny adres IP, jeśli mamy do niego dostęp z zewnątrz. Następnie dodajemy porty, które chcemy kontrolować. To narzędzie pozwala kontrolować zakres portów, a także używać portów oddzielonych przecinkami. Tym razem wybraliśmy FTP i kliknęliśmy zacząć ten
Według informacji drzwi 21 są otwarte. Oznacza to na przykład, że moglibyśmy mieć serwer FTP powszechnie używany do zewnętrznego udostępniania plików. Jeśli jednak jej nie posiadamy, najlepszą rzeczą, jaką możemy zrobić, to ją wyłączyć. W ten sposób unikniemy ewentualnego ataku z wykorzystaniem tego portu.
Jak sprawdzić, które porty otworzyłeś z sieci LAN?
Jeśli jesteś w sieci lokalnej, a porty Internet WAN nie są otwarte, chociaż nie można uzyskać do nich dostępu z zewnątrz, luki w zabezpieczeniach mogą zostać wykorzystane w samej sieci lokalnej. Jednym z najpopularniejszych skanerów portów jest Nmap, skanowanie UDP jest włączane za pomocą -sU, a jeśli chcesz skanować zarówno za pomocą UDP, jak i TCP, możesz również dodać -sS, aby przetestować oba protokoły jednocześnie. Wykonując po prostu następujące polecenie, przeskanujemy wszystkie porty UDP określonego hosta:
nmap -sU -v <direccion ip>
W zależności od tego, co Nmap otrzyma, wykryje, czy port jest otwarty (jest odpowiedź), czy jest otwarty i filtrowany (nie otrzymano odpowiedzi), czy jest zamknięty (jeśli zwraca błąd portu ICMP 3, który nie jest to możliwe) lub filtrowane (jeśli otrzyma inny rodzaj błędu ICMP).
Starting Nmap ( http://nmap.org )
Nmap scan report for 192.168.1.1
(The 997 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
53/udp open|filtered domain
67/udp open|filtered dhcpserver
111/udp open|filtered rpcbind
MAC Address: 00:01:02:03:04:05 (RedesZone Router)
Nmap done: 1 IP address (1 host up) scanned in 100.25 seconds
Jak zauważyłeś, bardzo ważna jest również odpowiednia ochrona portów UDP, ponieważ są one bardzo ważnymi operatorami i są wykorzystywane przez cyberprzestępców do zagrażania bezpieczeństwu naszej sieci.