Por que algumas portas de rede são arriscadas e como você as protege?

Shutterstock / PeterPhoto123

Existe uma porta de rede para cada tipo de tráfego. Alguns portos correm mais risco do que outros. Aqui estão os piores criminosos e o que você pode fazer para protegê-los.

Endereçamento de rede

Conexões de protocolo de controle de transporte / protocolo de Internet de rede e Internet são feitas de um endereço IP para outro. Por conveniência, podemos usar um nome de site como cloudsavvyit. com, mas é o endereço IP subjacente que é usado para direcionar sua conexão para o servidor da web apropriado. A mesma coisa funciona ao contrário também. O tráfego de rede que chega ao seu computador foi direcionado ao endereço IP.

Seu computador terá muitos programas e serviços em execução dentro dele. Você pode ter um aplicativo de e-mail e um navegador abertos na área de trabalho. Talvez você use um cliente de bate-papo como o Slack ou o Microsoft Teams. Se você estiver administrando máquinas remotas, pode estar usando uma conexão de shell seguro (SSH). Se você estiver trabalhando em casa e precisar se conectar ao escritório, poderá usar uma conexão de protocolo de área de trabalho remota (RDP) ou uma conexão de rede privada virtual (VPN).

O endereço IP identifica apenas o computador. Não pode ser mais granular do que isso. Mas o ponto final real para uma conexão de rede é um aplicativo ou serviço executado. Então, como seu computador sabe para qual aplicativo enviar cada pacote de rede? A resposta é usando portas.

Quando um mensageiro entrega um pacote em um hotel, o endereço identifica o prédio. O número do quarto identifica o quarto e o hóspede do hotel. O endereço da rua é como o endereço IP e o número do quarto é como o endereço da porta. Os aplicativos e serviços usam portas numeradas específicas. Portanto, o destino real de um pacote de rede é para uma porta em um endereço IP. Isso é o suficiente para identificar o aplicativo ou serviço em um computador específico ao qual o pacote se destina.

Numeração de porta padrão

Algumas portas são dedicadas a tipos específicos de tráfego. Elas são chamadas de portas conhecidas. Outras portas são registradas por aplicativos e reservadas para seu uso. Estas são as portas registradas. Há um terceiro conjunto de portas disponíveis para uso de qualquer aplicativo. Eles são solicitados, alocados, usados ​​e liberados em uma base ad hoc. Elas são chamadas de portas efêmeras.

Uma mistura de portas será usada em uma conexão. A conexão de rede precisa de uma porta na extremidade local da conexão — no computador — para se conectar à extremidade remota da conexão — um servidor da web, por exemplo. Se o servidor da web estiver usando Hypertext Transfer Protocol Secure (HTTPS), a porta remota será a porta 443. Seu computador usará qualquer uma das portas efêmeras gratuitas para fazer uma conexão com a porta 443 no endereço IP do servidor da web.

Existem 65535 portas TCP / IP (e o mesmo número de portas do User Datagram Protocol (UDP)).

• 0 – 1023: Portas conhecidas. Eles são alocados para serviços pela Autoridade para Atribuição de Números da Internet (IANA). Por exemplo, o SSH usa a porta 22 por padrão, os servidores da web escutam conexões seguras na porta 443 e o tráfego do Simple Mail Transfer Protocol (SMTP) usa a porta 25.
• 1024 – 49151: Portas registradas. As organizações podem fazer solicitações à IANA para uma porta que será registrada para elas e atribuída para uso com um aplicativo. Embora essas portas registradas sejam chamadas de semi-reservadas, elas devem ser consideradas reservadas. Eles são chamados de semi-reservados porque é possível que o registro de uma porta não seja mais necessário e a porta seja liberada para reutilização. No entanto, — embora não esteja registrado no momento — a porta ainda está na lista de portas registradas. Está preparado para ser registrado por outra organização. Um exemplo de porta registrada é a porta 3389. Esta é a porta associada às conexões RDP.
• 49152 – 65535: Portas efêmeras. Eles são usados ​​em uma base ad-hoc por programas clientes. Você é livre para usá-los em qualquer aplicativo que escrever. Normalmente, eles são usados ​​como a porta local dentro do computador quando ele está transmitindo para uma porta conhecida ou reservada em outro dispositivo para solicitar e estabelecer uma conexão.

Nenhuma porta é inerentemente segura

Qualquer porta não é mais segura ou está em risco do que qualquer outra porta. Uma porta é uma porta. É o uso que a porta faz e a segurança com que esse uso é gerenciado que determina se uma porta é segura.

O protocolo usado para se comunicar por meio de uma porta, o serviço ou aplicativo que consome ou gera o tráfego que passa pela porta precisa ser implementações atuais e dentro de seu fabricante & # Período de suporte 8217; s. Eles devem receber atualizações de segurança e correção de bugs e estas devem ser aplicadas em tempo hábil.

Aqui estão algumas portas comuns e como elas podem ser abusadas.

Porta 21, protocolo de transferência de arquivos

Uma porta FTP insegura hospedando um servidor FTP é uma grande falha de segurança. Muitos servidores FTP têm vulnerabilidades que podem permitir autenticação anônima, movimento lateral dentro da rede, acesso a técnicas de escalonamento de privilégios e — porque muitos servidores FTP podem ser controlados por meio de scripts — um meio de implantar scripts entre sites.

Programas de malware, como Dark FTP, Ramen e WinCrash, usam portas e serviços FTP inseguros.

Porta 22, shell seguro

Contas Secure Shell (SSH) configuradas com senhas curtas, não exclusivas, reutilizadas ou previsíveis são inseguras e podem ser facilmente comprometidas por ataques de dicionário de senha. Muitas vulnerabilidades em implementações anteriores de serviços e daemons SSH foram descobertas e ainda estão sendo descobertas. A aplicação de patches é vital para manter a segurança com SSH.

Porta 23, Telnet

Telnet é um serviço legado e deve ser retirado. Não há justificativa para usar este meio antigo e inseguro de comunicação baseada em texto. Todas as informações que ele envia e recebe pela porta 23 são enviadas em texto simples. Não há criptografia nenhuma.

Os atores da ameaça podem espionar qualquer comunicação Telnet e podem facilmente escolher as credenciais de autenticação. Eles podem realizar ataques man-in-the-middle, injetando pacotes maliciosos especialmente criados nos fluxos de texto não mascarados.

Mesmo um invasor remoto não autenticado pode explorar uma vulnerabilidade de estouro de buffer no daemon ou serviço Telnet e, criando pacotes maliciosos e injetando-os no fluxo de texto, executar processos no servidor remoto. Esta é uma técnica conhecida como Remote (ou abitrary) Code Execution (RCE).

Porta 80, protocolo de transporte de hipertexto

A porta 80 é usada para tráfego não seguro do protocolo de transporte de hipertexto (HTTP). O HTTPS praticamente substituiu o HTTP, mas ainda existe algum HTTP na web. Outras portas comumente usadas com HTTP são as portas 8080, 8088, 8888. Elas tendem a ser usadas em servidores HTTP e proxies da web mais antigos.

O tráfego da web não seguro e as portas associadas são suscetíveis a scripts e falsificações entre sites, ataques de estouro de buffer e ataques de injeção de SQL.

Porta 1080, SOCKS Proxies

SOCKS é um protocolo usado pelos proxies SOCKS para rotear e encaminhar pacotes de rede em conexões TCP para endereços IP. A porta 1080 foi uma das portas escolhidas no passado, para malware como o Mydoom e muitos ataques de worm e negação de serviço.

Porta 4444, protocolo de controle de transporte

Algum software rootkit, backdoor e cavalo de Tróia é aberto e usa a porta 4444. Ele usa essa porta para espionar o tráfego e as comunicações, para suas próprias comunicações e para exfiltrar dados do computador comprometido. Ele também é usado para baixar novas cargas maliciosas. Malwares como o worm Blaster e suas variantes usaram a porta 4444 para estabelecer backdoors.

Porta 6660 – 6669, Internet Relay Chat

O Internet Relay Chat (IRC) começou em 1988 na Finlândia e ainda está acontecendo. Você precisaria ter um caso de negócios de ferro fundido para permitir o tráfego de IRC em sua organização atualmente.

Existem incontáveis ​​vulnerabilidades de IRC descobertas e exploradas ao longo dos 20 e poucos anos em que está em uso. O daemon UnrealIRCD tinha uma falha em seu 2009 que tornava a execução remota de código uma questão trivial.

Porta 161, Small Network Messaging Protocol

Algumas portas e protocolos podem fornecer aos invasores muitas informações sobre sua infraestrutura. A porta UDP 161 é atraente para os agentes de ameaças porque pode ser usada para pesquisar informações dos servidores — tanto sobre eles próprios quanto sobre o hardware e os usuários que estão por trás deles.

A porta 161 é usada pelo protocolo de gerenciamento de rede simples, que permite que os agentes da ameaça solicitem informações como hardware de infraestrutura, nomes de usuário, nomes de compartilhamento de rede e outras informações confidenciais que são, para o ator da ameaça, inteligência acionável.

Porta 53, Serviço de Nome de Domínio

Os agentes da ameaça precisam considerar a rota de exfiltração que o malware usará para transmitir dados e arquivos de dentro da sua organização para seus próprios servidores.

A porta 53 tem sido usada como porta de exportação preferida porque o tráfego por meio do serviço de nomes de domínio raramente é monitorado. Os atores da ameaça disfarçariam vagamente os dados roubados como tráfego DNS e os enviariam para seu próprio servidor DNS falso. O falso servidor DNS aceitou o tráfego e restaurou os dados para seu formato original.

Números memoráveis ​​

Alguns autores de malware escolhem sequências de números fáceis de lembrar ou números repetidos para usar como portas. As portas 234, 6789, 1111, 666 e 8888 foram usadas para isso. A detecção de qualquer um desses números de porta de aparência estranha em uso na rede deve instigar uma investigação mais profunda.

A porta 31337, que significa elite por falar, é outro número de porta comum para uso de malware. Ele foi usado por pelo menos 30 variantes de malware, incluindo Back Orifice e Bindshell.

Como proteger essas portas

Todas as portas devem ser fechadas, a menos que haja um caso de negócios documentado, revisado e aprovado. Faça o mesmo para serviços expostos. As senhas padrão devem ser alteradas e substituídas por senhas robustas e exclusivas. Se possível, a autenticação de dois fatores deve ser usada.

Todos os serviços, protocolos, firmware e aplicativos ainda devem ser dos fabricantes &’ suportam ciclos de vida, e patches de segurança e correção de bugs devem estar disponíveis para eles.

Monitore as portas que estão em uso na sua rede e investigue quaisquer estranhezas ou portas inexplicavelmente abertas. Entenda como é o uso normal da porta para que um comportamento incomum possa ser identificado. Realize varreduras de portas e testes de penetração.

Feche a porta 23 e pare de usar o Telnet. A sério. Apenas pare.

As portas SSH podem ser protegidas usando autenticação de chave pública e autenticação de dois fatores. Configurar sua rede para usar um número de porta diferente para o tráfego SSH também ajudará.

Se você precisar usar IRC, certifique-se de que ele esteja atrás de um firewall e exija que os usuários de IRC façam uma VPN em sua rede para se conectar para usá-lo. Não permita que tráfego externo chegue diretamente ao seu IRC.

Monitore e filtre o tráfego DNS. Nada deve sair da porta 53 além de solicitações DNS genuínas.

Adote uma estratégia de defesa profunda e torne suas defesas em várias camadas. Use firewalls baseados em host e em rede. Considere um sistema de detecção de intrusão (IDS), como o Snort gratuito e de código aberto.

Desative todos os proxies que você não configurou ou de que não precisa mais.

Algumas strings de retorno SNMP possuem credenciais padrão de texto simples. Desative isso.

Remova cabeçalhos de resposta HTTP e HTTPS indesejados e desative os banners que são incluídos por padrão nas respostas de algum hardware de rede. Eles fornecem informações desnecessariamente que beneficiam apenas os atores da ameaça.