Hur man skyddar TCP- och UDP-portar och varför vissa av dem är farliga –

Vad är TCP- och UDP-portar?

TCP och UDP hänvisar till transportlagerprotokollet som används för end-to-end-kommunikation mellan två värdar, portar är en del av ett TCP-segment eller UDP-datagram för korrekt kommunikation. Vi skulle kunna säga att “portar” är som “dörrar” för en viss tjänst, oavsett om vi använder TCP eller UDP, eftersom båda protokollen använder portar. Hamnarna i sig är inte farliga, hamnen är en hamn, och det spelar ingen roll om det är port 22 eller port 50505, det viktigaste är användningen som ges till hamnen, det är farligt att ha en port öppen för en applikationslagertjänst som inte är säker, eftersom att vem som helst kan ansluta till denna tjänst och utnyttja sårbarheter eller hacka oss direkt. Naturligtvis är det alltid nödvändigt att om vi öppnar en port till Internet så övervakar vi trafiken med IDS/IPS för att upptäcka eventuella attacker och uppdatera programmet som lyssnar på den porten.

I både TCP och UDP har vi totalt 65535 portar tillgängliga, vi har en klassificering baserad på portnumret som används, eftersom vissa portar brukar kallas “kända” och de är reserverade för vissa applikationer, även om det finns många andra portar. . De används ofta av olika programvaror för att kommunicera både på det lokala nätverket och över Internet. Vi har även registrerade hamnar och tillfälliga hamnar.

Kända hamnar

Kända portar i området från port 0 till 1023 registreras och tilldelas av Internet Assigned Numbers Authority (IANA). Till exempel inkluderar den här listan över portar port 20 för FTP-data, port 21 för FTP-kontroll, port 22 för SSH, port 23 för Telnet, port 80 och 443 för Internet (HTTP respektive HTTPS) och e-post. port bland många andra applikationslagerprotokoll.

Registrerade hamnar

Registrerade portar sträcker sig från port 1024 till port 49151. Den största skillnaden mellan dessa portar är att olika organisationer kan göra förfrågningar till IANA för att förse dem med en specifik standardport och den kommer att tilldelas för användning med en specifik applikation. Dessa registrerade hamnar är reserverade och ingen annan organisation kommer att kunna registrera dem igen, men de är vanligtvis “delvis reserverade” eftersom om organisationen slutar använda dem kan de återanvändas av ett annat företag. Ett bra exempel på en registrerad port är 3389, som används för RDP-anslutningar till Remote Desktop på Windows.

Efemära hamnar

Räckvidden för dessa portar är 49152 till 65535, detta portintervall används av klientprogram och de återanvänds ständigt. Detta portintervall används vanligtvis vid överföring till en känd eller reserverad port från en annan enhet, såsom passivt Internet eller FTP. Till exempel, när vi besöker en webbplats kommer destinationsporten alltid att vara 80 eller 443, men källporten (så att data vet hur den ska återvända) använder epimeterporten.

Vilka portar bör jag skydda särskilt?

Alla portar som används för att etablera fjärrkommunikation, vare sig det är för fildelning, fjärrkonsolhantering och till och med fjärrskrivbordsapplikationer, e-post och andra tjänster som är känsliga för attacker, måste skyddas ordentligt. Sedan har du en lista över portar (TCP) som du måste skydda speciellt, och stäng dem när vi inte ska använda den, för i framtiden är det möjligt att de redan är i bruk och vi har glömt att skydda dem ordentligt.

  • Port 21: Används av FTP för filöverföringar.
  • Port 22: Används av SSH-protokoll för att fjärrstyra datorer.
  • Port 23: Används av Telnet för att fjärrstyra datorer (osäker)
  • Portar 80, 8080, 8088, 8888 och 443: vi måste stänga alla webborienterade portar om vi inte har en webbserver, och om vi har det måste vi kontrollera den ordentligt för att mildra möjliga webbattacker som SQL-injektionsattacker, XSS och andra.
  • Port 4444: Denna port används ofta av trojaner och skadlig programvara i allmänhet, det rekommenderas att alltid blockera den.
  • Portar 6660-6669: Dessa portar används av populära IRC, om vi inte använder dem kommer vi inte att öppna dem.
  • UDP-port 161: Den används av SNMP för att se konfigurationen och hantera olika utrustningar som routrar, switchar och servrar. Det är lämpligt att stänga den om du inte ska använda den.
  • UDP-port 53: Porten som används av DNS-protokollet, denna port kan användas för att exfiltrera information i själva DNS-frågorna.

Naturligtvis är alla dessa portar som vi har förklarat de enklaste, men vi bör alltid följa en policy att blockera allt utom de som används, så vi kommer ihåg att stänga de olika portarna. Om vi ​​blockerar allt (förutom de som är använda och tillåtna) har vi ett väl säkrat system, eftersom att ha en öppen port är det första steget mot en invasion.

Hur säkrar jag portarna ordentligt?

Som standard ska alla portar vara stängda, såvida du inte använder en specifik tjänst och behöver öppna den. Det är mycket viktigt att alltid ha det minsta antalet lokala tjänster exporterat, eftersom attackytan blir mindre. Brandväggar gör att vi automatiskt kan stänga alla portar och bara öppna de vi behöver.

Mjukvaran som används som öppnar en TCP- eller UDP-socket är viktig för att hålla den uppdaterad, det är till liten nytta att stänga alla portar utom en om inte tjänsten som körs på den porten är uppdaterad och har säkerhetsbrister. Av denna anledning är det så viktigt att hålla all mjukvara uppdaterad, det rekommenderas alltid att använda mjukvara som fortfarande stöds för att få olika uppdateringar.

Om autentisering krävs för att få tillgång till en viss tjänst måste autentiseringsuppgifterna vara starka, använd digitala certifikat eller SSH-nycklar när det är möjligt (om du tänker autentisera till en SSH-server). Det rekommenderas till exempel alltid att stänga Telnet-port 23 eftersom det är ett osäkert protokoll och därför är det bäst att inte använda det under några omständigheter.

Det rekommenderas starkt att övervaka vilka TCP- och UDP-portar som används för att upptäcka eventuellt intrång eller trojanska infektionsproblem. Det är viktigt att undersöka all konstig trafik eller hamnar som är öppna, även om det inte borde. Det är också mycket viktigt att veta hur en viss tjänst (att lyssna på en viss port) beter sig vid normal användning för att identifiera ovanligt beteende.

Slutligen, förutom att använda brandväggar för att stänga alla portar vi inte använder, rekommenderas det också starkt att använda IDS/IPS för att upptäcka konstigt beteende i nätverkslagret, och det skulle till och med vara tillrådligt att installera IDS själv. PC så att den upptäcker eventuella anomalier.

Relaterade artiklar

Back to top button