Voor elk type verkeer is er een netwerkpoort. Sommige poorten lopen meer risico dan andere. Hier zijn de ergste overtreders en wat u kunt doen om ze te beveiligen.
Netwerkadressering
Netwerk en internet Transport Control Protocol / Internet Protocol-verbindingen worden gemaakt van het ene IP-adres naar het andere. Voor het gemak kunnen we een websitenaam gebruiken zoals cloudsavvyit.com, maar het is het onderliggende IP-adres dat wordt gebruikt om uw verbinding naar de juiste webserver te leiden. Hetzelfde werkt ook omgekeerd. Het netwerkverkeer dat komt aan op uw computer is omgeleid naar zijn IP-adres.
Op uw computer zullen veel programma’s en services worden uitgevoerd. Mogelijk hebt u een e-mailtoepassing en een browser geopend op uw bureaublad. Misschien gebruik je een chatclient zoals Slack of Microsoft Teams. Als u externe machines beheert, gebruikt u mogelijk een beveiligde shell-verbinding (SSH). Als u vanuit huis werkt en verbinding moet maken met uw kantoor, kunt u een RDP-verbinding (Remote Desktop Protocol) of een VPN-verbinding (Virtual Private Network) gebruiken.
Het IP-adres identificeert alleen de computer. Het kan niet gedetailleerder zijn dan dat. Maar het echte eindpunt voor een netwerkverbinding is een applicatie- of servicerun. Dus hoe weet uw computer naar welke toepassing elk netwerkpakket moet worden verzonden? Het antwoord is door poorten te gebruiken.
Wanneer een koerier een pakket bij een hotel aflevert, identificeert het adres het gebouw. Het kamernummer identificeert de kamer en de hotelgast. Het straatadres is als het IP-adres en het kamernummer is als het poortadres. Toepassingen en services gebruiken specifieke, genummerde poorten. De daadwerkelijke bestemming voor een netwerkpakket is dus een poort op een IP-adres. Dat is voldoende om de toepassing of service op een bepaalde computer te identificeren waarvoor het pakket bestemd is.
Standaard poortnummering
Sommige poorten zijn bestemd voor specifieke soorten verkeer. Dit worden de bekende poorten. Andere poorten zijn geregistreerd door applicaties en gereserveerd voor hun gebruik. Dit zijn de geregistreerde poorten. Er is een derde set poorten die voor elke toepassing beschikbaar is. Ze worden aangevraagd, toegewezen, gebruikt en vrijgemaakt op een AD hoc basis. Deze worden genoemd kortstondige poorten.
Een combinatie van poorten wordt in een verbinding gebruikt. De netwerkverbinding heeft een poort aan het lokale uiteinde van de verbinding – in de computer – nodig om verbinding te maken met het externe uiteinde van de verbinding, bijvoorbeeld een webserver. Als de webserver Hypertext Transfer Protocol Secure (HTTPS) gebruikt, is de externe poort poort 443. Uw computer gebruikt een van de gratis tijdelijke poorten om verbinding te maken met poort 443 op het IP-adres van de webserver.
Er zijn 65535 TCP / IP-poorten (en hetzelfde aantal User Datagram Protocol (UDP) -poorten).
- 0 – 1023: Bekende poorten. Deze worden toegewezen aan services door de Internet Assigned Numbers Authority (IANA). SSH gebruikt bijvoorbeeld standaard poort 22, webservers luisteren naar beveiligde verbindingen op poort 443 en Simple Mail Transfer Protocol (SMTP) -verkeer gebruikt poort 25.
- 1024 – 49151: Geregistreerde poorten. Organisaties kunnen bij de IANA verzoeken om een ​​poort die voor hen wordt geregistreerd en toegewezen voor gebruik met een applicatie. Hoewel deze geregistreerde poorten semi-gereserveerd worden genoemd, moeten ze toch worden overwogen Gereserveerd. Ze worden semi-gereserveerd genoemd omdat het mogelijk is dat de registratie van een poort niet meer nodig is en de poort vrijkomt voor hergebruik. Hoewel deze momenteel niet is geregistreerd, staat de poort echter nog steeds in de lijst met geregistreerde poorten. Het wordt gereed gehouden om door een andere organisatie te worden geregistreerd. Een voorbeeld van een geregistreerde poort is poort 3389. Dit is de poort die is gekoppeld aan RDP-verbindingen.
- 49152 – 65535: Kortstondige poorten. Deze worden op ad-hoc basis gebruikt door clientprogramma’s. U bent vrij om deze te gebruiken in elke applicatie die u schrijft. Meestal worden ze gebruikt als de lokale poort in de computer wanneer deze naar een bekende of gereserveerde poort op een ander apparaat verzendt om een ​​verbinding aan te vragen en tot stand te brengen.
Geen enkele poort is inherent veilig
Elke bepaalde poort is niet veiliger of loopt niet meer risico dan elke andere poort. Een haven is een haven. Het is het gebruik van de poort en hoe veilig dat gebruik wordt beheerd, dat bepaalt of een poort veilig is.
Het protocol dat wordt gebruikt om via een poort te communiceren, de service of applicatie die het verkeer verbruikt of genereert dat door de poort gaat, moet de huidige implementaties zijn en binnen de ondersteuningsperiode van de fabrikant vallen. Ze moeten updates voor beveiliging en bugfixes ontvangen en deze moeten tijdig worden toegepast.
Hier zijn enkele veelvoorkomende poorten en hoe ze kunnen worden misbruikt.
Poort 21, File Transfer Protocol
Een onveilige FTP-poort die als host fungeert voor een FTP-server is een enorme beveiligingsfout. Veel FTP-servers hebben kwetsbaarheden die anonieme authenticatie, laterale verplaatsing binnen het netwerk, toegang tot privilege-escalatietechnieken mogelijk maken, en – omdat veel FTP-servers kunnen worden beheerd via scripts – een manier om cross-site scripting te implementeren.
Malwareprogramma’s zoals Dark FTP, Ramen en WinCrash hebben gebruik gemaakt van onveilige FTP-poorten en -services.
Poort 22, veilige shell
Beveiligde Shell-accounts (SSH) die zijn geconfigureerd met korte, niet-unieke, hergebruikte of voorspelbare wachtwoorden zijn onveilig en kunnen gemakkelijk worden gecompromitteerd door wachtwoordwoordenboekaanvallen. Veel kwetsbaarheden in eerdere implementaties van SSH-services en daemons zijn ontdekt en worden nog steeds ontdekt. Patchen is essentieel om de beveiliging met SSH te behouden.
Poort 23, Telnet
Telnet is een oude service en een die moet worden stopgezet. Er is geen rechtvaardiging voor het gebruik van dit oude en onveilige communicatiemiddel op tekstbasis. Alle informatie die het verzendt en ontvangt via poort 23, wordt in platte tekst verzonden. Er is helemaal geen codering.
Bedreigende actoren kunnen elke Telnet-communicatie afluisteren en kunnen gemakkelijk authenticatiegegevens uitkiezen. Ze kunnen man-in-the-middle-aanvallen uitvoeren door speciaal vervaardigde kwaadaardige pakketten in de niet-gemaskeerde tekststromen te injecteren.
Zelfs een niet-geverifieerde, externe aanvaller kan misbruik maken van een bufferoverloop-kwetsbaarheid in de Telnet-daemon of -service en, door kwaadaardige pakketten te vervaardigen en deze in de tekststroom te injecteren, processen op de externe server uitvoeren. Dit is een techniek die bekend staat als Remote (of abitraire) Code Execution (RCE).
Poort 80, Hypertext Transport Protocol
Poort 80 wordt gebruikt voor onbeveiligd HTTP-verkeer (Hypertext Transport Protocol). HTTPS heeft HTTP bijna vervangen, maar er bestaat nog steeds HTTP op internet. Andere poorten die vaak worden gebruikt met HTTP zijn poorten 8080, 8088, 8888. Deze worden meestal gebruikt op oudere HTTP-servers en webproxy’s.
Onbeveiligd webverkeer en de bijbehorende poorten zijn vatbaar voor cross-site scripting en vervalsingen, bufferoverloopaanvallen en SQL-injectie-aanvallen.
Poort 1080, SOCKS-proxy’s
SOCKS is een protocol dat door SOCKS-proxy’s wordt gebruikt om netwerkpakketten op TCP-verbindingen naar IP-adressen te routeren en door te sturen. Poort 1080 was ooit een van de favoriete poorten voor malware zoals Mydoom en veel worm- en denial of service-aanvallen.
Poort 4444, Transport Control Protocol
Sommige rootkit-, backdoor- en Trojaans paard-software wordt geopend en gebruikt poort 4444. Het gebruikt deze poort om verkeer en communicatie af te luisteren, voor zijn eigen communicatie, en om gegevens van de besmette computer te exfiltreren. Het wordt ook gebruikt om nieuwe kwaadaardige ladingen te downloaden. Malware zoals de Blaster-worm en zijn varianten gebruikten poort 4444 om achterdeurtjes te creëren.
Poort 6660 – 6669, Internet Relay Chat
Internet Relay Chat (IRC) begon in 1988 in Finland en gaat nog steeds door. U heeft tegenwoordig een ijzersterke business case nodig om IRC-verkeer uw organisatie binnen te laten.
Er zijn talloze IRC-kwetsbaarheden ontdekt en uitgebuit gedurende de 20 jaar dat het in gebruik is. De UnrealIRCD-daemon had een fout in 2009 waardoor het uitvoeren van externe code een triviale zaak werd.
Poort 161, Small Network Messaging Protocol
Sommige poorten en protocollen kunnen aanvallers veel informatie over uw infrastructuur geven. UDP-poort 161 is aantrekkelijk voor bedreigingsactoren omdat het kan worden gebruikt om informatie van servers te pollen – zowel over zichzelf als over de hardware en gebruikers die erachter zitten.
Poort 161 wordt gebruikt door het Simple Network Management Protocol, waarmee de bedreigingsactoren informatie kunnen opvragen zoals infrastructuurhardware, gebruikersnamen, namen van netwerkshares en andere gevoelige informatie, dat wil zeggen, voor de bedreigingsacteur, bruikbare informatie.
Poort 53, Domain Name Service
Bedreigingsactoren moeten rekening houden met de exfiltratieroute die hun malware zal gebruiken om gegevens en bestanden van binnen uw organisatie naar hun eigen servers te verzenden.
Poort 53 is gebruikt als de exfiltratiepoort bij uitstek omdat verkeer via de Domain Name Service zelden wordt gecontroleerd. Bedreigende actoren zouden de gestolen gegevens losjes vermommen als DNS-verkeer en deze naar hun eigen nep-DNS-server sturen. De nep-DNS-server accepteerde het verkeer en herstelde de gegevens naar de oorspronkelijke indeling.
Gedenkwaardige nummers
Sommige malwareschrijvers kiezen gemakkelijk te onthouden cijferreeksen of herhaalde getallen om als poorten te gebruiken. Hiervoor zijn de poorten 234, 6789, 1111, 666 en 8888 allemaal gebruikt. Het detecteren van een van deze vreemd uitziende poortnummers die in uw netwerk worden gebruikt, zou een dieper onderzoek moeten starten.
Poort 31337, wat elite betekent in leet speak, is een ander veelgebruikt poortnummer dat door malware wordt gebruikt. Het is gebruikt door ten minste 30 malwarevarianten, waaronder Back Orifice en Bindshell.
Hoe deze poorten te beveiligen
Alle poorten moeten worden gesloten, tenzij er een gedocumenteerde, herziene en goedgekeurde businesscase is. Doe hetzelfde voor blootgestelde services. Standaardwachtwoorden moeten worden gewijzigd en vervangen door robuuste, unieke wachtwoorden. Indien mogelijk moet tweefactorauthenticatie worden gebruikt.
Alle services, protocollen, firmware en applicaties moeten nog steeds binnen de ondersteuningslevenscycli van de fabrikanten vallen, en er moeten beveiligings- en bugfix-patches voor hen beschikbaar zijn.
Bewaak de poorten die in gebruik zijn op uw netwerk en onderzoek eventuele eigenaardigheden of onverklaarbare open poorten. Begrijp hoe uw normale poortgebruik eruitziet, zodat ongebruikelijk gedrag kan worden geïdentificeerd. Voer poortscans en penetratietests uit.
Sluit poort 23 en stop met het gebruik van Telnet. Ernstig. Stop gewoon.
SSH-poorten kunnen worden beveiligd door middel van verificatie met openbare sleutels en tweefactorauthenticatie. Het zal ook helpen om je netwerk te configureren om een ​​ander poortnummer te gebruiken voor SSH-verkeer.
Als u IRC moet gebruiken, zorg er dan voor dat het zich achter een firewall bevindt en vereist dat IRC-gebruikers VPN in uw netwerk gebruiken om verbinding te maken om het te gebruiken. Sta geen verkeer van buiten toe om uw IRC rechtstreeks te raken.
Bewaak en filter DNS-verkeer. Niets mag poort 53 verlaten, behalve echte DNS-verzoeken.
Pas een diepgaande strategie toe en maak uw verdediging meerlagig. Gebruik hostgebaseerde en netwerkgebaseerde firewalls. Overweeg een inbraakdetectiesysteem (IDS) zoals het gratis en open source Snort.
Schakel alle proxy’s uit die u niet heeft ingesteld of die u niet langer nodig heeft.
Sommige SNMP-retourstrings hebben standaardreferenties voor platte tekst. Schakel dit uit.
Verwijder ongewenste HTTP- en HTTPS-antwoordheaders en schakel de banners uit die standaard worden opgenomen in de antwoorden van bepaalde netwerkhardware. Deze geven onnodig informatie weg die alleen de dreigingsactoren ten goede komt.
