จะป้องกันพอร์ตเครือข่ายที่มีความเสี่ยงสูงได้อย่างไร?

แพ็กเก็ตข้อมูลที่ส่งไปและจากพอร์ตเครือข่าย ที่มีหมายเลข จะเชื่อมโยงกับที่อยู่ IP และจุดสิ้นสุดเฉพาะโดยใช้โปรโตคอล TCP หรือ UDP พอร์ตทั้งหมดมีความเสี่ยงที่จะถูกโจมตี ไม่มีพอร์ตใดที่ปลอดภัยอย่างแน่นอน

Mr. Kurt Muhl - ที่ปรึกษาด้านความปลอดภัยชั้นนำของ RedTeam อธิบายว่า: "ทุกพอร์ตและบริการที่เกี่ยวข้องมีความเสี่ยง ความเสี่ยงมาจากเวอร์ชันของบริการ แม้ว่าจะมีการกำหนดค่าอย่างถูกต้อง ถูกต้องหรือตั้งรหัสผ่านสำหรับบริการ รหัสผ่านนั้นแข็งแกร่งหรือไม่ ปัจจัยอื่นๆ ได้แก่ พอร์ตที่แฮกเกอร์ เลือก ให้โจมตีหรือไม่ คุณกำลังปล่อยให้มัลแวร์ผ่านพอร์ต กล่าวโดยสรุป มีหลายปัจจัยที่กำหนดความปลอดภัยของพอร์ตหรือบริการ"

CSO ตรวจสอบความเสี่ยงของเกตเวย์เครือข่ายตามแอปพลิเคชัน ช่องโหว่ และการโจมตีที่เกี่ยวข้อง โดยให้แนวทางที่หลากหลายในการปกป้องธุรกิจจากแฮกเกอร์ที่เป็นอันตรายซึ่งใช้ช่องโหว่เหล่านี้ในทางที่ผิด

• ชุดเครื่องมือตรวจสอบเครือข่ายที่ครอบคลุม
• เครื่องมือแก้ไขปัญหาเครือข่ายพื้นฐาน 10 อันดับแรกที่คนไอทีจำเป็นต้องรู้

อะไรทำให้เกตเวย์เครือข่ายเป็นอันตราย

มีพอร์ต TCP ทั้งหมด 65,535 พอร์ตและพอร์ต UDP อีก 65,535 พอร์ต เราจะมาดูพอร์ตที่อันตรายที่สุดบางพอร์ตกัน พอร์ต TCP 21 เชื่อมต่อเซิร์ฟเวอร์ FTP กับอินเทอร์เน็ต เซิร์ฟเวอร์ FTP เหล่านี้มีช่องโหว่หลักๆ มากมาย เช่น การรับรองความถูกต้องโดยไม่ระบุชื่อ การข้ามผ่านไดเรกทอรี การเขียนสคริปต์ข้ามไซต์ ทำให้พอร์ต 21 เป็นเป้าหมายในอุดมคติสำหรับแฮกเกอร์

ในขณะที่บริการที่มีช่องโหว่บางอย่างยังคงใช้ยูทิลิตี้นี้ต่อไป แต่บริการแบบเดิมเช่น Telnet บนพอร์ต TCP 23 ก็ไม่ปลอดภัยโดยเนื้อแท้ตั้งแต่แรก แม้ว่าแบนด์วิธจะมีขนาดเล็กมาก เพียงไม่กี่ไบต์ในแต่ละครั้ง Telnet จะส่งข้อมูลสู่สาธารณะโดยสมบูรณ์ในรูปแบบข้อความที่ชัดเจน Austin Norby นักวิทยาศาสตร์คอมพิวเตอร์ที่กระทรวงกลาโหมสหรัฐฯ กล่าวว่า"ผู้โจมตีสามารถฟัง ดูใบรับรอง สั่งการผ่านการโจมตี [แบบแทรกกลางการสื่อสาร] และสุดท้ายคือดำเนินการ Remote Code Executions (RCE) (นี่เป็นความคิดเห็นของตนเองไม่ได้เป็นตัวแทนของความคิดเห็นของหน่วยงานใด ๆ )

แม้ว่าพอร์ตเครือข่ายบางพอร์ตจะสร้างช่องโหว่ให้ผู้โจมตีเข้าถึงได้ง่าย แต่พอร์ตอื่นๆ ก็สร้างเส้นทางหลบหนีที่สมบูรณ์แบบ พอร์ต TCP/UDP 53 สำหรับ DNS เป็นตัวอย่าง เมื่อพวกเขาแทรกซึมเข้าไปในเครือข่ายและบรรลุเป้าหมายแล้ว แฮกเกอร์ทั้งหมดที่ต้องทำเพื่อดึงข้อมูลออกมาก็คือการใช้ซอฟต์แวร์ที่มีอยู่เพื่อเปลี่ยนข้อมูลให้เป็นการรับส่งข้อมูล DNS “DNS ไม่ค่อยได้รับการตรวจสอบและกรองน้อยมาก” นอร์บี้กล่าว เมื่อผู้โจมตีขโมยข้อมูลออกจากองค์กรที่ปลอดภัย พวกเขาเพียงแค่ส่งข้อมูลผ่านเซิร์ฟเวอร์ DNS ที่ออกแบบมาเป็นพิเศษซึ่งจะแปลข้อมูลกลับไปเป็นสถานะดั้งเดิม

ยิ่งมีการใช้พอร์ตมากเท่าใด การแอบโจมตีแพ็กเก็ตอื่นๆ ทั้งหมดก็จะยิ่งง่ายขึ้นเท่านั้น พอร์ต TCP 80 สำหรับ HTTP รองรับการรับส่งข้อมูลเว็บที่ได้รับจากเบราว์เซอร์ ตามข้อมูลของ Norby การโจมตีเว็บไคลเอ็นต์ผ่านพอร์ต 80 รวมถึงการเจาะระบบ SQL การปลอมแปลงคำขอข้ามไซต์ การเขียนสคริปต์ข้ามไซต์ และบัฟเฟอร์ล้น

ผู้โจมตีจะตั้งค่าบริการของตนบนพอร์ตที่แยกจากกัน พวกเขาใช้พอร์ต TCP 1080 - ใช้สำหรับซ็อกเก็ตที่ปกป้องพร็อกซี "SOCKS" เพื่อสนับสนุนมัลแวร์และการดำเนินงาน ม้าโทรจันและเวิร์ม เช่น Mydoom และ Bugbear ได้ใช้พอร์ต 1080 ในการโจมตี หากผู้ดูแลระบบเครือข่ายไม่ได้ตั้งค่าพร็อกซี SOCKS การมีอยู่ของพร็อกซีนั้นถือเป็นภัยคุกคาม Norby กล่าว

เมื่อแฮกเกอร์ประสบปัญหาพวกเขาจะใช้หมายเลขพอร์ตที่สามารถจดจำได้ง่าย เช่น ชุดหมายเลข 234, 6789 หรือหมายเลขเดียวกับ 666 หรือ 8888 ซอฟต์แวร์ Backdoor และม้าโทรจันบางตัวเปิดขึ้นและใช้พอร์ต TCP 4444 เพื่อฟัง สื่อสาร ส่งต่อการรับส่งข้อมูลที่เป็นอันตรายจากภายนอก และส่งเพย์โหลดที่เป็นอันตราย มัลแวร์อื่นๆ บางตัวที่ใช้พอร์ตนี้ ได้แก่ Prosiak, Swift Remote และ CrackDown

การรับส่งข้อมูลเว็บไม่ได้ใช้เพียงพอร์ต 80 เท่านั้น การรับส่งข้อมูล HTTP ยังใช้พอร์ต TCP 8080, 8088 และ 8888 เซิร์ฟเวอร์ที่เชื่อมต่อกับพอร์ตเหล่านี้ส่วนใหญ่เป็นกล่องรุ่นเก่าที่ไม่มีการจัดการและไม่มีการป้องกัน ทำให้เกิดความเสี่ยง ความปลอดภัยเพิ่มขึ้นเมื่อเวลาผ่านไป เซิร์ฟเวอร์บนพอร์ตเหล่านี้สามารถเป็นพร็อกซี HTTP ได้ หากผู้ดูแลระบบเครือข่ายไม่ได้ติดตั้ง พร็อกซี HTTP อาจกลายเป็นปัญหาด้านความปลอดภัยในระบบได้

ผู้โจมตีระดับสูงใช้พอร์ต TCP และ UDP 31337 สำหรับแบ็คดอร์ที่มีชื่อเสียง - Back Orifice และโปรแกรมมัลแวร์อื่น ๆ บนพอร์ต TCP เราสามารถพูดถึง: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night และไคลเอนต์ BO ตัวอย่างเช่นบนพอร์ต UDP คือ Deep BO ใน "leetspeak" - ภาษาที่ใช้ตัวอักษรและตัวเลข 31337 คือ "eleet" ซึ่งหมายถึงชนชั้นสูง

รหัสผ่านที่อ่อนแออาจทำให้ SSH และพอร์ต 22 เสี่ยงต่อการถูกโจมตี ตามที่ David Widen วิศวกรระบบของ BoxBoat Technologies กล่าวว่า พอร์ต 22 - พอร์ต Secure Shell อนุญาตให้เข้าถึงเชลล์ระยะไกลบนฮาร์ดแวร์เซิร์ฟเวอร์ที่มีช่องโหว่ เนื่องจากที่นี่ข้อมูลการตรวจสอบสิทธิ์มักจะเป็นชื่อผู้ใช้และรหัสผ่าน รหัสผ่านเริ่มต้น เดาได้ง่าย รหัสผ่านแบบสั้นที่มีความยาวน้อยกว่า 8 ตัวอักษร ใช้วลีที่คุ้นเคยพร้อมชุดตัวเลขที่ง่ายเกินกว่าที่ผู้โจมตีจะเดาได้

แฮกเกอร์ยังคงโจมตี IRC ที่ทำงานบนพอร์ต 6660 ถึง 6669 Widen กล่าวว่า: ที่พอร์ตนี้มีช่องโหว่ IRC มากมาย เช่น Unreal IRCD ที่อนุญาตให้ผู้โจมตีทำการโจมตีระยะไกลได้ แต่สิ่งเหล่านี้มักเป็นการโจมตีปกติซึ่งไม่มีคุณค่ามากนัก

พอร์ตและโปรโตคอลบางพอร์ตช่วยให้ผู้โจมตีเข้าถึงได้มากขึ้น ตัวอย่างเช่น พอร์ต UDP 161 กำลังดึงดูดผู้โจมตีเนื่องจากโปรโตคอล SNMP ซึ่งมีประโยชน์สำหรับการจัดการคอมพิวเตอร์ในเครือข่าย สำรวจข้อมูล และส่งข้อมูลการรับส่งข้อมูลผ่านพอร์ตนี้ Muhl อธิบายว่า: SNMP ช่วยให้ผู้ใช้สามารถสืบค้นเซิร์ฟเวอร์เพื่อรับชื่อผู้ใช้ ไฟล์ที่แชร์บนเครือข่าย และข้อมูลเพิ่มเติม SNMP มักมาพร้อมกับสตริงเริ่มต้นที่ทำหน้าที่เป็นรหัสผ่าน

ปกป้องพอร์ต บริการ และช่องโหว่

จากข้อมูลของ Widen ธุรกิจสามารถปกป้องโปรโตคอล SSH ได้โดยใช้การรับรองความถูกต้องของรหัสสาธารณะ ปิดการใช้งานการเข้าสู่ระบบในฐานะรูท และย้าย SSH ไปยังหมายเลขพอร์ตที่สูงกว่า เพื่อให้ผู้โจมตีไม่สามารถค้นหามันได้ หากผู้ใช้เชื่อมต่อกับ SSH บนหมายเลขพอร์ตสูงถึง 25,000 ผู้โจมตีจะระบุพื้นผิวการโจมตีของบริการ SSH ได้ยาก

หากธุรกิจของคุณใช้ IRC ให้เปิดไฟร์วอลล์เพื่อปกป้อง อย่าให้การรับส่งข้อมูลจากภายนอกเครือข่ายเข้าใกล้บริการ IRC Widen กล่าวเสริม อนุญาตให้ผู้ใช้ VPN เข้าสู่เครือข่ายเพื่อใช้ IRC เท่านั้น

หมายเลขพอร์ตที่ซ้ำกันและโดยเฉพาะลำดับของตัวเลขแทบจะไม่แสดงถึงการใช้พอร์ตอย่างเหมาะสม เมื่อคุณเห็นพอร์ตเหล่านี้ถูกใช้ ตรวจสอบให้แน่ใจว่าพอร์ตเหล่านั้นได้รับการรับรองความถูกต้องแล้ว Norby กล่าว ตรวจสอบและกรอง DNS เพื่อหลีกเลี่ยงการรั่วไหลและหยุดใช้ Telnet และปิดพอร์ต 23

การรักษาความปลอดภัยบนพอร์ตเครือข่ายทั้งหมดจะต้องมีการป้องกันในเชิงลึก Norby กล่าวว่า: ปิดพอร์ตทั้งหมดที่คุณไม่ได้ใช้ ใช้ไฟร์วอลล์แบบโฮสต์บนเซิร์ฟเวอร์ทั้งหมด เรียกใช้ไฟร์วอลล์บนเครือข่ายล่าสุด ตรวจสอบและกรองการรับส่งข้อมูลพอร์ต ทำการสแกนพอร์ตเครือข่ายเป็นประจำเพื่อให้แน่ใจว่าไม่มีช่องโหว่บนพอร์ต ให้ความสนใจเป็นพิเศษกับพร็อกซี SOCKS หรือบริการอื่นใดที่คุณยังไม่ได้ตั้งค่า แพตช์ ซ่อมแซม และเสริมความแข็งแกร่งให้กับอุปกรณ์ ซอฟต์แวร์ หรือบริการใดๆ ที่เชื่อมต่อกับพอร์ตเครือข่าย จนกว่าจะไม่มีช่องโหว่เหลืออยู่ในเครือข่ายของคุณ ดำเนินการเชิงรุกเมื่อช่องโหว่ใหม่ปรากฏในซอฟต์แวร์ (ทั้งเก่าและใหม่) ที่ผู้โจมตีสามารถเข้าถึงได้ผ่านพอร์ตเครือข่าย

ใช้การอัปเดตล่าสุดสำหรับบริการใดๆ ที่คุณสนับสนุน กำหนดค่าอย่างเหมาะสม และใช้รหัสผ่านที่รัดกุมและรายการควบคุมการเข้าถึงที่จะช่วยคุณจำกัดผู้ที่มีสิทธิ์เข้าถึง MuHl กล่าว สามารถเชื่อมต่อกับพอร์ตและบริการได้ นอกจากนี้เขายังเสริมว่า: ควรตรวจสอบท่าเรือและบริการอย่างสม่ำเสมอ เมื่อคุณใช้บริการต่างๆ เช่น HTTP และ HTTPS คุณจะมีพื้นที่สำหรับการปรับแต่งมากมาย ซึ่งอาจนำไปสู่การกำหนดค่าที่ไม่ถูกต้องและช่องโหว่ด้านความปลอดภัยได้อย่างง่ายดาย

ท่าเรือที่ปลอดภัยสำหรับพอร์ตความเสี่ยง

ผู้เชี่ยวชาญได้จัดทำรายการพอร์ตที่มีความเสี่ยงสูงที่แตกต่างกันออกไปตามเกณฑ์ที่แตกต่างกัน เช่น ประเภทหรือความรุนแรงของภัยคุกคามที่เกี่ยวข้องกับแต่ละพอร์ตหรือระดับช่องโหว่ของบริการ บริการบนพอร์ตบางพอร์ต แต่จนถึงขณะนี้ก็ยังไม่มีรายการที่สมบูรณ์ สำหรับการวิจัยเพิ่มเติม คุณสามารถเริ่มต้นด้วยรายการบน SANS.org, SpeedGuide.net และ GaryKessler.net

บทความย่อมาจาก "การรักษาความปลอดภัยพอร์ตเครือข่ายที่มีความเสี่ยง" ที่เผยแพร่โดย CSO

• 8 เราเตอร์ Wifi ที่ปลอดภัยที่สุด
• จะทำให้ VPN ของคุณปลอดภัยยิ่งขึ้นได้อย่างไร?
• จะรักษาความปลอดภัยบัญชีของคุณด้วยรหัสความปลอดภัย U2F ได้อย่างไร