網絡端口保衛戰
端口問題,是用戶在端口上所用技術的問題,還是攻擊者所用技術的問題?
通過TCP或UDP協議,數據包在與特定IP地址和終端相關聯的編號網絡端口上穿梭。所有端口都面臨被攻擊的風險,沒有任何端口是天生安全的。
RedTeam Security 首席安全顧問科特·穆爾稱:“每個端口及其底層服務都有各自的風險。風險來自于服務版本、配置方式、口令有無及口令強度。還有很多因素決定著端口或服務的安全性。”這其他因素包括,端口是否被攻擊者選中發起攻擊或投送惡意軟件,以及用戶是否開放了端口。
基于相關應用、漏洞和攻擊對風險網絡端口進行分析,可以得出保護企業免受惡意黑客對開放端口濫用的方法。
是什么讓這些端口面臨風險?
TCP端口65535個,UDP端口65535個,我們只需要注意最危險的那幾個。
首當其沖就是 TCP 21 端口。該端口承載FTP連接控制任務。FTP服務器漏洞滿滿,隨便點點都有一堆,比如匿名身份驗證、目錄瀏覽、跨站腳本,簡直是超級理想的攻擊目標。
有些服務的漏洞好歹還是陸續出現的,TCP 23 端口的Telnet之類遺留服務,卻是從一開始就不安全。帶寬確實很小,一次僅幾個字節,但人家是完全不遮掩的明文傳輸。攻擊者可以監聽Telnet流量,查找其中憑證信息,通過中間人攻擊注入指令,最終執行遠程代碼。
有用于切入的網絡端口,就有用于出站的網絡端口。域名解析服務所用的 TCP/UDP 53 端口,就是個很好的出站策略。一旦網絡內的犯罪黑客拿到了所需的數據,他們需要做的,就是利用將數據轉換成DNS流量的軟件,來將戰利品投遞出門。DNS流量極少被監測,更少被過濾。只要攻擊者將數據安全護送出企業,就可以通過他們的DNS 服務器將數據轉譯成原始格式發送。
端口越常用,就越容易被用來偷渡攻擊數據包。用于HTTP協議的 TCP 80 端口,支持瀏覽器接收的網頁流量。通過80端口對Web客戶端發起的攻擊包括:SQL注入、跨站請求偽造、跨站腳本和緩沖區溢出。
網絡罪犯會在各個端口上設置他們自己的服務。TCP 1080 端口是業界指定的套接字安全“SOCKS”代理,被攻擊者用以支持惡意軟件和行為。計算機木馬和蠕蟲,比如Mydoom和Bugbear,就一直用1080端口進行攻擊。如果網絡管理員沒有設置SOCKS代理,其存在就可能意味著網絡中有惡意活動。
黑客犯懶的時候,往往會用些容易記住的端口號,比如234或6789之類數列,或者一些重復的數字,比如666或888。有些后門和木馬軟件會打開 TCP 4444 端口,行監聽、通信、轉發外部惡意流量和發送惡意載荷之事。使用該端口的一些惡意軟件包括:Prosiak、Swift Remote 和CrackDown。
Web流量不僅僅使用80端口。HTTP流量也使用 TCP 8080 端口。連接這些端口的服務器大多是無人管控的遺留主機,隨時間流逝漏洞越積越多。開放了這些端口的服務器也有可能是HTTP代理,如果網絡管理員沒有安裝過,那就可能代表著系統中有需要關注的安全問題了。
據傳高級攻擊者將TCP和 UDP 31337 端口,用作著名的 Back Orifice 后門和其他一些惡意軟件的通信端口。TCP 31337 端口的例子有:Sockdmini、Back Fire、icmp_pipe.c、Back Orifice Russian、Freak88、Baron Night 和BO客戶端。UDP 31337 上的例子則包含有 Deep BO。在使用字母和數字的黑客文中,31337被拼成“eleet”,意思為“精英(elite)”。
弱口令可致SSH和22端口成為唾手可得的目標。22端口指定為SSH端口,可以訪問物理服務器硬件的遠程shell,當憑證中包含默認或易猜用戶名及口令時,該端口也就不安全了。利用熟悉的短語,少于8字符的短口令,以及純數字序列口令,對攻擊者來說真是太好猜了。
6660到6669端口上跑的IRC,也依然是犯罪黑客的攻擊目標。IRC漏洞很多,比如可讓攻擊者遠程執行程序的 Unreal IRCD。
有些端口和協議可讓攻擊者橫向拓展。比如引無數黑客垂涎的 UDP 161 端口,因為承載著簡單網絡管理(SNMP)協議,能夠讓攻擊者通過該端口管理聯網主機、查詢信息、發送流量。SNMP可以查詢服務器,找出用戶名、網絡共享和其他信息。SNMP通常都用缺省口令。
端口、服務保衛戰
企業可以通過SSH公鑰驗證、root登錄禁用,以及將SSH挪到更高端口號讓攻擊者不那么容易找到,來保護SSH。如果用戶用25000之類高端口號連接SSH,攻擊者就難以定位SSH服務的攻擊界面了。
如果公司運營有IRC,用防火墻圍住它。別讓網絡外面的任何流量接觸到IRC服務。要使用IRC的用戶必須通過VPN連入網絡。
重復數字端口和特別長的數字序列端口,往往不是合法端口。如果看到此類端口,請確保它們是真實的。DNS流量也需要被監視和過濾,以防數據滲漏。Telnet服務和23端口還是關了吧。
所有網絡端口都應該采用深度防御的安全方法。關閉所有不用的端口,在每臺主機上使用基于主機的防火墻,對網絡應用基于網絡的下一代防火墻,監視并過濾端口流量。定期端口掃描應作為滲透測試的一部分,確保這些端口上都沒有未經檢查的漏洞。要特別注意SOCKS代理或其他任何你并未設置的服務。連接到端口的每一個設備、軟件或服務都要保持更新,隨時處于完美防御狀態。保持積極主動,因為新舊軟件中總會出現可供攻擊者通過網絡端口進行利用的漏洞。
采用支持服務的最新版本,對服務進行正確配置,使用強口令;訪問控制列表可助你限制連接端口和服務的人員。經常測試端口和服務。如果環境中有諸如HTTP和HTTPS之類可定制的服務,很容易就會錯誤配置,意外引入漏洞。另外,缺省SNMP用戶名和口令字符串一定要記得改掉。
端口大全
根據端口所關聯威脅的類型和嚴重性,或給定端口服務漏洞的等級之類各種不同的標準,專家們給出了多張具有重大風險的端口列表。沒有哪張列表能列全的。不過,你可以從下面這三張表開始:
SpeedGuide: http://www.speedguide.net/ports_sg.php
GaryKessler.net: http://www.garykessler.net/library/is_tools_scan.html
SANS.org: https://www.sans.org/security-resources/idfaq/which-backdoors-live-on-which-ports/8/4
