如何保護高風險網路連接埠？

使用 TCP 或 UDP 協議，傳入和傳出編號網路連接埠的封包與特定 IP 位址和端點相關聯。所有的連接埠都存在被攻擊的風險，沒有一個連接埠是絕對安全的。

RedTeam 首席安全顧問 Kurt Muhl 先生解釋道：「每個底層連接埠和服務都存在風險。風險來自服務的版本，即使配置正確。正確或為服務設定密碼，密碼是否強「夠了嗎？其他因素包括，駭客是否選擇攻擊端口，是否讓惡意軟體通過該端口。總之，決定端口或服務安全性的因素有很多。”

CSO 根據應用程式、漏洞和相關攻擊檢查網路閘道的風險，提供多種方法來保護企業免受濫用這些漏洞的惡意駭客的侵害。

全面的網路監控工具集
IT 人員需要了解的 10 個基本網路故障排除工具

是什麼讓網路網關變得危險？

總共有 65,535 個 TCP 端口和另外 65,535 個 UDP 端口，我們將看看一些最危險的端口。 TCP 連接埠 21 將 FTP 伺服器連接到 Internet。這些FTP伺服器存在許多重大漏洞，例如匿名驗證、目錄遍歷、跨站點腳本編寫，使得21連接埠成為駭客的理想目標。

雖然一些易受攻擊的服務繼續使用該實用程序，但 TCP 連接埠 23 上的 Telnet 等傳統服務本質上是不安全的。儘管其頻寬很小，一次只有幾個字節，但 Telnet 完全以明文方式公開發送資料。美國國防部電腦科學家 Austin Norby 表示：「攻擊者可以監聽、查看憑證、透過[中間人]攻擊注入指令，最後執行遠端程式碼執行 (RCE)。（這是他自己的觀點，不代表任何機構的觀點）。

雖然一些網路連接埠為攻擊者創造了容易進入的漏洞，但其他網路連接埠卻創造了完美的逃生路線。 DNS 的 TCP/UDP 連接埠 53 就是一個範例。一旦滲透網路並達到目的，駭客只需使用現有軟體將資料轉換為 DNS 流量即可取得資料。「DNS 很少受到監控，也很少被過濾，」諾比說。當攻擊者從安全企業竊取資料時，他們只需透過專門設計的 DNS 伺服器發送數據，該伺服器將資料轉換回其原始狀態。

使用的連接埠越多，就越容易攻擊所有其他資料包。 HTTP 的 TCP 連接埠 80 支援瀏覽器接收的 Web 流量。據 Norby 稱，透過連接埠 80 對 Web 用戶端的攻擊包括 SQL 注入攻擊、跨站點請求偽造、跨站點腳本和緩衝區溢位。

如何保護高風險網路連接埠？

攻擊者將在不同的連接埠上設定他們的服務。他們使用 TCP 連接埠 1080 - 用於保護“SOCKS”代理的套接字，以支援惡意軟體和操作。 Mydoom、Bugbear 等特洛伊木馬和蠕蟲均使用 1080 端口進行攻擊。 Norby 說，如果網路管理員不設定 SOCKS 代理，它的存在就是一種威脅。

當駭客陷入困境時，他們會使用容易記住的端口號，例如234、6789等一系列數字，或者與666或8888相同的數字。一些後門和木馬軟體打開並使用TCP端口4444進行監聽、通信、轉送來自外部的惡意流量以及發送惡意負載。其他一些也使用此連接埠的惡意軟體包括 Prosiak、Swift Remote 和 CrackDown。

Web 流量不僅僅使用連接埠80。HTTP 流量也使用TCP 連接埠8080、8088 和8888。連接到這些連接埠的伺服器大多是不受管理和不受保護的舊機器，使它們容易受到攻擊。安全性隨著時間的推移而增強。這些連接埠上的伺服器也可以是 HTTP 代理，如果網路管理員不安裝它們，HTTP 代理可能會成為系統中的安全問題。

精英攻擊者使用 TCP 和 UDP 連接埠 31337 來創建著名的後門 - Back Orifice 和其他惡意程式。在 TCP 連接埠上我們可以提到：Sockdmini、Back Fire、icmp_pipe.c、Back Orifice Russian、Freak88、Baron Night 和 BO 用戶端，例如在 UDP 連接埠上是 Deep BO。在“leetspeak”（使用字母和數字的語言）中，31337 是“eleet”，意思是“精英”。

弱密碼可能會使 SSH 和連接埠 22 容易受到攻擊。 BoxBoat Technologies 系統工程師 David Widen 表示：Port 22 - Secure Shell 連接埠允許存取易受攻擊的伺服器硬體上的遠端 shell，因為這裡的身份驗證資訊通常是使用者名稱和密碼。預設密碼，很容易猜到。短密碼（少於 8 個字元）使用熟悉的短語和一串數字，攻擊者很容易猜到。

駭客仍在攻擊運行在6660到6669連接埠上的IRC。 Widen說：在這個連接埠上存在許多IRC漏洞，例如Unreal IRCD，它允許攻擊者進行遠端攻擊，但這些通常是正常的攻擊，沒有太大價值。

某些連接埠和協定使攻擊者的攻擊範圍更大。例如，UDP 連接埠 161 由於 SNMP 協定而吸引了攻擊者，該協定對於管理連網電腦、輪詢資訊以及透過此連接埠發送流量非常有用。 Muhl 解釋：SNMP 允許使用者查詢伺服器以取得使用者名稱、網路上共享的檔案以及更多資訊。 SNMP 通常帶有充當密碼的預設字串。

保護連接埠、服務和漏洞

Widen 表示，企業可以透過使用公鑰驗證、停用 root 登入以及將 SSH 移至更高的連接埠號碼來保護 SSH 協議，這樣攻擊者就無法找到它。如果使用者透過高達25000的連接埠號碼連接SSH，攻擊者將很難確定SSH服務的攻擊面。

如果您的企業運行 IRC，請打開防火牆來保護它。 Widen 補充說，不要允許任何來自網路外部的流量接近 IRC 服務。僅允許 VPN 用戶上網使用 IRC。

重複的連接埠號，尤其是數字序列很少代表連接埠的正確使用。諾比說，當您看到這些連接埠正在使用時，請確保它們經過身份驗證。監控並過濾DNS以避免洩露，並停止使用Telnet並關閉連接埠23。

所有網路連接埠的安全性必須包括深度防禦。 Norby 說：關閉所有不使用的端口，在所有伺服器上使用基於主機的防火牆，運行最新的基於網路的防火牆，監控和過濾端口流量。定期進行網路連接埠掃描，確保連接埠上沒有遺漏漏洞。請特別注意 SOCKS 代理程式或您尚未設定的任何其他服務。修補、修復並加強連接到網路連接埠的任何裝置、軟體或服務，直到網路中不再存在任何漏洞。當攻擊者可以透過網路連接埠存取的軟體（新舊軟體）中出現新漏洞時，請保持主動。

MuHl 表示，使用您支援的任何服務的最新更新，正確配置它，並使用強密碼和存取控制列表，這將幫助您限制誰有權訪問，可以連接到連接埠和服務。他還補充說：應該定期檢查端口和服務。當您使用 HTTP 和 HTTPS 等服務時，有很大的客製化空間，這很容易導致錯誤配置和安全漏洞。

風險港口的安全港

專家根據不同的標準（例如與每個連接埠相關的威脅的類型或嚴重性或某些連接埠上的服務的脆弱性等級）提出了不同的高風險連接埠清單。但截至目前，還沒有完整的名單。如需進一步研究，您可以從 SANS.org、SpeedGuide.net 和 GaryKessler.net 上的清單開始。

文章摘自 CSO 發表的《保護有風險的網路埠》。