Wie schützt man Netzwerkports mit hohem Risiko?

Wie schützt man Netzwerkports mit hohem Risiko?

Datenpakete, die an und von nummerierten Netzwerkports übertragen werden , werden mithilfe von TCP- oder UDP-Protokollen bestimmten IP-Adressen und Endpunkten zugeordnet. Alle Ports sind gefährdet, angegriffen zu werden, kein Port ist absolut sicher.

Herr Kurt Muhl, der führende Sicherheitsberater von RedTeam, erklärte: „Jeder zugrunde liegende Port und Dienst birgt ein Risiko. Das Risiko geht von der Version des Dienstes aus, selbst wenn dieser richtig konfiguriert ist. Ist das Passwort richtig oder für den Dienst festgelegt, ist das Passwort stark.“ Genügend? Zu den weiteren Faktoren gehören: Wird der Port von Hackern für den Angriff ausgewählt, lassen Sie Malware durch den Port? Kurz gesagt: Es gibt viele Faktoren, die die Sicherheit eines Ports oder Dienstes bestimmen.“

CSO untersucht das Risiko von Netzwerk-Gateways basierend auf Anwendungen, Schwachstellen und damit verbundenen Angriffen und bietet mehrere Ansätze zum Schutz von Unternehmen vor böswilligen Hackern, die diese Schwachstellen ausnutzen.

Was macht Netzwerk-Gateways gefährlich?

Es gibt insgesamt 65.535 TCP-Ports und weitere 65.535 UDP-Ports. Wir werden uns einige der gefährlichsten Ports ansehen. TCP-Port 21 verbindet FTP-Server mit dem Internet. Diese FTP-Server weisen viele große Schwachstellen auf, wie z. B. anonyme Authentifizierung, Verzeichnisdurchquerung und Cross-Site-Scripting, was Port 21 zu einem idealen Ziel für Hacker macht.

Während einige anfällige Dienste das Dienstprogramm weiterhin nutzen, waren ältere Dienste wie Telnet auf TCP-Port 23 von Anfang an von Natur aus unsicher. Obwohl die Bandbreite sehr gering ist (jeweils nur wenige Bytes), sendet Telnet Daten vollständig öffentlich im Klartext. Austin Norby, Informatiker beim US-Verteidigungsministerium, sagte: „Angreifer können zuhören, Zertifikate einsehen, Befehle durch [Man-in-the-Middle]-Angriffe einschleusen und schließlich Remote Code Executions (RCE) durchführen.“ (Dies ist seine eigene Meinung und gibt nicht die Ansichten einer Agentur wieder).

Während einige Netzwerk-Ports Angreifern leicht zugängliche Löcher bieten, bieten andere perfekte Fluchtwege. Ein Beispiel ist der TCP/UDP-Port 53 für DNS. Sobald sie das Netzwerk infiltriert und ihr Ziel erreicht haben, muss der Hacker nur noch vorhandene Software verwenden, um die Daten in DNS-Verkehr umzuwandeln, um an die Daten zu gelangen. „DNS wird selten überwacht und selten gefiltert“, sagte Norby. Wenn Angreifer Daten aus einem sicheren Unternehmen stehlen, senden sie die Daten einfach über einen speziell entwickelten DNS-Server, der die Daten in ihren ursprünglichen Zustand zurückübersetzt.

Je mehr Ports verwendet werden, desto einfacher ist es, Angriffe in alle anderen Pakete einzuschleusen. TCP-Port 80 für HTTP unterstützt den vom Browser empfangenen Webverkehr. Laut Norby umfassen Angriffe auf Web-Clients über Port 80 SQL-Injection-Hacks, Cross-Site-Request-Forgery, Cross-Site-Scripting und Pufferüberlauf.

Wie schützt man Netzwerkports mit hohem Risiko?

Angreifer richten ihre Dienste auf separaten Ports ein. Sie verwenden den TCP-Port 1080 – der für den Socket zum Schutz von „SOCKS“-Proxys zur Unterstützung von Malware und Vorgängen verwendet wird. Trojanische Pferde und Würmer wie Mydoom und Bugbear haben Port 1080 für Angriffe genutzt. Wenn ein Netzwerkadministrator keinen SOCKS-Proxy einrichtet, sei seine Existenz eine Bedrohung, sagte Norby.

Wenn Hacker in Schwierigkeiten geraten, verwenden sie leicht zu merkende Portnummern, beispielsweise die Zahlenreihe 234, 6789 oder die gleiche Nummer wie 666 oder 8888. Einige Backdoor- und Trojaner-Softwareprogramme öffnen sich und nutzen den TCP-Port 4444 zum Abhören , kommunizieren, bösartigen Datenverkehr von außen weiterleiten und bösartige Payloads senden. Zu den weiteren Schadprogrammen, die diesen Port ebenfalls nutzen, gehören Prosiak, Swift Remote und CrackDown.

Der Webverkehr nutzt nicht nur Port 80. HTTP-Verkehr nutzt auch die TCP-Ports 8080, 8088 und 8888. Server, die eine Verbindung zu diesen Ports herstellen, sind meist ältere Boxen, die nicht verwaltet und ungeschützt sind, was sie angreifbar macht. Die Sicherheit nimmt mit der Zeit zu. Server an diesen Ports können auch HTTP-Proxys sein. Wenn Netzwerkadministratoren sie nicht installieren, können HTTP-Proxys zu einem Sicherheitsrisiko im System werden.

Elite-Angreifer nutzten die TCP- und UDP-Ports 31337 für die berühmte Hintertür Back Orifice und andere Malware-Programme. Auf dem TCP-Port können wir erwähnen: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night und BO-Client, auf dem UDP-Port ist beispielsweise Deep BO. In „Leetspeak“ – einer Sprache, die Buchstaben und Zahlen verwendet – ist 31337 „eleet“, was „Elite“ bedeutet.

Schwache Passwörter können SSH und Port 22 anfällig für Angriffe machen. Laut David Widen – Systemingenieur bei BoxBoat Technologies: Port 22 – Secure Shell-Port ermöglicht den Zugriff auf Remote-Shells auf anfälliger Serverhardware, da hier die Authentifizierungsinformationen normalerweise der Benutzername und das Passwort sind. Standardpasswort, leicht zu erraten. Kurze Passwörter mit weniger als 8 Zeichen verwenden bekannte Phrasen mit einer Zahlenfolge, die für Angreifer zu leicht zu erraten ist.

Hacker greifen immer noch IRC an, das auf den Ports 6660 bis 6669 läuft. Widen sagte: An diesem Port gibt es viele IRC-Schwachstellen, wie z. B. Unreal IRCD, die es Angreifern ermöglichen, Remote-Angriffe durchzuführen, aber das sind normalerweise normale Angriffe, die keinen großen Wert haben.

Einige Ports und Protokolle ermöglichen Angreifern eine größere Reichweite. Beispielsweise lockt der UDP-Port 161 Angreifer wegen des SNMP-Protokolls an, das für die Verwaltung vernetzter Computer, das Abfragen von Informationen und das Senden von Datenverkehr über diesen Port nützlich ist. Muhl erklärt: Mit SNMP können Benutzer den Server abfragen, um Benutzernamen, im Netzwerk freigegebene Dateien und weitere Informationen zu erhalten. SNMP wird oft mit Standardzeichenfolgen geliefert, die als Passwörter fungieren.

Schützen Sie Ports, Dienste und Schwachstellen

Laut Widen können Unternehmen das SSH-Protokoll schützen, indem sie die Authentifizierung mit öffentlichen Schlüsseln verwenden, die Anmeldung als Root deaktivieren und SSH auf eine höhere Portnummer verschieben, damit Angreifer es nicht finden können. Wenn sich ein Benutzer über eine Portnummer von bis zu 25.000 mit SSH verbindet, wird es für einen Angreifer schwierig, die Angriffsfläche des SSH-Dienstes zu bestimmen.

Wenn Ihr Unternehmen IRC betreibt, schalten Sie zum Schutz eine Firewall ein. Erlauben Sie keinem Datenverkehr von außerhalb des Netzwerks, in die Nähe des IRC-Dienstes zu gelangen, fügte Widen hinzu. Erlauben Sie nur VPN-Benutzern den Zugriff auf das Netzwerk, um IRC zu verwenden.

Sich wiederholende Portnummern und insbesondere Zahlenfolgen stellen selten eine ordnungsgemäße Nutzung von Ports dar. Wenn Sie feststellen, dass diese Ports verwendet werden, stellen Sie sicher, dass sie authentifiziert sind, sagt Norby. Überwachen und filtern Sie DNS, um Lecks zu vermeiden, verwenden Sie Telnet nicht mehr und schließen Sie Port 23.

Die Sicherheit aller Netzwerk-Ports muss eine umfassende Verteidigung umfassen. Norby sagt: Schließen Sie alle Ports, die Sie nicht verwenden, verwenden Sie hostbasierte Firewalls auf allen Servern, führen Sie die neueste netzwerkbasierte Firewall aus, überwachen und filtern Sie den Portverkehr. Führen Sie regelmäßige Netzwerk-Port-Scans durch, um sicherzustellen, dass keine Schwachstellen am Port übersehen werden. Achten Sie besonders auf SOCKS-Proxys oder andere Dienste, die Sie noch nicht eingerichtet haben. Patchen, reparieren und stärken Sie jedes Gerät, jede Software oder jeden Dienst, der mit dem Netzwerkport verbunden ist, bis in Ihrem Netzwerk keine Schwachstellen mehr vorhanden sind. Seien Sie proaktiv, wenn neue Schwachstellen in der Software (sowohl alte als auch neue) auftreten, auf die Angreifer über Netzwerkports zugreifen können.

Nutzen Sie die neuesten Updates für jeden Dienst, den Sie unterstützen, konfigurieren Sie ihn richtig und verwenden Sie sichere Passwörter und Zugriffskontrolllisten, die Ihnen dabei helfen, den Zugriff einzuschränken, sagt MuHl. kann eine Verbindung zu Ports und Diensten herstellen. Er fügte außerdem hinzu: Häfen und Dienste sollten regelmäßig überprüft werden. Wenn Sie Dienste wie HTTP und HTTPS verwenden, gibt es viel Raum für Anpassungen, was leicht zu Fehlkonfigurationen und Sicherheitslücken führen kann.

Sicherer Hafen für Risikohäfen

Experten haben unterschiedliche Listen mit Hochrisiko-Ports erstellt, die auf unterschiedlichen Kriterien basieren, wie z. B. der Art oder Schwere der mit jedem Port verbundenen Bedrohungen oder dem Grad der Anfälligkeit der Dienste. Dienst auf bestimmten Ports. Eine vollständige Liste gibt es bislang jedoch noch nicht. Für weitere Recherchen können Sie mit den Listen auf SANS.org, SpeedGuide.net und GaryKessler.net beginnen.

Artikel gekürzt aus „Securing risky network ports“, veröffentlicht von CSO.


Wie funktioniert Foxiebro-Malware? Wie entferne ich es?

Wie funktioniert Foxiebro-Malware? Wie entferne ich es?

Adware BrowserModifier ist eines der bösartigsten Programme mit der Fähigkeit, Sie zu täuschen, die Ihnen im täglichen Gebrauch begegnen werden. Und Foxiebro ist unter diesen die Nummer 1.

So dekomprimieren Sie IMG-Dateien in Windows und macOS

So dekomprimieren Sie IMG-Dateien in Windows und macOS

Jeder, der schon einmal eine Disc gebrannt hat, ist wahrscheinlich mit den meisten Disk-Image-Dateiformaten vertraut. IMG ist eines davon und wird häufig zum Komprimieren von Programmen wie Betriebssystemen, Software oder Videospielen verwendet.

4 Sicherheitswarnungen, die Sie nicht ignorieren sollten

4 Sicherheitswarnungen, die Sie nicht ignorieren sollten

Wenn Sie Aktivitäten im Internet durchführen und plötzlich eine Warnung Ihres Webbrowsers oder Betriebssystems erscheint, sollten Sie darauf achten und schnell die richtigen Maßnahmen ergreifen.

Anweisungen zum Entfernen von MyStartSearch in allen Browsern

Anweisungen zum Entfernen von MyStartSearch in allen Browsern

Technisch gesehen ist MyStartSearch kein Virus, sondern lediglich ein potenziell unerwünschtes Programm (PUP), das auf Ihrem Computer installiert werden kann. Wenn die MyStartSearch-Adware das System angreift, werden jedes Mal, wenn Sie auf das Internet zugreifen und im Internet surfen, Popup-Fenster und Werbebanner auf dem Bildschirm angezeigt.

Was sind Bots?

Was sind Bots?

Internet-Bots, oder Bots, wie sie allgemein genannt werden, sind kleine Anwendungen, die automatisierte Aufgaben über das Internet ausführen. Diese Aufgaben sind oft einfach und wiederholen sich.

Sammlung äußerst schöner Löwe- und Seelöwen-Hintergrundbilder für Computer

Sammlung äußerst schöner Löwe- und Seelöwen-Hintergrundbilder für Computer

Fortsetzung einer Artikelreihe zu diesem Thema. Im folgenden Artikel bewundern wir die wunderschönen Hintergrundbilder für Löwe und Seelöwe.

So verschieben Sie Benutzerordner unter Windows 10

So verschieben Sie Benutzerordner unter Windows 10

Sie sollten sich informieren, wie Sie Benutzerordner in Windows 10 auf ein anderes Laufwerk verschieben, da bestimmte Methoden viele unerwünschte Auswirkungen haben und das System ernsthaft beeinträchtigen können.

Geben Sie mit der Datenträgerbereinigung unter Windows 10 automatisch Festplattenspeicher frei

Geben Sie mit der Datenträgerbereinigung unter Windows 10 automatisch Festplattenspeicher frei

Die Datenträgerbereinigung ist eines der „Wartungs“-Tools, die seit langem in Windows integriert sind. Mit diesem Tool können Benutzer mehr Speicherplatz auf dem Computer freigeben, indem sie temporäre Dateien und Systemdateien „bereinigen“, die fast nicht mehr benötigt werden, aber ziemlich viel Speicherplatz beanspruchen, wie z. B. Informationen zur Installation und Aktualisierung früherer Windows-Versionen .

Wie aktiviere ich die vollständige Festplattenverschlüsselung unter Windows 10?

Wie aktiviere ich die vollständige Festplattenverschlüsselung unter Windows 10?

Auf dem Betriebssystem Windows 10 verwenden einige standardmäßig die Verschlüsselung, andere jedoch nicht. Im folgenden Artikel zeigt Ihnen LuckyTemplates, wie Sie überprüfen können, ob der Speicher auf Ihrem Windows 10-Computer verschlüsselt ist oder nicht.

6 Dinge, die Sie mit der Wetter-App unter Windows 10 tun können

6 Dinge, die Sie mit der Wetter-App unter Windows 10 tun können

Die Wetter-App unter Windows 10 ist in das Betriebssystem integriert und bietet detaillierte wetterbezogene Informationen, egal wo Sie sich befinden. Die einfache Benutzeroberfläche der App bietet vergangene, aktuelle und zukünftige Wetter- und Vorhersagedaten sowie internationale Wetternachrichten.