Comments 26
Порт 80/TCP (HTTP)
Порт 23/TCP (Telnet)
Кто-нибудь, расскажите дяденьке, что любой сервис можно сконфигурировать слушать совершенно любой порт. У меня вот вебсервер отвечает на порту 8421.
У меня на одной из машине подкручены параметры ядра и порт 80 слушает непривилегированный процесс (не root).
А какая разница, на каком порту слушает уязвимый демон, если сканеры портов детектят сервис вне привязки его к стандартной карте портов? Не порты надо закрывать, а демонов своих держать в тонусе (обновлёнными). Ну и неиспользуемое не открывать "на всякий случай".
Так и я ровно про то же. А то у аффтара так написано, что создаётся впечатление, что "порты — наше всё".
создаётся впечатление, что "порты — наше всё"
Я заметил, что такая тема у людей, которые с сетью знакомы только на уровне документации на сокеты, причём есть небольшая девиация в зависимости от использованной системы (линукс, виндовс, etc) но в общем одинаково. И только те, кто пощупал сеть нормально, хотя-бы акулой (лучше, когда анализируешь сырые датаграммы в буфере сетевой платы, но если уже есть удобный инструмент то почему бы и его не использовать?) или углублялся в пакетный фильтр/маршрутизацию понимает как именно оно всё работает. Такова особенность составления документации англосаксов: побольше сущностей и уровней в простую модель. И люди изучают только до нужного им уровня модели OSI а потом недоумевают, что не так?
Открытые порты представляют собой «незапертые двери» к потенциально уязвимым сервисам любой сети.
Нам немного иначе преподавали.
Порт это склад, а не дверь. В него приносят пакеты, а служба их забирает.
Если порт закрыт, то служба которая его использует нормально работать не сможет. Закрыть порт - сломать службу. Она не станет безопаснее, просто не будет работать.
Уязвимыми являются службы, а не порты. В любой службе (MS Win.) внезапно может обнаружиться уязвимость. Закрывать надо уязвимости, а не порты. Если открытый порт представляет опасность, значит службе которая его использует требуется заплатка.
Открытые порты - это нормально. "Неожиданно" открытые порты - вот это возможно признак проблемы. Или необычная активность на портах.
Порт это склад, а не дверь. В него приносят пакеты, а служба их забирает.
Я Вам больше скажу: если служба по какой-то причине их долго со склада не забирает, работники склада их вообще выбросить могут (или отказаться принимать новые), ибо место не резиновое.
Вот, правильная аналогия. Я вспоминаю TCP/IP времён DOS: там даже TSR сетевой карты назывался REDIRECTOR ("перенаправлятель"), а "открытие порта" суть аренда одного стеллажа этого почтового склада с определённым номером, размер которого, как уже сказали выше, не резиновый. Сродни обычного почтового абонентского ящика до востребования.
Лучше бы советовали Spacedesk server удалять и его порт закрывать. Порой диву даёшься, сколько обывателей с забытой включённой службой spacedesk сидят в публичных сетях кафе, университетов и светят буквально RDP без какого-либо пароля)
Предположим, у вас настроен мониторинг портов или вы используете сторонние сервисы для непрерывного мониторинга вашей инфраструктуры
Лучше б подробнее рассказали как это настроить или использовать.
Проанализируйте службы, работающие на порту. Это можно легко сделать с помощью такой команды:
sudo netstat -tulpn
netstat из пакета net-tools давно заменили на ss из iproute2(используется по умолчанию)
https://packages.debian.org/bookworm/iproute2
"Эти утилиты взаимодействуют с ядром по интерфейсу (rt)netlink, благодаря чему они предоставляют больше возможностей, чем утилиты ifconfig и route пакета net-tools."
NetToolsDeprecation
Page to gather information about the intended deprecation of net-tools.
https://wiki.debian.org/NetToolsDeprecation
Nice page with iproute equivalences for every net-tools use:
http://dougvitale.wordpress.com/2011/12/21/deprecated-linux-networking-commands-and-their-replacements/
Судя по ссылке, оно уже в 2011 году считалось deprecated.... ) Видимо в Linux период дожития deprecated функций оооочень велик
Пакет сохранили во всех дистрибах. Просто net-tools не устанавливается по умолчанию.
https://pkgs.org/search/?q=net-tools
В windows то же, люди до сих пор используют ipconfig для посмотреть, вместо Get-Net...
Скорее всего заголовок статьи должен быть: "Самые опасные сетевые порты по-умолчанию: как узнать и закрыть все лазейки"
Shodan — это поисковая система, которая индексирует устройства, подключенные к
интернету
Это вымышленный искусственный интеллект и главный антагонист компьютерных игр System Shock и System Shock 2
Как порт может быть опасным? это просто интерфейс взаимодействия, опасность исходит из уязвимости служб, которые получают данные из этого порта, но порт у них может быть абсолютно разным.
Фраза аналогична: самый опасный провод - коричневый.
445 порт можно закрыть на исходящие соединения на роутере. Самая крутая уязвимость была с smb+ntml, которая позваляла украсть креды, достаточно было заставить перейти по ссылке на smb-ресурс, ничего вводить или подтверждать не требовалось, авторизация срабатывала автоматически.
Ещё было несколько уявзимостей связанных с протоколом DNS, использование своего DNS-сервера внутри сети, и закрытие для всех остальных устройств доступа в интернет на 53 порт тоже закрывает несколько векторов атак, или делает их сложнее.
Возможность выхода в интернет на 22 порт - возможность для злоумышленника построить обратный туннель.
Вообще практика на выход в интернет открывать только определенные порты встречается редко, потому как создает определенные неудобства, но закрывает большой вектор атак на периметре сети.
TL;DR: список опасных портов: 1-65535
От ведущего инженера по информационной безопасности в Selectel ожидаешь большего. Нет, я понимаю, что может вы действительно крутой спец, только статья явно не уровня хабра.
Самые опасные сетевые порты: как найти и закрыть все лазейки