port 53 domain что это

Настройка брандмауэра для доменов и трастов Active Directory

В этой статье описывается настройка брандмауэра для доменов и трастов Active Directory.

Применяется к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Исходный номер КБ: 179442

Не все порты, перечисленные в таблицах, требуются во всех сценариях. Например, если брандмауэр разделяет членов и DCs, вам не нужно открывать порты FRS или DFSR. Кроме того, если вы знаете, что клиенты не используют LDAP с SSL/TLS, вам не нужно открывать порты 636 и 3269.

Дополнительная информация

Два контроллера домена находятся в одном лесу или два контроллера домена находятся в отдельном лесу. Кроме того, доверия в лесу Windows server 2003 или более поздние версии.

Порты NetBIOS, указанные в Windows NT, также необходимы для Windows 2000 и Windows Server 2003, когда настраиваются доверия к доменам, которые поддерживают только связь на основе NetBIOS. Примерами являются Windows NT операционные системы или сторонние контроллеры домена, основанные на Samba.

Дополнительные сведения о том, как определить порты серверов RPC, используемые службами RPC LSA, см. в.

Windows Сервер 2008 и более поздние версии

Windows Более новые версии сервера 2008 Windows Server увеличили динамический диапазон клиентских портов для исходяющих подключений. Новый порт запуска по умолчанию — 49152, а конечный порт по умолчанию — 65535. Поэтому необходимо увеличить диапазон порта RPC в брандмауэрах. Это изменение было сделано в соответствии с рекомендациями управления номерами, заданными в Интернете (IANA). Это отличается от домена смешанного режима, состоящего из контроллеров домена Windows Server 2003, контроллеров доменов на основе сервера Windows 2000 или устаревших клиентов, где динамический диапазон портов по умолчанию составляет от 1025 до 5000.

Дополнительные сведения о динамическом изменении диапазона портов в Windows Server 2012 и Windows Server 2012 R2 см.:

Порты NetBIOS, указанные в Windows NT, также необходимы для Windows 2000 и Server 2003, когда настраиваются доверия к доменам, которые поддерживают только связь на основе NetBIOS. Примерами являются Windows NT операционные системы или сторонние контроллеры домена, основанные на Samba.

(*) Сведения о том, как определить порты серверов RPC, используемые службами RPC LSA, см. в.

(**) Для работы доверия этот порт не требуется, он используется только для создания доверия.

Внешнее доверие 123/UDP необходимо только в том случае, если вы вручную Windows службу времени для синхронизации с сервером во внешнем доверии.

Active Directory

Клиент Microsoft LDAP использует icMP-инг, когда запрос LDAP ожидается в течение продолжительного времени и ожидает ответа. Он отправляет запросы на ping, чтобы убедиться, что сервер по-прежнему находится в сети. Если он не получает ответы на запросы ping, он сбой запроса LDAP с LDAP_TIMEOUT.

Кроме того Windows перенаправление использует сообщения ICMP Ping для проверки того, что IP-адрес сервера разрешен службой DNS перед подключением и когда сервер расположен с помощью DFS. Чтобы свести к минимуму трафик ICMP, можно использовать следующее правило брандмауэра:

В отличие от уровня протокола TCP и уровня протокола UDP, у ICMP нет номера порта. Это связано с тем, что ICMP непосредственно находится на уровне IP.

По умолчанию серверы Windows Server 2003 и Windows 2000 Сервер DNS используют эфемерные клиентские порты при запросе других DNS-серверов. Однако это поведение может быть изменено определенным параметром реестра. Или можно установить доверие через обязательный туннель с точкой на точку (PPTP). Это ограничивает количество портов, которые должен открыть брандмауэр. Для PPTP необходимо включить следующие порты.

Кроме того, необходимо включить ПРОТОКОЛ IP 47 (GRE).

При добавлении разрешений к ресурсу в доверяемом домене для пользователей доверенного домена существуют некоторые различия между поведением Windows 2000 и Windows NT 4.0. Если компьютер не может отображать список пользователей удаленного домена, рассмотрите следующее поведение:

Справка

Обзор службы и требования к сетевому порту для Windows — это ценный ресурс с описанием необходимых сетевых портов, протоколов и служб, используемых клиентской и серверной операционными системами Майкрософт, серверными программами и их субкомпонентами в системе Microsoft Windows Server. Администраторы и специалисты по поддержке могут использовать статью в качестве дорожной карты для определения портов и протоколов операционных систем и программ Майкрософт для подключения к сети в сегментной сети.

Не следует использовать сведения о порте в обзоре службы и требования к сетевому порту для Windows для настройки Windows брандмауэра. Сведения о настройке брандмауэра Windows см. в Windows брандмауэра с расширенным обеспечением безопасности.

Источник

🐹 MikroTik: Закрываем порты 53, 2000, стандартные или любые порты.

Опубликовано 2019-08-19 · Обновлено 2021-09-21

Содержание:

Хочешь уметь больше? Научиться тонкостям настройки MikroTik можно из русскоязычного онлайн-курса по MikroTik от автора курсов Дмитрия Скромнова. Здесь можно изучить MikroTik и RouterOS самостоятельно по курсу «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA, но содержит больше информации. Это 162 видеоурока и большая практическая задача, разбитая на 45 лабораторных работ. Время на изучение неограниченно – все материалы передаются бессрочно и их можно пересматривать сколько нужно. Первые 25 уроков можно посмотреть бесплатно, оставив заявку на странице курса.

1. Закрываем 53 порт для доступа из вне.

Итак, начнем с простого. Поскольку микротик имеет на борту свой собственный DNS сервер, то 53 порт смотрит у него наружу и просит его использовать. Чем грозит открытый 53 порт?

Рано или поздно, у MikroTik с белым IP адресом, можно заметить нагрузку на процессор и утечку трафика, которая вызвана внешними запросами к Вашему DNS серверу.

Падением скорости вашего интернет-соединения. В моей практике был случай, когда в качестве роутера стоял MikroTik RB951Ui. Провайдер давал 80 мегабит канал, а фактическая скорость у клиента не превышала 2-3 мегабита. Клиент ругался с провайдером, приезжали монтажники, проверяли линию, но все тщетно.

Когда я приехал, то сделал следующее.

Подключаемся к нашему пациенту по Winbox и открываем раздел IP->Firewall->Filter Rules. На скриншоте ниже у меня уже добавлены необходимые правила для обработки трафика на 53 порту.

Что бы сделать так же, добавляем первое правило, которое будет заносить все IP флудильщиков в специальный список IP адресов.

И второе правило, которое и будет ограничивать.

На этом все. Ваш микротик защищен от DNS флуда и канал теперь свободен. Добавив только эти два правила клиент увидел заявленную от провайдера скорость и был очень рад.

Но есть и другие сервисы и порты, которые в микротике по-умолчанию включены и принимают подключения.

2. Закрываем 2000 порт.

На этом порту у нас живет Btest Server. Он служит для оценки эффективности работы сетевого оборудования путем измерения фактической полосы трафика проходящего через сетевые коммутаторы и маршрутизаторы компания Mikrotik предлагает использовать утилиту BTest.

Закрывается он так: зайдите в Tools —> BTest Server, снять галочку Enabled.

3. Отключаем стандартные порты.

Обычные пользователи не обращают на них внимания, но я рекомендую всем либо выключить к ним доступ, либо настроить правила фильтрации. Самое простое, как закрыть порты:

Заходим IP —> Services и видим список портов.

Я всегда закрываю все, кроме Winbox потому что мне нет в них необходимости. Можно просто выключить, а можно изменить номер порта на тот, который вам нравится, но стоит быть внимательными, не советую менять порты 443, 80. Это служебные порты и их изменение может привести к потере доступа в Интернет.

У меня выглядит вот так:

Советую и вам так сделать. Это означает что к роутеру можно присоединиться только через винбокс и только из внутренней сети (вместо 192.168.10.0 — должна стоять ваша сеть).

Allow Remote Requests заставляет слушать DNS-сервис на всех портах маршрутизатора. Таким образом при включении сервиса мы становились отличным хостом для атаки ботами и прочей нечистью из Интернетов.

А так как у меня была статика IP последние 2 месяца, то я был вообще идеальным DNS… к слову на работе все галки были сняты сразу, так как на тот момент я про нее уже знал.

После снятия галочки, картина такая:

Иногда снятие галочки Allow Remote Requests приводит к некоторым «нерабочим» сайтам по интернету, так как мы выдаём собственный DNS в локальную сеть.

Allow Remote Requests можно поставить если Вы хотите чтоб микротик выступал в роли кэширующего DNS, но в этом случае необходимо запретить обработку запросов DNS поступающих на порты которые смотрят в сеть провайдера и разрешить обрабатывать запросы только из локальной сети.

4. Закрываем любой порт.

Для того, что бы закрыть любой порт для подключения из внешней сети достаточно одного правила, которое по своей сути очень простое. В нем мы указываем тип трафика – снаружи, номер порта или диапазон портов, на каком интерфейсе слушать и что с этим трафиком делать.

Для примера давайте закроем порт 8080.

IP->Firewall->Filter Rules->New Firewall rule (синий плюсик).

Все! Вот так просто! Порт закрыт.

Но будьте предельно аккуратны, не стоит беспорядочно закрывать все. В MikroTik’e с завода идет принцип запрещено все, что не разрешено. Поэтому сильно заморачиваться нет необходимости.

5. Оригиналы источников информации.

Хочешь уметь больше? Научиться тонкостям настройки MikroTik можно из русскоязычного онлайн-курса по MikroTik от автора курсов Дмитрия Скромнова. Здесь можно изучить MikroTik и RouterOS самостоятельно по курсу «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA, но содержит больше информации. Это 162 видеоурока и большая практическая задача, разбитая на 45 лабораторных работ. Время на изучение неограниченно – все материалы передаются бессрочно и их можно пересматривать сколько нужно. Первые 25 уроков можно посмотреть бесплатно, оставив заявку на странице курса.

Источник

Port 53 domain что это

Допустим, мы все сделали по рецепту, но результатов нет. Попробуем представить примерный сценарий поиска и устранения ошибки.

Исходной точкой здесь является ситуация, когда по IP-адресам компьютеры можно найти, а по именам — нет. Например, команда ping с рабочей станции успешно тестирует адрес 192.168.1.2, а для имени server1 выдает сообщение «unknown host server1».

Проведем еще один тест с программой nslookup:

** server can’t find server1: NXDOMAIN

В данном случае 212.48.000.00 — адрес DNS провайдера. Значит, разрешение имен выполняется, но без нашего DNS. А чужой DNS сервер нам, разумеется, ни к чему, он нам помочь не может, потому что ничего не знает о нашей сети.

Может быть, проблема в клиенте? Проверим местный файл /etc/resolv.conf:

# Generated by dhcpcd for interface eth0

Нет, тут все нормально. Во-первых, мы получили настройки по DHCP.

Во вторых, все адреса DNS имеются. Как мы уже знаем, первый же DNS провайдера ответил нам с полным основанием, что он ничего не знает о хосте server1 — претензий быть не может. Это еще одно подтверждение, что местный DNS не работает.

Тут уместно вспомнить о порте 53. Именно через него идут DNS-запросы. Может быть, порт закрыт? Для проверки нам потребуется программа nmap (которая есть в дистрибутиве).

Тестируем порт сервера со станции:

Interesting ports on 192.168.1.2:

PORT STATE SERVICE

53/tcp closed domain

Ну вот, мы уже приблизились к проблеме. Порт закрыт. Правда, причин для такого сообщения может быть несколько, например:

1. Обмен по этому порту запрещен в настройках сервера.

2. Обмен по порту разрешен, но ни одна программа с портом не работает.

Для выяснения окончательной причины надо подключаться в консоль сервера по SSH или пересесть к монитору сервера (кому как удобнее).

Режим работы портов описан в файле /etc/sysconfig/iptables.

Разобраться в записях несложно, указаны порты, сетевые протоколы, режимы. Опция ACCEPT разрешает работу через порт, опции DROP или REJECT — запрещают. Соответственно, нам надо проследить, чтобы в строках с портом 53 не стояло REJECT. После редактирования файла службу iptables надо перезапустить.

Включить порт можно и командно. Включим его по максимуму, хотя многие серверы DNS протокол tcp не используют и он отключается.

#service iptables save

#service iptables restart

Мы должны убедиться, что теперь порт на сервере открыт. Даем команду в консоли сервера:

Interesting ports on server1.ofis.local (127.0.0.1):

PORT STATE SERVICE

Порт открыт, но ничего не работает. Значит, дело в самом dnsmasq или его настройках. То, что мы могли набрать с ошибкой имя server1 — можно исключить, ведь отклика от сервера нет вообще.

Остается обратиться к настройкам dnsmasq и внимательно их изучить. И тут уместно вспомнить о таком параметре, как interface. По умолчанию dnsmasq работает только с одним ethernet-интерфейсом (eth0). Существуют параметры для выбора интерфейса. Это разумно, потому что один из интерфейсов может «смотреть наружу», а другой — в локальную сеть. А у нас (к примеру) сетевой кабель подключен к интерфейсу eth1. Значит, надо добавить в файл /etc/dnsmasq.conf параметр:

Перезапускаем службу dnsmasq.

Открываем на клиентском компьютере Konqueror и набираем адрес интерфейса сервера https://server1:8080. Web-интерфейс запустился — значит, мы решили проблему.

Из этого, кстати, следует, что если на сервере есть два разъема для подключения сетевого кабеля, нельзя отключить кабель от одного интерфейса, подключить к другому и не потерять функциональность сервера. Некоторые возможности без дополнительной настройки перестанут работать, даже если оба интерфейса исправны.

Источник

Почему на CentOS может быть открыт порт 53?

У меня сервер на CentOS. Сегодня проверил открытые порты через nmap. Среди прочих, открыт 53 порт.

На сервере несколько docker контейнеров.

Ладно, docker может отдельно от firewalld открывать порты. Проверяю, нигде в docker этот порт не открыт.

Вопрос почему наружу открыт 53 порт, а я не вижу его у себя в системе?

53 это для DNS. Бинд там или днсмаск.

Ты точно машину напрямую nmap прошел?

Отвечаем на вопросы, тогда возможно будет понятнее. И в части пункта 4, смотрим iptables-save

Просмотрел с телефона, блокировки чего-либо вообще не заметил, есть только блокировка в цепочке транзитных пакетов неразрешенных явно портов, а в цепочке пакетов, предназначенных хост системе вообще ничего не блокируется.

Просмотрел с телефона, блокировки чего-либо вообще не заметил, есть только блокировка в цепочке транзитных пакетов неразрешенных явно портов, а в цепочке пакетов, предназначенных хост системе вообще ничего не блокируется.

Блокирует же firewalld.

Это сраный systemd открывает порты для своего dns!

Нет, systemd так не делает.

Бесплатная поддержка закончилась 30 апреля, если кто пропустил.

Пакеты фильтрует пакетный фильтр в ядре Linux.

Поставил netdata. На порт 19999 не смог попасть. С

Куда ты его поставил?

Очень детально каждую цепочку iptables не просмотрел, но имхо это похоже на происки провайдеров. Попробуйте запустить tcpdump на хосте и удаленно telnet || nc на 53-й порт подключиться. Долетают хоть пакеты до вас?

Таки делает. Выглядит это так (Ubuntu 18.04.2 LTS):

Это не открытие порта. Это слушание порта на loopback-интерфейсе. Никакого правила netfilter при этом не добавляется.

Поставил на сервер, от которо iptables-save сюда выкладывал. На порт 19999 не смог попасть. Разрешил в firewalld порт, смог попасть. Перезагрузился, порт опять был закрыт. Я же его без permanent ключа разрешал. Оно работает.

Попробуйте запустить tcpdump на хосте и удаленно telnet || nc на 53-й порт подключиться. Долетают хоть пакеты до вас?

Запустил tcpdump на сервере

На локальной машине telnet (адрес) 53

Telnet куда-то подключается, но пакетов на сервере я не вижу.

блокировки чего-либо вообще не заметил

ЧТД, происки провов. Скорее всего локального. Попробуйте с другого места nmap запустить.

Вам все верно разъяснили firewalld это не более чем надстройка над netfilter.

Вам все верно разъяснили firewalld это не более чем надстройка над netfilter.

Да я в курсе. Но все равно спасибо. Просто с серверами я работаю год только, времена без фаерволов не застал и даже не знаю стоит ли изучать iptables сейчас, когда все очень просто рулится через firewalld если на centos и прочих redhat. Я пока везде ставил CentOS, а там он из коробки уже стоит.

На сервере запустите:

На скан nmap tcpdump ничего не показал. Но пока я отходил, tcpdump выдал следующее.

даже не знаю стоит ли изучать iptables сейчас

Скорее нет. iptables legacy несмотря на то что повсеместно используется, ваш пример тому подтверждение. Ему на смену nftables запилили. Если бы я сейчас начинал изучение fw то начал бы с nftables. Но сам пока не притрагивался, у меня много заточено под iptables+ipset и переписывать все это как минимум лень. И если трансляция правил iptables в nftables запилена, то с ipset проблемы, нет и вроде не планируют. Так что пока не припрет не буду переходить. Когда-то давно так же долго не переходил с ipchains на iptables.

когда все очень просто рулится через firewalld

Дистрспецифична, у убунту например ufw.

А это тут причем? Обычные запросы клиента.

Чаще всего это называется не «косяк», а запрет обхода блокировок. Этакая доморощенная разновидность в виде перенаправления dns запросов на свой сервер. Появилась на заре ввода блокировок.

Ну или фича, в смысле защиты от DDOS

Каким образом это защитит? Я понимаю если дропает пров на своем уровне, но дропает а не открытый порт.

Источник

Почему некоторые сетевые порты опасны и как их обезопасить? — CloudSavvy ИТ

Есть сетевой порт для каждого типа трафика. Некоторые порты подвержены большему риску, чем другие. Вот самые ужасные преступники и что вы можете сделать, чтобы их обезопасить.

Сетевая адресация

Сеть и Интернет Протокол управления транспортом / Интернет-протокол соединения производятся от одного айпи адрес к другому. Для удобства мы можем использовать имя веб-сайта, например cloudsavvyit.com, но это базовый IP-адрес, который используется для маршрутизации вашего подключения к соответствующему веб-серверу. То же самое работает и в обратном направлении. Сетевой трафик, который прибывает на вашем компьютере был направлен на его IP-адрес.

На вашем компьютере будет запущено множество программ и служб. На вашем рабочем столе могут быть открыты почтовая программа и браузер. Возможно, вы используете чат-клиент, например Слабина или же Команды Microsoft. Если вы администрируете удаленные машины, вы можете использовать безопасная оболочка (SSH) соединение. Если вы работаете из дома и вам нужно подключиться к своему офису, вы можете использовать Протокол удаленного рабочего стола (RDP) или Виртуальная частная сеть (VPN) соединение.

IP-адрес только идентифицирует компьютер. Это не может быть более детализированным, чем это. Но настоящая конечная точка для сетевого подключения — это запущенное приложение или служба. Итак, как ваш компьютер узнает, в какое приложение отправлять каждый сетевой пакет? Ответ заключается в использовании порты.

Когда курьер доставляет посылку в отель, адрес идентифицирует здание. Номер комнаты идентифицирует комнату и гостя отеля. Уличный адрес подобен IP-адресу, а номер комнаты подобен адресу порта. Приложения и службы используют определенные пронумерованные порты. Таким образом, фактическим местом назначения сетевого пакета является порт с IP-адресом. Этого достаточно, чтобы идентифицировать приложение или службу на конкретном компьютере, для которого предназначен пакет.

Стандартная нумерация портов

Некоторые порты предназначены для определенных типов трафика. Их называют известные порты. Остальные порты регистрируются приложениями и зарезервированы для их использования. Эти зарегистрированные порты. Существует третий набор портов, доступных для использования любым приложением. Они запрашиваются, выделяются, используются и освобождаются на к этому основание. Они называются эфемерные порты.

В соединении будет использоваться несколько портов. Сетевому соединению необходим порт на локальном конце соединения — на компьютере — для подключения к удаленному концу соединения — например, к веб-серверу. Если веб-сервер использует Безопасный протокол передачи гипертекста (HTTPS) удаленным портом будет порт 443. Ваш компьютер будет использовать любой из свободных эфемерных портов для подключения к порту 443 по IP-адресу веб-сервера.

Всего имеется 65535 портов TCP / IP (и столько же Протокол пользовательских датаграмм (UDP) порты).

Ни один порт не является безопасным по своей сути

Любой порт не более безопасен или подвержен риску, чем любой другой порт. Порт есть порт. Именно от того, для чего используется порт, и от того, насколько безопасно это использование используется, зависит, является ли порт безопасным.

Протокол, который используется для связи через порт, служба или приложение, которые потребляют или генерируют трафик, проходящий через порт, должны быть текущими реализациями и находиться в пределах периода поддержки производителя. Они должны получать обновления безопасности и исправления ошибок, и их следует применять своевременно.

Вот некоторые распространенные порты и способы их использования.

Порт 21, протокол передачи файлов

Небезопасный порт FTP, на котором размещен FTP-сервер, является огромным недостатком безопасности. Многие FTP-серверы имеют уязвимости, которые могут позволить анонимную аутентификацию, боковое перемещение в сети, доступ к повышение привилегий методы и — поскольку многими FTP-серверами можно управлять с помощью сценариев — средства развертывания межсайтовый скриптинг.

Вредоносные программы, такие как Dark FTP, Ramen и WinCrash, использовали небезопасные порты и службы FTP.

Порт 22, безопасная оболочка

Учетные записи Secure Shell (SSH), настроенные с использованием коротких, неуникальных, повторно используемых или предсказуемых паролей, небезопасны и могут быть легко взломаны с помощью атак по словарю паролей. Было обнаружено множество уязвимостей в прошлых реализациях служб и демонов SSH, и они все еще обнаруживаются. Установка исправлений жизненно важна для обеспечения безопасности с помощью SSH.

Порт 23, Telnet

Telnet — это устаревшая служба, от которой следует отказаться. Нет никакого оправдания использованию этого древнего и небезопасного средства текстового общения. Вся информация, которую он отправляет и получает через порт 23, отправляется в виде обычного текста. Шифрование вообще отсутствует.

Злоумышленники могут перехватить любое соединение Telnet и легко выбрать учетные данные для аутентификации. Они могут выполнять Атаки посредника путем внедрения специально созданных вредоносных пакетов в немаскированные текстовые потоки.

Даже не прошедший проверку подлинности удаленный злоумышленник может воспользоваться уязвимостью переполнения буфера в демоне или службе Telnet и, создавая вредоносные пакеты и вставляя их в текстовый поток, выполнять процессы на удаленном сервере. Это метод, известный как Удаленное (или произвольное) выполнение кода (RCE).

Порт 80, протокол передачи гипертекста

Порт 80 используется для незащищенных Протокол передачи гипертекста (HTTP) трафик. HTTPS почти заменил HTTP, но некоторые HTTP все еще существуют в сети. Другие порты, обычно используемые с HTTP, — это порты 8080, 8088, 8888. Они обычно используются на старых HTTP-серверах и веб-прокси.

Незащищенный веб-трафик и связанные порты уязвимы для межсайтовых сценариев и подделок, атак с переполнением буфера и Атаки с использованием SQL-инъекций.

Порт 1080, SOCKS прокси

НОСКИ — это протокол, используемый прокси-серверами SOCKS для маршрутизации и пересылки сетевых пакетов по TCP-соединениям на IP-адреса. Порт 1080 был одним из предпочтительных портов для вредоносных программ, таких как Mydoom и много червь и атаки отказа в обслуживании.

Порт 4444, протокол управления транспортом

Несколько руткит, черный вход, и троянский конь программное обеспечение открывает и использует порт 4444. Оно использует этот порт для перехвата трафика и сообщений, для собственных сообщений и для эксфильтрации данных с взломанного компьютера. Он также используется для загрузки новых вредоносных полезных данных. Вредоносное ПО, такое как Бластерный червь и его варианты использовали порт 4444 для установки бэкдоров.

Порт 6660 — 6669, Интернет-ретранслятор

Интернет-чат (IRC) началось в 1988 году в Финляндии, и продолжается до сих пор. В наши дни вам понадобится чугунное экономическое обоснование, чтобы разрешить IRC-трафик в вашу организацию.

За 20 с лишним лет использования IRC было обнаружено и использовалось бесчисленное количество уязвимостей. В UnrealIRCD В 2009 году у daemon был недостаток, делавший удаленное выполнение кода тривиальным делом.

Порт 161, протокол обмена небольшими сетевыми сообщениями

Некоторые порты и протоколы могут дать злоумышленникам много информации о вашей инфраструктуре. Порт 161 UDP привлекателен для злоумышленников, поскольку его можно использовать для опроса информации с серверов — как о них самих, так и об оборудовании и пользователях, которые находятся за ними.

Порт 161 используется Простой протокол управления сетью который позволяет злоумышленникам запрашивать такую ​​информацию, как оборудование инфраструктуры, имена пользователей, имена общих сетевых ресурсов и другую конфиденциальную информацию, то есть, для злоумышленника, оперативную информацию.

Порт 53, служба доменных имен

Злоумышленникам необходимо учитывать маршрут утечки, который их вредоносное ПО будет использовать для передачи данных и файлов из вашей организации на свои собственные серверы.

Порт 53 использовался в качестве предпочтительного порта эксфильтрации, поскольку трафик через Служба доменных имен редко контролируется. Злоумышленники могут легко маскировать украденные данные под трафик DNS и отправлять их на свой собственный поддельный DNS-сервер. Фальшивый DNS-сервер принял трафик и восстановил данные в исходном формате.

Памятные числа

Некоторые авторы вредоносных программ выбирают легко запоминающиеся последовательности чисел или повторяющиеся числа для использования в качестве портов. Для этого использовались порты 234, 6789, 1111, 666 и 8888. Обнаружение любого из этих странно выглядящих номеров портов, используемых в вашей сети, должно повлечь за собой более глубокое расследование.

Порт 31337, означающий элиту в позвольте говорить, — еще один распространенный номер порта для использования вредоносными программами. Его использовали как минимум 30 вариантов вредоносного ПО, включая Заднее отверстие и Bindshell.

Как защитить эти порты

Все порты должны быть закрыты, если нет задокументированного, проверенного и утвержденного экономического обоснования. Сделайте то же самое для открытых сервисов. Пароли по умолчанию необходимо изменить и заменить надежными уникальными паролями. По возможности следует использовать двухфакторную аутентификацию.

Все службы, протоколы, микропрограммы и приложения должны по-прежнему соответствовать жизненному циклу поддержки производителей, и для них должны быть доступны исправления безопасности и исправления ошибок.

Контролируйте порты, которые используются в вашей сети, и исследуйте любые странности или необъяснимые открытые порты. Поймите, как выглядит ваше обычное использование порта, чтобы можно было определить необычное поведение. Выполните сканирование портов и тесты на проникновение.

Закройте порт 23 и прекратите использование Telnet. Шутки в сторону. Просто перестань.

Порты SSH можно защитить с помощью аутентификации с открытым ключом и двухфакторной аутентификации. Также поможет настройка вашей сети на использование другого номера порта для трафика SSH.

Если вам необходимо использовать IRC, убедитесь, что он находится за брандмауэром, и потребуйте, чтобы пользователи IRC подключились к вашей сети через VPN, чтобы использовать его. Не позволяйте внешнему трафику напрямую попадать в ваш IRC.

Отслеживайте и фильтруйте DNS-трафик. Из порта 53 не должно выходить ничего, кроме подлинных DNS-запросов.

Примите стратегию глубокоэшелонированной защиты и сделайте свою защиту многоуровневой. Используйте межсетевые экраны на основе хоста и сети. Рассмотрим систему обнаружения вторжений (IDS), такую ​​как бесплатный Snort с открытым исходным кодом.

Отключите прокси, которые вы не настраивали или которые вам больше не нужны.

Некоторые возвращаемые строки SNMP содержат учетные данные по умолчанию в виде обычного текста. Отключите это.

Удалите нежелательные заголовки ответов HTTP и HTTPS и отключите баннеры, которые по умолчанию включаются в ответы от некоторого сетевого оборудования. Они напрасно выдают информацию, которая приносит пользу только злоумышленникам.

Источник