I pacchetti di dati trasmessi da e verso porte di rete numerate sono associati a indirizzi IP ed endpoint specifici, utilizzando i protocolli TCP o UDP. Tutti i porti rischiano di essere attaccati, nessun porto è assolutamente sicuro.
Kurt Muhl, il principale consulente per la sicurezza di RedTeam, ha spiegato: "Ogni porta e servizio sottostante presenta dei rischi. Il rischio deriva dalla versione del servizio, anche se è configurato correttamente. correttamente o imposta una password per il servizio, è quella password forte abbastanza? Altri fattori includono: la porta scelta dagli hacker per attaccare, se si lascia passare il malware attraverso la porta. In breve, ancora una volta, ci sono molti fattori che determinano la sicurezza di una porta o di un servizio."
CSO esamina il rischio dei gateway di rete in base alle applicazioni, alle vulnerabilità e agli attacchi associati, fornendo molteplici approcci per proteggere le aziende dagli hacker malintenzionati che abusano di queste vulnerabilità.
Cosa rende pericolosi i gateway di rete?
Ci sono un totale di 65.535 porte TCP e altre 65.535 porte UDP, esamineremo alcune delle porte più pericolose. La porta TCP 21 collega i server FTP a Internet. Questi server FTP presentano molte importanti vulnerabilità come l'autenticazione anonima, l'attraversamento delle directory e lo scripting cross-site, rendendo la porta 21 un bersaglio ideale per gli hacker.
Sebbene alcuni servizi vulnerabili continuino a utilizzare l'utilità, i servizi legacy come Telnet sulla porta TCP 23 erano intrinsecamente insicuri fin dall'inizio. Sebbene la sua larghezza di banda sia molto ridotta, solo pochi byte alla volta, Telnet invia i dati completamente pubblicamente in chiaro. Austin Norby, scienziato informatico presso il Dipartimento della Difesa degli Stati Uniti, ha dichiarato: "Gli aggressori possono ascoltare, visualizzare certificati, impartire comandi tramite attacchi [man-in-the-middle] e, infine, eseguire Remote Code Executions (RCE). (Questa è la sua opinione, non rappresenta il punto di vista di alcuna agenzia).
Mentre alcune porte di rete creano facili varchi in cui gli aggressori possono entrare, altre creano vie di fuga perfette. La porta TCP/UDP 53 per DNS ne è un esempio. Una volta che si sono infiltrati nella rete e hanno raggiunto il loro obiettivo, tutto ciò che l'hacker deve fare per far uscire i dati è utilizzare il software esistente per trasformare i dati in traffico DNS. "Il DNS viene raramente monitorato e raramente filtrato", ha affermato Norby. Quando gli aggressori rubano dati da un'azienda protetta, li inviano semplicemente tramite un server DNS appositamente progettato che li riconduce allo stato originale.
Più porte vengono utilizzate, più facile sarà sferrare attacchi a tutti gli altri pacchetti. La porta TCP 80 per HTTP supporta il traffico Web ricevuto dal browser. Secondo Norby, gli attacchi ai client web tramite la porta 80 includono hack SQL injection, falsificazione di richieste cross-site, scripting cross-site e buffer overflow.
Gli aggressori installeranno i propri servizi su porte separate. Utilizzano la porta TCP 1080, utilizzata per il socket che protegge i proxy "SOCKS", a supporto di malware e operazioni. Cavalli di Troia e worm come Mydoom e Bugbear hanno utilizzato la porta 1080 negli attacchi. Se un amministratore di rete non configura un proxy SOCKS, la sua esistenza è una minaccia, ha affermato Norby.
Quando gli hacker sono nei guai, utilizzeranno numeri di porta che possono essere facilmente ricordati, come la serie di numeri 234, 6789 o lo stesso numero di 666 o 8888. Alcuni software Backdoor e cavalli di Troia si aprono e utilizzano la porta TCP 4444 per ascoltare , comunicano, inoltrano traffico dannoso dall'esterno e inviano payload dannosi. Alcuni altri malware che utilizzano questa porta includono Prosiak, Swift Remote e CrackDown.
Il traffico Web non utilizza solo la porta 80. Il traffico HTTP utilizza anche le porte TCP 8080, 8088 e 8888. I server che si connettono a queste porte sono per lo più sistemi più vecchi, non gestiti e non protetti, il che li rende vulnerabili. La sicurezza aumenta nel tempo. I server su queste porte possono anche essere proxy HTTP; se gli amministratori di rete non li installano, i proxy HTTP possono diventare un problema di sicurezza nel sistema.
Gli aggressori d'élite hanno utilizzato le porte TCP e UDP 31337 per la famosa backdoor Back Orifice e altri programmi malware. Sulla porta TCP possiamo citare: Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night e BO client, ad esempio sulla porta UDP c'è Deep BO. In "leetspeak" - una lingua che utilizza lettere e numeri, 31337 è "eleet", che significa Elite.
Le password deboli possono rendere SSH e la porta 22 vulnerabili agli attacchi. Secondo David Widen, ingegnere di sistema presso BoxBoat Technologies: Porta 22 - La porta Secure Shell consente l'accesso a shell remote su hardware server vulnerabile, perché qui le informazioni di autenticazione sono solitamente il nome utente e la password predefinita, facile da indovinare. Le password brevi, composte da meno di 8 caratteri, utilizzano frasi familiari con una stringa di numeri troppo facili da indovinare per gli aggressori.
Gli hacker stanno ancora attaccando IRC in esecuzione sulle porte da 6660 a 6669. Widen ha detto: Su questa porta ci sono molte vulnerabilità IRC, come Unreal IRCD che consente agli aggressori di eseguire attacchi remoti, ma questi sono solitamente attacchi normali, di non molto valore.
Alcune porte e protocolli consentono agli aggressori una maggiore portata. Ad esempio, la porta UDP 161 attira gli aggressori a causa del protocollo SNMP, utile per gestire i computer in rete, raccogliere informazioni e inviare traffico attraverso questa porta. Muhl spiega: SNMP consente agli utenti di interrogare il server per ottenere nomi utente, file condivisi in rete e ulteriori informazioni. SNMP viene spesso fornito con stringhe predefinite che fungono da password.
Proteggi porte, servizi e vulnerabilità
Secondo Widen, le aziende possono proteggere il protocollo SSH utilizzando l'autenticazione con chiave pubblica, disabilitando l'accesso come root e spostando SSH su un numero di porta più alto in modo che gli aggressori non possano trovarlo. Se un utente si connette a SSH su un numero di porta pari a 25.000, sarà difficile per un utente malintenzionato determinare la superficie di attacco del servizio SSH.
Se la tua azienda utilizza IRC, attiva un firewall per proteggerlo. Non consentire al traffico esterno alla rete di avvicinarsi al servizio IRC, ha aggiunto Widen. Consenti solo agli utenti VPN sulla rete di utilizzare IRC.
I numeri di porta ripetitivi e soprattutto le sequenze di numeri raramente rappresentano un uso corretto delle porte. Quando vedi che queste porte vengono utilizzate, assicurati che siano autenticate, afferma Norby. Monitora e filtra i DNS per evitare perdite e smetti di usare Telnet e chiudi la porta 23.
La sicurezza su tutte le porte della rete deve includere una difesa approfondita. Norby dice: chiudi tutte le porte che non usi, usa firewall basati su host su tutti i server, esegui il firewall più recente basato su rete, monitora e filtra il traffico delle porte. Eseguire regolarmente la scansione delle porte di rete per garantire che non vi siano vulnerabilità trascurate sulla porta. Presta particolare attenzione ai proxy SOCKS o a qualsiasi altro servizio che non hai ancora configurato. Applica patch, ripara e rafforza qualsiasi dispositivo, software o servizio connesso alla porta di rete finché non rimangono più vulnerabilità nella tua rete. Sii proattivo quando compaiono nuove vulnerabilità nel software (sia vecchio che nuovo) a cui gli aggressori possono accedere attraverso le porte di rete.
Usa gli aggiornamenti più recenti per qualsiasi servizio che supporti, configuralo correttamente e utilizza password complesse ed elenchi di controllo degli accessi che ti aiuteranno a limitare chi ha accesso, afferma MuHl., può connettersi a porte e servizi. Ha anche aggiunto che: I porti ed i servizi dovrebbero essere controllati regolarmente. Quando utilizzi servizi come HTTP e HTTPS, c'è molto spazio per la personalizzazione, il che può facilmente portare a errori di configurazione e vulnerabilità della sicurezza.
Porto sicuro per i porti a rischio
Gli esperti hanno stilato diversi elenchi di porti ad alto rischio in base a diversi criteri come il tipo o la gravità delle minacce associate a ciascun porto o il livello di vulnerabilità dei servizi offerti su determinati porti. Ma ad oggi non esiste ancora un elenco completo. Per ulteriori ricerche, puoi iniziare con gli elenchi su SANS.org, SpeedGuide.net e GaryKessler.net.
Articolo abbreviato da "Protezione delle porte di rete rischiose" pubblicato da CSO.