Что такое порт? (и почему я должен его блокировать?)

Скотт Пинзон, обновления — Кори Нахрейнер

При использовании в строительстве или инженерии термин «брандмауэр» означает то, что кажется: стена, способная противостоять огню. Он вызывает ощущение чего-то непроницаемого, например, листа стали или кирпичной стены. Однако в компьютерных сетях термин «брандмауэр» означает нечто «пористое». Подобно ситечку, через который шеф-повар наливает бульон, брандмауэр останавливает все кости (плохое), но пропускает весь бульон (хороший продукт) — по крайней мере, теоретически.

Но как брандмауэр узнает, что плохо, а что хорошо? Как он может определить, содержит ли пакет данных атаку или информацию, которую вы с нетерпением ждали? Не может. Брандмауэр просто следует набору правил, часто называемых политикой , которые вы определяете. Вы тот, кто классифицирует типы сетевого трафика как «хороший» или «плохой».

Читая это, вы можете стонать: «Ага! Это поле должен был решить мои проблемы с безопасностью! Теперь ждет, пока я скажу ему, что делать! Что мне делать? » В настоящее время межсетевые экраны следующего поколения (NGFW) позволяют создавать политики с использованием множества атрибутов, включая порты и службы, пользователей и группы, и даже путем определения политик детального доступа для определенных сетевых приложений (с использованием того, что называется управлением приложениями ). Однако основным механизмом, на который брандмауэры полагаются для разрешения или запрета сетевого трафика, являются порты и службы. Итак, первым хорошим шагом в управлении вашим брандмауэром является получение быстрого и грязного понимания того, как порты работают, и для чего используется данный порт. Эти знания предоставляют вам отправную точку для определения того, какой интернет-трафик разрешать через брандмауэр, а что запрещать.

Быстрый и Грязные порты

Поскольку весь Интернет приходит в вашу систему по одному большому проводу, как ваша сеть отличает потоковое видео от веб-страницы и электронное письмо от звукового файла? Ответ сложен, но отчасти боги компьютерных фанатов (читай: изобретатели Интернет-протокола или IP) придумали сервисы и порты .

Что такое услуги? Пять наиболее часто используемых интернет-сервисов:

  • доступ к всемирной паутине (с использованием протокола передачи гипертекста или HTTP)
  • E -mail (с использованием простого протокола передачи почты или SMTP)
  • Передача файлов (с использованием протокола передачи файлов или FTP)
  • Перевод имени хоста в Интернет адрес (с использованием службы доменных имен или DNS)
  • Доступ к удаленному терминалу (например, Telnet, Secure Shell, RDP или VNC)

Чтобы помочь системам понять, что делать с данными, которые в них поступают, боги компьютерных придумали порты.. Термин «порт» может относиться к физическому отверстию в устройстве, куда вы что-то подключаете (например, «последовательный порт» или «порт Ethernet»). Но когда они используются в отношении IP-сервисов, «порты» не являются физическими. Порты — это хорошо структурированная игра «Давайте притворимся» (термин компьютерных фанатов — логическая конструкция) , на которую пользователи Интернета соглашаются, если хотят поиграть друг с другом. Порты делают то, что делают, просто потому, что первые пользователи Интернета пришли к единому мнению относительно них. Если это кажется абстрактным, помните, что деньги работают точно так же. Почему картина Бенджамина Франклина в зеленых тонах стоит сто долларов США? Потому что мы все согласны с этим. Почему порты работают? Потому что мы все этого хотим.

Итак, какой-то бог-компьютерщик произвольно постановил тоном basso profundo: «Когда мы отправляем информацию в системы друг друга и адресуем ее на порт номер 25, позвольте нам согласиться Предположим, что информация — это данные SMTP, и поэтому будем рассматривать ее как электронную почту ».

Другой бог-компьютерщик ответил тем же, сказав:« Итак, пусть это будет записано. И когда мы отправляем информацию друг другу, систем и адресовать их к фиктивному номеру порта, ммм, 80, давайте согласимся обрабатывать эту информацию как данные HTTP, чтобы у нас могли быть веб-страницы ». А другие боги-компьютерщики хором воскликнули: «Так пусть будет».

Ладно, это было не так просто. На самом деле в нем участвовало множество скучных комитетов, которые десятилетиями разбирались в вещах и записывали их в скучные RFC, но то, что моей версии не хватает точности, становится краткостью. Я хочу сказать, что порт — это выдуманная или логическая конечная точка для соединения, а порты позволяют Интернету обрабатывать несколько приложений по одним и тем же проводам. Ваша система определяет, как обрабатывать поступающие к ней данные частично, глядя на то, для какого порта предназначены данные.

Бармен, еще порт для всех!

Поскольку существует пять широко используемых интернет-сервисов, боги компьютерщиков могли бы создать 20 или 30 портов (чтобы оставить место для будущих технологий) и назвать это эпоха. Но очевидно, что создание портов вызывает привыкание, потому что сегодня RFC 1700 и Internet Assigned Number Authority (IANA) определили не менее 1023 официальных «хорошо известных портов», а также множество других неофициальных портов. И эти — лишь часть из 65 535 портов.

Для чего вообще эти порты используются? Убедитесь в этом сами, обратившись к официальному списку IANA.

Но вот ключевая концепция: физически мы все еще имеем дело только с проводом, идущим от вашего интернет-провайдера к вашей машине. IANA может указать, как боги компьютерных фанатов официально намерены использовать порты, но ничто не мешает кому-либо делать с любым портом все, что он хочет. Например, HTTP-трафик (веб-страницы и HTML) по соглашению использует порт 80. Но если я хочу отправить HTTP-данные на ваш порт 8080 или 8888, чтобы посмотреть, что происходит, я могу. Фактически, если мы с вами согласимся использовать 8080 для HTTP-трафика в любом направлении и настроим наши системы в соответствии с этим соглашением, это будет работать.

Вот где начинается самое интересное для всего этого зла. хакеры злобно кудахтают, моют руки в воздухе и обдумывают взлом вашей системы.

Порты существуют либо в разрешенном (открытом) режиме, либо в запрещающем (закрытом; заблокированном) режиме. Если ваш почтовый сервер находится в состоянии готовности принимать SMTP-трафик, мы называем это «прослушиванием порта 25». Это означает, что порт 25 открыт. Основная причина, по которой вы устанавливаете межсетевой экран между Интернетом и вашей системой, — это помешать посторонним, пытающимся получить доступ к открытым портам. Приложения на компьютерах вашей сети могут открывать порты, не дожидаясь вашего ведома или разрешения. Некоторые, например программное обеспечение для однорангового обмена файлами или видеоконференцсвязи, открывают порты с целеустремленной одержимостью бешеного бордер-колли. Каждый из этих открытых портов становится еще одной потенциальной дырой в вашей безопасности, доверчиво принимая все, что на него отправляется, если вы не предпримете упреждающих шагов по его блокировке.

А теперь вернемся к злым хакерам. Они рассчитывают, что вы ничего не знаете о портах. Надеясь, что вы оставили что-то «прослушивающее», они экспериментально отправляют код в вашу сеть, адресованный портам, о которых вы никогда не думали (например, порт 31337, потому что в дислексической номенклатуре скриптовых детей числа выглядят как ElEET — как, например, » элитный «хакер»). Исследователи опубликовали несколько списков портов, которыми постоянно злоупотребляют хакеры. Найдите такие списки и обратитесь к ним за реальной помощью при интерпретации журналов брандмауэра.

Итак, вот суть этой статьи: если вы оставите порты открытыми, ваша сеть может принять все, что отправляет хакер. Ваша цель — заблокировать все доступные порты . Управление брандмауэром в значительной степени означает экспериментирование с портами и службами, блокирование целых диапазонов портов — все, что не требуется вашему бизнесу, открыто. Хотя по умолчанию Firebox запрещает все, с того дня, как он был установлен в вашем офисе, кто-то открыл его — то есть дал указание разрешить сетевой трафик через определенные порты на определенных машинах в вашей сети. Был ли брандмауэр открыт выборочно и осторожно? Или кто-то пробормотал: «У меня нет на это времени» и создал правила, чтобы брандмауэр разрешал все, откуда угодно и куда угодно? Если это так, у вас действительно нет брандмауэра. У вас есть дорогое красное пресс-папье.

Теперь, когда я знаю о портах, что мне делать?

  1. Просмотрите записи журнала Firebox, узнайте, в каких полях указаны порты, и отслеживайте сетевой трафик, чтобы увидеть, что ежедневно попадает в вашу систему из внешнего Интернета. Сравните все необычное со списком используемых портов.
  2. Узнайте, как вручную разрешать и запрещать службы и порты на вашем брандмауэре, и привыкните к их частой настройке..
  3. Установите регулярное время (не реже двух раз в месяц), когда вы сканируете свою сеть, чтобы найти все открытые порты. Закройте все, что можете. В случае сомнений заблокируйте порт. Худшее, что может случиться, — это сердитый коллега, говорящий: «Я не могу слушать Интернет-радио!» Пятьдесят таких жалоб более желательны, чем один успешный вирус или троянский конь.
  4. После того, как вы познакомитесь с разрешением и запретом внешнего доступа к сетевым портам, подумайте также о выходной фильтрации, что означает контроль изнутри наружу. доступ из вашей сети. Фильтрация на выходе дополнительно защищает вас от сетевых атак со стороны клиентов.

Порты являются фундаментальным строительным блоком Интернета и, следовательно, его безопасности. Удачи, исследуя их. Чем больше вы узнаете, тем умнее станет ваш брандмауэр. Немного потренировавшись, вы получите не столько швейцарский сыр, сколько стальной барьер, который подразумевает «брандмауэр».

Ресурсы:

  • Опубликована одна из самых уважаемых книг по этой теме, Брандмауэры и безопасность в Интернете: отражение коварного хакера , написанная Уильямом Чесвиком и Стивом Белловином. в Интернете полностью на сайте www.wilyhacker.com.

Ресурсы

Основы безопасности

Глоссарий сетевой безопасности

Оцените статью
techsly.ru
Добавить комментарий