Какие порты нужно закрыть для безопасности?

Содержание

Не открывайте порты в мир — вас поломают (риски)

Какие порты нужно закрыть для безопасности?

Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list'ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps'ы спрашивают: «Зачем?!?»

Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба.

  1. Ошибка конфигурации
  2. DDoS по IP
  3. Брутфорс
  4. Уязвимости сервисов
  5. Уязвимости стека ядра
  6. Усиление DDoS атак

Ошибка конфигурации

Наиболее типичная и опасная ситуация. Как это бывает. Разработчику надо быстро проверить гипотезу, он поднимает временный сервер с mysql/redis/mongodb/elastic. Пароль, конечно, сложный, он везде его использует. Открывает сервис в мир — ему удобно со своего ПК гуём коннектиться без этих ваших VPN. А синтаксис iptables вспоминать лень, все равно сервер временный. Еще пару дней разработки — получилось отлично, можно показывать заказчику. Заказчику нравится, переделывать некогда, запускаем в ПРОД!

Пример намеренно утрированный с целью пройтись по всем граблям:

  1. Ничего нет более постоянного, чем временное — не люблю эту фразу, но по субъективным ощущениям, 20-40% таких временных серверов остаются надолго.
  2. Сложный универсальный пароль, который используется во многих сервисах — зло. Потому что, один из сервисов, где использовался этот пароль, мог быть взломан. Так или иначе базы взломанных сервисов стекаются в одну, которая используется для [брутфорса]*.
    Стоит добавить, что redis, mongodb и elastic после установки вообще доступны без аутентификации, и часто пополняют коллекцию открытых баз.
  3. Может показаться, что за пару дней никто не насканит ваш 3306 порт. Это заблуждение! Masscan — отличный сканер, и может сканировать со скоростью 10М портов в секунду. А в интернете всего 4 миллиарда IPv4. Соответственно, все 3306-ые порты в интернете находятся за 7 минут. Карл!!! Семь минут!
    «Да кому это надо?» — возразите вы. Вот и я удивляюсь, глядя в статистику дропнутых пакетов. Откуда за сутки 40 тысяч попыток скана с 3-х тысяч уникальных IP? Сейчас сканят все кому не лень, от мамкиных хакеров до правительств. Проверить очень просто — возьмите любую VPS'ку за $3-5 у любого** лоукостера, включите логирование дропнутых пакетов и загляните в лог через сутки.

Включение логирования

В /etc/iptables/rules.v4 добавьте в конец:
-A INPUT -j LOG —log-prefix «[FW — ALL] » —log-level 4

А в /etc/rsyslog.d/10-iptables.conf :msg,contains,»[FW — » /var/log/iptables.log

& stop

DDoS по IP

Если злоумышленник знает ваш IP, он может на несколько часов или суток заддосить ваш сервер. Далеко не у всех лоукост-хостингов есть защита от DDoS и ваш сервер просто отключат от сети. Если вы спрятали сервер за CDN, не забудьте сменить IP, иначе хакер его нагуглит и будет DDoS'ить ваш сервер в обход CDN (очень популярная ошибка).

Уязвимости сервисов

Во всем популярном ПО рано или поздно находят ошибки, даже в самых оттестированных и самых критичных. В среде ИБэшников, есть такая полу-шутка — безопасность инфраструктуры можно смело оценивать по времени последнего обновления. Если ваша инфраструктура богата торчащими в мир портами, а вы ее не обновляли год, то любой безопасник вам не глядя скажет, что вы дырявы, и скорее всего, уже взломаны.

Так же стоит упомянуть, что все известные уязвимости, когда-то были неизвестными. Вот представьте хакера, который нашел такую уязвимость, и просканировал весь интернет за 7 минут на ее наличие… Вот и новая вирусная эпидемия ) Надо обновляться, но это может навредить проду, скажете вы. И будете правы, если пакеты ставятся не из официальных репозиториев ОС.

Из опыта, обновления из официального репозитория крайне редко ломают прод.

Брутфорс

Как описал выше, есть база с полу миллиардом паролей, которые удобно набирать с клавиатуры. Другими словами, если вы не сгенерировали пароль, а набрали на клавиатуре рядом расположенные символы, будьте уверены* — вас сбрутят.

Уязвимости стека ядра

Бывает**** и такое, что даже не важно какой именно сервис открывает порт, когда уязвим сам сетевой стек ядра. То есть абсолютно любой tcp/udp-сокет на системе двухлетней давности подвержен уязвимости приводящий к DDoS.

Усиление DDoS-атак

Напрямую ущерба не принесет, но может забить ваш канал, поднять нагрузку на систему, ваш IP попадет в какой-нибудь black-list*****, а вам прилетит абуза от хостера.

Неужели вам нужны все эти риски? Добавьте ваш домашний и рабочий IP в white-list. Даже если он динамический — залогиньтесь через админку хостера, через веб-консоль, и просто добавьте еще один.

Я 15 лет занимаюсь построением и защитой IT-инфраструктуры. Выработал правило, которое всем настоятельно рекомендую — ни один порт не должен торчать в мир без white-list'a.

Например, наиболее защищенный web-сервер*** — это тот, у которого открыты 80 и 443 только для CDN/WAF. А сервисные порты (ssh, netdata, bacula, phpmyadmin) должны быть как минимум за white-list'ом, а еще лучше за VPN. Иначе вы рискуете быть скомпрометированным.

У меня все. Держите свои порты закрытыми!

  • (1) UPD1: Здесь можно проверить свой крутой универсальный пароль (не делайте этого не заменив этот пароль на рандомные во всех сервисах), не засветился ли он в слитой базе. А тут можно посмотреть сколько сервисов было взломано, где фигурировал ваш email, и, соответственно, выяснить, не скомпрометирован ли ваш крутой универсальный пароль.
  • (2) К чести Amazon — на LightSail минимум сканов. Видимо, как-то фильтруют.
  • (3) Еще более защищенный web-сервер это тот, что за выделенным firewall'ом, своим WAF, но речь о публичных VPS/Dedicated.
  • (4) Segmentsmak.
  • (5) Firehol.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

  • network
  • masscan
  • cybersecurity
  • audit
  • threat defense

Хабы:

Источник: https://habr.com/post/446772/

Как разблокировать порты

Какие порты нужно закрыть для безопасности?

Любому пользователю ПК может потребоваться разблокировать порт в Windows. Причин для этого может быть несколько, но главная — при закрытых портах все программы, так или иначе связанные с сетью, не получают ответ на свою информацию. Чаще всего такая процедура проводится для взаимодействия с другими игроками в интерактивных компьютерных играх. Также открытые порты Windows постоянно используют приложения Viber, Skype и μTorren. Рассмотрим, как разблокировать порт на компьютере через брандмауэр в разных ОС. 

Как разблокировать порты Windows 10 в брандмауэре

(На примере открытия порта через брандмауэр для популярной игры Minecraft). Для разрешения доступа к порту необходимо создать правила для исходящего и входящего соединения. 

  1. Открыть «Панель управления»:
  2. Перейти в раздел «Система и безопасность»:
  3. Открыть пункт «Брандмауэр Защитника Windows»:
  4. Перейти в «Дополнительные параметры»:
  5. Перейти к созданию входящего и исходящего подключения — двух правил. Кликнуть на «Правила для входящих подключений» и выбрать «Создать правило»:
  6. Можно открыть отдельно порт для программы (1) или же открыть доступ компьютеру к нему полностью (2). Затем «Далее»:
  7. Minecraft по умолчанию использует порт 25565 и два протокола. Создать по 2 правила протокола (1). Не выбирать «Все локальные порты» (2). В строку (3) вписать 25565. Нажать «Далее»:
  8. Отметить пункт «Разрешить подключение» и снова кликнуть «Далее»:
  9. Настроить доступ профилей. «Далее»:
  10. Ввести имя правила и его описание. Для создания нажать кнопку «Готово». Такие же действия проделать с протоколом UDP:
  11. В главном окне выбрать пункт «Правила для исходящего подключения» и нажать «Создать правило». Проделайте операцию, описанную выше. В завершении настройки должно получиться 4 правила для порта 25565 (2 — на входящее подключение, 2 — на исходящее):

Если открытия в настройках брандмауэра недостаточно для работоспособности, можно выполнить открытие портов через антивирус или роутер.

Если вам нужно настроить прокси-сервер для отдельных программ или браузеров, используйте Proxy Switcher.

Как разблокировать порт в Windows 7

(Настройка производится в два этапа).

Первый этап.

  1. Открыть панель «Пуск» в нижнем левом углу экрана. Найти пункт «Все элементы панели управления», зайти в папку «Брандмауэр Windows 7» и перейти к «Дополнительным параметрам»:
  2. Строка «Правила для входящих подключений» в верхней части экрана обеспечит открытия каждого порта. Перейти к пункту «Правила для входящих подключений» и затем «Создать правило»:

Второй этап.

  1. В появившемся окне «Мастер создания…» выбрать «Тип правила» — «Для порта». Затем нажать «Далее»:
  2. В графе «Протоколы и порты» выбрать «Определенные локальные порты», ввести номер порта и диапазон, который необходимо открыть. Чтобы оставались открытыми сразу несколько портов, между номерами следует поставить дефис. «Далее»:
  3. Далее перейти к графе «Действие» и отметить «Разрешить подключение». Продолжить:
  4. Выбрать профили, для которых применяется правило и пройти далее:
  5. Создать имя правила и нажать «Готово»:

Когда утилита произведет некоторые действия, ее можно полностью закрыть.

Открыть порт в Сentos 7

(В качестве веб-сервера рекомендовано использование сервера Linux на CentOS).

  1. В терминале Centos выполнить последовательно такие команды:
  2. Перезагрузить iptables:

После вышеизложенных рекомендаций, как разблокировать порт на компьютере, переходим к инструкциям по разблокировке отдельных портов.

Открытие порта 80 и 443 в Windows 10

  1. В поисковой строке найти панель управления:
  2. Зайти в раздел «Брандмауэр защитника Windows»:
  3. Открыть «Дополнительные параметры»:
  4. Перейти в необходимый подпункт и выбрать функцию «Создать правило» (зависит от вида открываемого порта):
  5. Указать, что правило создаётся для порта.

    «Далее»:

  6. Для открытия порта 443 или настройки порта 80 необходимо выбрать нужный тип протокола и затем ввести данные. «Далее»:
  7. Для открытия порта выбрать вариант для разрешения подключения. Продолжить:
  8. Выбрать необходимые профили. «Далее»:
  9. Придумать имя и небольшое описание порта.

    Нажать «Готово»:

После окончания процедуры настройка порта 80 или разблокировка порта 433 будет завершена.

Как проверить, открыт ли порт 80

Проверить доступность порта 80 можно с помощью специальных серверов, так называемых онлайн-сканеров портов. Для этого нужно лишь ввести свой IP, выбрать необходимый порт и нажать «Проверить»:

Таким же образом можно проверить и другие порты.

Разблокировать порт 25565. Открыть для работы порт 25565

Как открыть порт 25565, описано выше в первой инструкции открытия порта в Windows 10 для игры Minecraft, которая по умолчанию использует данный порт.

Разблокировка порта 7777

В большинстве случав данный порт используется в сетях предприятий и открывается через роутер. 

Для этого в Windows нужно открыть окно «Home Gateway», перейти по схеме Advanced — NAT — Port Mapping и в «Настройках» («Settings») отметить тип порта «Customization», выбрать необходимые интерфейс подключения и протокол. Затем дважды ввести данные порта. Нажать «Submit» («Разместить»).

Как разблокировать порт 7777 пошагово, показано ниже:

Разблокировать порты 4950 и 4955. Открыть для работы порт 4950

Наиболее часто открытие портов 4950 и 4955 необходимо для игры Warframe. Настройка портов происходит непосредственно после скачивания игры. 

В настройках зайти в «Геймплей» и внизу перейти во вкладку «Сетевые порты (UDP)». Затем поменять порты на 4950, 4965 и «Подтвердить». Перезапустить игру. Здесь же можно изменить регион. 

Как разблокировать порты 4950 и 4955, изображено ниже:

Открыть порт 20

Открыть порт 20, как правило, требуется в FTP-сервере для активного режима, где он настроен по умолчанию. 

Открытие в большинстве случаев проводится через Windows 10 в брандмауэре (первое описание в статье, только в пункте 7 указать данные порта 20):

Пошаговая инструкция как открыть 27015 порт

Открытый порт 27015 необходим для сетевых действий. Проще всего его настройку провести через роутер.

Как открыть порт 27015, показано в рекомендациях ниже: 

  1. Зайти в настройках сети в категорию «Переадресация» — «Виртуальный сервер», выбрать порт 27015, затем нажать «Включить выбранное» и «Обновить»:
  2. Далее зайти в «Port Triggerring» и провести те же действия:
  3. Затем в том же пункте зайти в «DMZ», отметить «Включить» и ввести IP. Нажать «Сохранить»:
  4. В завершение перейти в «UPnP», проверить включенный режим в графе «Текущее состояние UPnP» и «Список текущих настроек UPnP», нажать «Обновить»:

Хотите узнать, как настроить прокси для любой программы на вашем компьютере? Прочитайте наш обзор софта ProxyCap.

Источник: https://proxy-seller.ru/blog/kak_razblokirovat_porty

Как закрыть порт iptables

Какие порты нужно закрыть для безопасности?

Серверы и компьютеры, подключенные к интернету подвержены атакам и сканированию различных скриптов, программ и злоумышленников. А поскольку известно, что во всех системах могут быть уязвимости, то лучше, чтобы извне было видно минимум портов.

Некоторые порты должны быть видны постоянно, например, порт веб-сервера, другие используются только системными администраторами, а еще одни, вообще, должны быть доступны только локально. Несмотря на то что все сервисы имеют методы авторизации, и не позволят подключиться кому попало, они могут быть уязвимы, поэтому все лишнее лучше закрыть. В этой статье мы рассмотрим как закрыть порт iptables. Мы закроем нужные порты полностью, а также сделаем некоторые из них доступными на время, после попытки подключения к определенному порту.

Как закрыть порт Iptables

В этой статье я не стану подробно рассматривать все возможности Iptables, виды цепочек и как работает эта служба. Все это мы рассмотрели в статье настройка Iptables для начинающих. Вместо этого, перейдем ближе к делу. Чтобы заблокировать порт нам сначала нужно понять какие порты открыты в Linux и за что они отвечают. Чтобы посмотреть какие порты слушаются локально, можно использовать утилиту netstat:

sudo netstat -ntulp

Для анализа портов, доступных извне используется программа nmap:

nmap localhost

Как видите, извне у нас, кроме стандартных портов веб-сервера, доступны mysql, ftp, dns и другие сервисы. Некоторые из них не должны быть доступны публично. Это не критично, но и нежелательно. Мы можем очень просто закрыть такие порты с помощью iptables. Общий синтаксис команды для блокировки порта будет выглядеть вот так:

$ iptables -A INPUT -p tcp —dport номер_порта -j DROP

Например, если мы хотим заблокировать порт iptables mysql, то необходимо выполнить:

sudo iptables -A INPUT -p tcp —dport 3306 -j DROP

Можно закрыть порт для определенного интерфейса, например, eth1:

sudo iptables -A INPUT -i eth1 -p tcp —dport 3306 -j DROP

Или даже для ip и целой подсети. Например, закрыть все подключения к порту 22 SSH кроме IP адреса 1.2.3.4:

sudo iptables -A INPUT -i eth1 -p tcp -s !1.2.3.4 —dport 22 -j DROP

Здесь знак восклицания означает инверсию, то есть применить ко всем кроме этого. Можно убрать этот знак и указать только IP, к которым нужно применить запрет. Мы рассмотрели как закрыть порт iptables в цепочке INPUT, которая отвечает за входящие соединения, это более применимо к серверам. Но что, если нужно закрыть подключение к удаленному порту из этого компьютера или нашей сети? Для этого существует цепочка OUTPUT.

Например, заблокируем попытки отправки почты подключением к любой машине по порту 25:

sudo iptables -A OUTPUT -p tcp —dport 25 -j DROP

Также, как и раньше, вы можете указать исходящий сетевой интерфейс, только теперь он указывается опцией -o:

sudo iptables -A OUTPUT -o eth1 -p tcp —dport 25 -j DROP

После того как вы завершите с настройкой портов нужно сохранить все созданные правила, чтобы они остались активными даже после перезагрузки. Для этого выполните:

sudo iptables-save

Чтобы посмотреть текущие правила для каждой из цепочек выполните:

sudo iptables -L -n -v

Такая команда покажет все правила, а если вы хотите только информацию о заблокированных портах, выполните:

sudo iptables -L -n -v | grep -i DROP

Очистить все правила в случае возникновения проблем можно командой:

sudo iptables -F

Закрыть порты iptables, кроме разрешенных

По умолчанию политика для цепочек INPUT и OUTPUT — разрешать все подключения, а уже с помощью правил мы указываем какие подключения стоит запретить. Но если вы хотите закрыть все порты кроме разрешенных iptables. То нужно поступить по-другому. Мы поменяем политику по умолчанию, так чтобы она запрещала все и разрешим только доступ к нужным портам.

Например, меняем политику для цепочки INPUT:

sudo iptables -P INPUT DROP

Затем разрешаем все входящие соединения от локального интерфейса:

sudo iptables -A INPUT -i lo -j ACCEPT

Затем разрешаем доступ к портам 80 и 22:

sudo iptables -A INPUT -i eth0 -p tcp —dport 80 —match state —state NEW -j ACCEPT
$ sudo iptables -A INPUT -i eth0 -p tcp —dport 80 —match state —state NEW -j ACCEPT

Как скрыть порт iptables?

Закрыть порт, это очень хорошо, но что если он нужен нам открытым и желательно, чтобы для других этот же порт был недоступен. Существует такая технология, как Port Knocking, которая позволяет открывать нужный порт только для определенного ip адреса и только после обращения его к нужному порту. Например, нам нужно защитить SSH от перебора паролей и несанкционированного доступа. Для этого все пакеты, которые будут приходить на порт 22, 111 и 112 мы будем перенаправлять в цепочку SSH.

Как вы уже догадались, порт 22 нам непосредственно нужен, на порты 111 и 112 будут включать его и отключать соответственно. Когда пользователь обратится к порту 111 мы укажем системе, что нужно присвоить всем его пакетам имя ssh, при обращении к порту 112 уберем этот флаг. А если пользователь решит зайти на 22 порт, то проверим присвоено ли этому пакету имя SSH, если да, то пропустим, в противном случае — отбросим.

Сначала создаем цепочку SSH:

sudo iptables -N SSH

Перенаправляем пакеты:

sudo iptables -A INPUT -p tcp —dport 22 -j SSH$ sudo iptables -A INPUT -p tcp —dport 111 -j SSH

$ sudo iptables -A INPUT -p tcp —dport 112 -j SSH

При обращении к порту 111 присваиваем IP адресу имя, сам пакет дальше не пускаем:

sudo iptables -A SSH -p tcp -m state —state NEW -m tcp —dport 111 -m recent —set —name SSH —rsource -j DROP

При обращении к 112 убираем имя у IP:

sudo iptables -A SSH -p tcp -m state —state NEW -m tcp —dport 112 -m recent —remove —name SSH —rsource -j DROP

И нам осталось только проверить имеет ли наш пакет, который пытается обратиться к 22 порту имя SSH и если да, то мы его одобряем:

sudo iptables -A SSH -p tcp -m state —state NEW -m tcp —dport 22 -m recent —rcheck —name SSH —rsource -j ACCEPT

Вот и все. Теперь для того чтобы открыть наш SSH порт будет достаточно попытаться подключиться к порту 111 с помощью telnet. Утилита сообщит, что произошла ошибка во время подключения, поскольку мы отбросили пакет:

telnet ip_адрес 111

Но зато теперь вы можете получить доступ к сервису SSH на порту 22. Чтобы снова закрыть порт выполните:

telnet ip_адрес 112

Даже при открытии, этот порт доступен только вашему ip адресу и больше никому другому. Но нужно заметить, что это не панацея. Кто-либо может случайно запросить порт, который предназначен для активации, и таким образом, открыть себе доступ к службе SSH. Так что надежные пароли и ключи шифрования это не отменяет.

Выводы

В этой статье мы рассмотрели как закрыть порт iptables, а также как его скрыть с возможностью подключения, когда это будет необходимо. Надеюсь, эта информация была для вас полезной.

Источник: https://losst.ru/kak-zakryt-port-iptables

Защита уязвимых сетевых портов

Какие порты нужно закрыть для безопасности?

В сети пакеты данных перемещаются в и из пронумерованных сетевых портов, связанных с конкретными IP-адресами и конечными точками, используя протоколы транспортного уровня TCP или UDP. Все порты потенциально подвержены риску атаки. Ни один порт не защищен на 100%. Имеется множество факторов, которые определяют безопасен порт или нет

Другие факторы включают в себя то, является ли порт просто тем, что злоумышленники выбрали, чтобы пропустить их атаки и вредоносное ПО, и оставить ли вы открытым порт.

Что делает эти порты уязвимыми?

В общей сложности имеется 65535 портов TCP и еще 65 535 портов UDP. Рассмотрим подробнее, TCP-порт 21 подключает FTP-серверы к Интернету. FTP-серверы обладают многочисленными уязвимостями, такими как анонимные возможности проверки подлинности, обход каталогов и межсайтовый скриптинг, что делает порт 21 идеальной целью для атак.

Несмотря на то, что многие службы очень полезны для работы, например, Telnet по TCP-порту 23, они уже изначально были небезопасными.

Хотя пропускная способность Telnet очень низкая, атакующие могут слушать, следить за учетными данными, вводить команды через атаки «человек-в-середине »и в конечном итоге выполнять удаленные кодовые исполнения (RCE)», — говорит Остин Норби, ученый-компьютер из Министерства обороны США (комментарии его собственные и не представляют взглядов любого работодателя).

Хотя некоторые сетевые порты создают хорошие точки входа для злоумышленников, другие делают хорошие маршруты эвакуации. TCP / UDP-порт 53 для DNS предлагает стратегию выхода.

 После того, как преступные хакеры внутри сети имеют свой приз, все, что им нужно сделать, чтобы вытащить его, — это доступное программное обеспечение, которое превращает данные в DNS-трафик. «DNS редко контролируется и даже реже фильтруется», — говорит Норби.

 После того, как злоумышленники безопасно будут сопровождать данные за пределами предприятия, они просто отправляют их через свой DNS-сервер, который они уникально разработали, чтобы перевести его обратно в первоначальную форму.

Чем чаще используется порт, тем проще будет скрывать атаки с другими пакетами. TCP-порт 80 для HTTP поддерживает веб-трафик, который получают веб-браузеры. Атаки на веб-клиентов, которые путешествуют по порту 80, включают в себя инъекции SQL, кросс-сайтные подделки, межсайтовый скриптинг и переполнение буфера.

Киберпреступники будут устанавливать свои услуги на отдельных портах. Атакующие используют TCP-порт 1080, который отрасль назначила для защищенных прокси-серверов SOCKS для поддержки вредоносного программного обеспечения и активности. Трояны и черви, такие как Mydoom и Bugbear, исторически использовали порт 1080 в атаках. Если сетевой администратор не настроил прокси-сервер SOCKS, его существование может указывать на злонамеренную активность.

Также хакеры любят использовать номера портов легкие к запоминанию, такие как последовательности чисел, такие как 234 или 6789, или один и тот же номер повторно, например 666 или 8888. Некоторые программы для бэкдоров и троянов открываются и используют TCP-порт 4444 для прослушивания и передачи вредоносного трафика извне и отправлять вредоносные полезные данные. Вредоносное программное обеспечение, такое как Prosiak, Swift Remote и CrackDown, использует этот порт.

Веб-трафик использует не только порт 80. HTTP-трафик также использует TCP-порты 8080, 8088 и 8888. Серверы, подключенные к этим портам, представляют собой в значительной степени устаревшие блоки, которые остались неуправляемыми и незащищенными, со временем увеличивая уязвимости. 

Более продвинутые злоумышленники используют порты 31337 TCP и UDP для знаменитого бэкдора Back Orifice и некоторых других вредоносных программ. На TCP-портах они включают Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night и BO-клиент; Примеры портов UDP — Deep BO. В «leetspeak», который использует буквы и цифры, 31337 кодовое слово «eleet», что означает элита.

Слабые пароли могут сделать SSH и порт 22 легкими целями. Порт 22, назначенный порт Secure Shell, который обеспечивает доступ к удаленным оболочкам на физическом сервере, уязвим, где техническая информация включает в себя учетные данные по умолчанию либо позволяет легко подобрать имена пользователей и пароли. Короткие пароли менее восьми символов с использованием знакомой фразы вместе с последовательностью цифр слишком просты для злоумышленников.

Криминальные хакеры все еще атакуют IRC, который работает на портах с 6660 по 6669. Было много уязвимостей IRC, таких как Unreal IRCD, которые допускают тривиальное удаленное выполнение злоумышленниками.

Некоторые порты и протоколы могут дать злоумышленникам широкий доступ. В этом случае порт 161 UDP привлекает злоумышленников, поскольку протокол SNMP, который используется для управления сетевыми машинами и для опроса пользователей. SNMP используется для запрашивания серверов на имена пользователей, общих сетевых ресурсов и другой информации. SNMP часто поставляется со строками по умолчанию, которые действуют как пароли.

Защита портов

Предприятие может защитить SSH, используя аутентификацию открытого ключа SSH, отключив логины от имени root и переместив SSH на более высокий номер порта, чтобы злоумышленники не смогли его легко найти. Если пользователь подключается к SSH с высоким номером порта, например, 25 000, для злоумышленников будет сложнее найти поверхность атаки для службы SSH.

Если ваше предприятие запускает IRC, держите его за брандмауэром. Не разрешайте трафик службы IRC, который поступает из-за пределов сети. Попросите пользователей VPN в сети использовать IRC.

Повторные номера портов и особенно длинные последовательности чисел редко представляют собой законное использование портов. Когда вы видите эти порты в использовании, убедитесь, что они настоящие. Отслеживайте и фильтруйте DNS, чтобы избежать эксфильтрации. И прекратите использовать Telnet и закройте порт 23.

Безопасность во всех сетевых портах должна включать защиту в глубину. Закройте все порты, которые вы не используете, используйте брандмауэры на базе хоста на каждом хосте, запустите сетевой брандмауэр следующего поколения, а также отслеживайте и фильтруйте порты. Выполняйте регулярные проверки портов, чтобы убедиться, что на любом порту не обнаружены уязвимости.

 Обратите особое внимание на прокси SOCKS или на любую другую службу, которую вы не настраивали. Зафиксируйте и закрепите любое устройство, программное обеспечение или услугу, подключенную к порту, до тех пор, пока в вашей резервной копии сетевых активов не будет никаких пробелов.

 Будьте начеку, поскольку новые уязвимости появляются в старом и новом программном обеспечении, которое злоумышленники могут достичь через сетевые порты.

Используйте последнюю версию любой поддерживаемой вами службы, настройте ее соответствующим образом и используйте надежные пароли; списки контроля доступа могут помочь вам ограничить, кто может подключаться к портам и службам. Чаще проверяйте свои порты и службы. Когда у вас есть такие сервисы, как HTTP и HTTPS, в которых вы можете неправильно настроить службу и случайно ввести уязвимость.

Безопасная гавань для опасных портов

Эксперты публикуют различные списки портов, которые имеют значительный риск, основанный на различных критериях, таких как тип или серьезность угроз, связанных с каждым портом, или степень уязвимости служб в данных портах. Ни один список не является всеобщим. Для дальнейшего изучения вы можете начать со списков с SANS.org , интернет- SpeedGuide и GaryKessler.net .

Источник: https://shop.ico.kz/news/security/protection_of_vulnerable_network_ports/

Атака на устройства в локальной сети через уязвимый роутер

Какие порты нужно закрыть для безопасности?

Если получен доступ к роутеру, можно ли получить доступ к устройствам в локальной сети? Чтобы ответить на этот вопрос, давайте разберёмся, как работает домашняя локальная сеть.

Как работает домашняя локальная сеть

В домашней локальной сети основой является роутер — довольно сложное сетевое устройство. Это устройство обеспечивает работу локальной сети. При подключении нового устройства к локальной сети роутера, он с помощью протокола DHCP присваивает новому устройству IP адрес. В качестве диапазона IP адресов в домашних сетях обычно используются 192.168.1.0/24, 192.168.0.0/24 или 192.168.100.0/24.

То есть у вашего компьютера или телефона, подключённого к Интернету через роутер, имеется локальный IP адрес.

Возможно вы уже слышали про NAT и даже знаете, что эта технология позволяет Интернет-провайдеру использовать один единственный внешний (белый) IP адрес для всех или для множества его клиентов. Но NAT используется не только на уровне провайдера Интернет услуг, но и уже в вашем роутере. Рассмотрим NAT чуть подробнее.

NAT

NAT — это технология, которая позволяет множеству устройств выходить в Интернет используя один и тот же IP адрес. Кстати, в вашей локальной сети, в которой имеется роутер, уже применяется NAT — именно благодаря этому все ваши устройства могут выходить в Глобальную сеть и не нужно каждому из них иметь внешний IP.

Как вы понимаете, это часто используемая технология. Возможно, вы много лет ею пользуетесь, даже не зная про неё. Она действительно приносит очень много пользы, но у неё есть недостаток — она позволяет делать подключения «в одну сторону». То есть если ваш компьютер инициализировал подключение к Интернету, то он отправит его роутеру, роутер сделает две вещи: 1) запомнит, что запрос пришёл с определённого устройства и 2) отправить этот запрос в Интернет. Когда придёт ответ, роутер всё ещё «помнит», что этот запрос был сделан для определённого устройства в локальной сети, и отправит ответ именно этому устройству. И так происходит каждый раз.

Но вот если на роутер придёт новый HTTP запрос из Глобальной сети (не ответ на запрос, а именно новый запрос), то роутер банально не знает, для кого в локальной сети он предназначен (если не настроена переадресация портов). Поэтому с этим поступившим запросом роутер ничего не делает (источник).

Можно ли получить доступ к компьютеру в локальной сети, если есть доступ к роутеру?

Вроде бы, ответ очевиден — технология NAT не даёт такой возможности в принципе: подключение к локальным устройствам, у которых нет белого IP, а есть только локальный IP вида 192.168.0.*, невозможен.

Но я начал с того, что роутер это весьма сложное сетевое устройство. И это устройство поддерживает множество функций по настройке сети, в частности оно поддерживает:

  • настройку статичных IP адресов для устройств в локальной сети минуя протокол DHCP
  • Forwarding портов

Forwarding портов

Forwarding, который ещё называют «переадресацией» портов, «проброской портов», «перенаправлением портов» или «Port mapping» (сопоставление портов) позволяет делать очень замечательную вещь — с его помощью устройства за NAT, то есть устройство в локальной сети, имеющее локальный IP адрес, могут стать доступными глобально. Правила могут быть настроены весьма гибкой, можно сделать пересылку нескольких портов на один, или с одного на несколько, или несколько на несколько и так далее. Но для наших целей больше всего интересно следующее правило, которое словами можно выразить так:

Запрос, который пришёл на порт роутера 22 перенаправить на порт 22 устройства с IP адресом 192.168.0.5.

Номера портов необязательно должны быть одинаковыми, поэтому правило может быть таким:

Запрос, который пришёл на порт роутера 50080 перенаправить на порт 80 устройства с IP адресом 192.168.0.5.

В результате мы получим доступ к порту 80 (его обычно прослушивает веб-сервер) устройства в локальной сети 192.168.0.5.

Это означает, что мы можем получить доступ к любому открытому порту и запущенному на нём службе в локальной сети! Это может быть веб-сервер, SSH, FTP, сетевые протоколы Windows и т.д.

Просмотр устройств локальной сети. Настройка статических адресов в локальной сети

Чтобы выполнить атаку на устройства в локальной сети через уязвимый роутер, нам нужно знать, какие у этих устройств локальные IP адреса.

Рассмотрим пример. В локальной сети провайдера есть роутер с IP адресом 100.69.64.23 к которому получен административный доступ.

Все (или практически все) роутеры могут показать информацию о подключённых в данный момент клиентах. Эта информация может быть:

  • на странице статуса роутера
  • на странице настройки DHCP
  • на странице статуса LAN (локальной сети)

Например, на этом роутере информация собрана на странице DHCP Clients List:

Данный роутер показывает всего лишь MAC-адрес и локальный IP адрес устройств. Многие роутеры кроме этой информации также показывают, является ли это мобильным устройством или настольным компьютером. Поскольку здесь такой информации нет, то мне нужно самостоятельно догадаться о типе устройства на основе его производителя. Производителя устройства можно узнать по MAC адресу на этом сервисе: https://suip.biz/ru/?act=mac

Например, для MAC 00:80:92:c4:6a:f9 найдена следующая информация:

008092 (base 16) Silex Technology, Inc. 2-3-1 Hikaridai, Kyoto 619-0237 JP

Меня не интересуют мобильные телефоны и планшеты — как правило, на них все порты закрыты. Меня интересуют ноутбуки и настольные компьютеры, поскольку на них могут быть запущены службы, которые прослушивают порты.

Из всех устройств самыми интересными мне показались следующие

00:80:92:c4:6a:f9 192.168.1.3 a0:f9:e0:28:02:16 192.168.1.2

Причина в следующем:

  • их MAC-адреса, вроде бы, не принадлежат производителям мобильных телефонов
  • их IP адреса являются самыми первыми — то есть к роутеру весьма вероятно вначале подключаются проводные устройства, а затем устройства по Wi-Fi
  • эти устройства отсутствуют в списке беспроводных клиентов:

Если атака планируется длительной, то определённым устройствам можно присвоить статичные IP адреса. Дело в том, что проброска портов настраивается относительно IP адреса. А целевое устройство через некоторое время может сменить IP адрес на произвольный. Если это случиться, то правила переадресации портов будут работать — просто теперь они будут отправлять пакеты другому устройству, которое заняло этот IP адрес.

Чтобы этого избежать можно привязать IP к MAC-адресу  — мне ещё не встречались роутеры, которые не умеют этого делать. Настройка выполняется достаточно просто.

Настройка переадресации портов

В зависимости от модели роутера эта вкладка может называться

  • Forwarding
  • Port Forwarding
  • Port mapping
  • Переадресация портов
  • другие варианты

Например, на рассматриваемом роутере эту вкладку я нашёл по пути Application → Port Forwarding:

Всего портов 1-65535 и роутеры позволяют делать переадресацию диапазонов, то есть 65 тысяч портов не придётся настраивать по одному.

Но есть очень важное замечание — мы не можем настроить переадресацию того порта, на котором работает веб-сервер роутера. То есть если роутер открывается на 80 порту, то этот порт должен стать исключением. Иначе произойдёт следующее: ни мы, ни даже владелец роутера больше не сможем попасть в панель администрирования роутера пока не будут сброшены настройки на заводские.

Обратите внимание, что некоторые роутеры работают не на 80, а на 8080 или 443 порте.

Итак, если веб-интерфейс роутера работает на 80 порту и мы хотим получить доступ к локальным ресурсам устройства с IP 192.168.1.2, то нам нужно установить следующие три правила:

  • Переадресацию портов 1-79 на 1-79 порты адреса 192.168.1.2
  • Переадресацию портов 81-65534 на 81-65534 порты адреса 192.168.1.2
  • Переадресацию порта 65535 на 80 порт адреса 192.168.1.2

Первые два правила с диапазонами (надеюсь) очевидны. Третьим правилом мы перенаправляем запросы, пришедшие на порт 65535, на 80 порт локального компьютера, поскольку там может быть веб-сервер или что-то другое интересное.

Начнём с того, что сделаем контрольный замер, какие именно порты открыты:

sudo nmap 100.69.64.23

Эта команда покажет открытые порты на роутере:

Добавляем первое правило:

Второе:

Третье:

Получаем:

Заново сканируем порты:

sudo nmap 100.69.64.23

Констатируем — нас постигла неудача. 80-й порт — это порт самого роутера, а на устройстве с IP 192.168.1.2 просканированные порты закрыты.

Не отчаиваемся — переделываю все правила на переадресацию портов на IP 192.168.1.3:

И опять сканируем порты:

sudo nmap 100.69.64.23

Поясню, хотя команда Nmap одна и та же, но на самом деле в предыдущий раз мы сканировали порты устройства в локальной сети с IP 192.168.1.2. А последняя команда уже сканирует порты на 192.168.1.3.

А вот здесь нам повезло:

Starting Nmap 7.80 ( https://nmap.org ) at 2019-09-29 09:08 MSK Nmap scan report for 100.69.64.23 Host is up (0.017s latency). Not shown: 993 closed ports PORT STATE SERVICE 21/tcp open ftp 23/tcp open telnet 80/tcp open http 443/tcp open https 515/tcp open printer 631/tcp open ipp 9100/tcp open jetdirect Nmap done: 1 IP address (1 host up) scanned in 5.83 seconds

Напомню, что все эти порты, кроме 80, открыты на устройстве, у которого даже нет белого IP адреса, у него IP адрес 192.168.1.3.

А как проверить 80 порт на 192.168.1.3? Делаем это так:

sudo nmap -p 65535 100.69.64.23

Порт оказался закрыт.

Чтобы собрать информацию об отрытых портах, изучим их баннеры:

sudo nmap -sV —script=banner 100.69.64.23

Получаем:

PORT STATE SERVICE VERSION 21/tcp open ftp Brother/HP printer ftpd 1.13 | banner: 220 FTP print service:V-1.13/Use the network password for the I |_D if updating. 23/tcp open telnet Brother/HP printer telnetd |_banner: \x1B[2J\x1B[1;1f 80/tcp open http GoAhead WebServer 2.5.0 (PeerSec MatrixSSL 3.4.2) |_http-server-header: GoAhead-Webs/2.5.0 PeerSec-MatrixSSL/3.4.2-OPEN 443/tcp open ssl/http Debut embedded httpd 1.20 (Brother/HP printer http admin) 515/tcp open printer 631/tcp open ipp? 9100/tcp open jetdirect? Service Info: Device: printer

Не очень интересно — видимо, это всё функции связанные с принтером.

Чтобы подключиться к HTTPS порту, достаточно открыть ссылку в веб-браузере: https://100.69.64.23:443

А там мы видим интерфейс многофункционального устройства (принтер-копер-сканер) MFC-J5910DW:

Ещё раз для тех, кто потерялся, это устройство с IP адресом 192.168.1.3!

Также я сумел подключиться к FTP:

Заключение

Это самый универсальный способ атаки на локальную сеть с уязвимым роутером, поскольку практически все роутеры поддерживают переадресацию портов.

Другие варианты атак:

  • подмена DNS на сервера злоумышленника и манипуляция трафиком на основе поддельных DNS ответов (подвержены все роутеры) (см. Применение фальшивого DNS)
  • перенаправление трафика с помощью VPN канала на оборудование злоумышленника (подвержены только более продвинутые модели с поддержкой VPN) (см. Применение фальшивого VPN (атака человек-посередине+обход HSTS))
  • доступ к медиа носителям, подключённым к роутеру (подвержены только модели с такой функциональностью)

Связанные статьи:

Источник: https://HackWare.ru/?p=10098

Как закрыть порты Windows

Какие порты нужно закрыть для безопасности?

Каждый день владельцы ПК сталкиваются с огромным количеством опасных программ и вирусов, которые так или иначе попадают на жесткий диск и становятся причиной утечки важных данных, поломки компьютера, кражи важной информации и других неприятных ситуаций.

Чаще всего заражаются компьютеры, работающие на ОС Windows любых версий, будь то 7, 8, 10 или любая другая. причина такой статистики – входящие подключения к ПК или «порты», которые являются слабым местом любой системы из-за своей доступности по умолчанию.

Слово «порт» – это термин, подразумевающий порядковый номер входящих подключений, которые направляются на ваш ПК от внешнего программного обеспечения. Часто бывает так, что эти порты используют вирусы, запросто проникающие на ваш компьютер при помощи IP-сети.

Вирусное программное обеспечение, попав в компьютер через такие входящие подключения, быстро заражает все важные файлы, причём не только пользовательские, но и системные. Чтобы этого избежать, мы рекомендуем закрыть все стандартные порты, которые могут стать вашим уязвимым местом при атаке хакеров.

Какие порты у Windows 7-10 самые уязвимые?

Многочисленные исследования и опросы специалистов показывают, что до 80% вредоносных атак и взломов происходили при помощи четырех основных портов, использующихся для быстрого обмена файлами между разными версиями Windows:

  • TCP порт 139, необходимый для удаленного подключения и управления ПК;
  • TCP порт 135, предназначенный для выполнения команд;
  • TCP порт 445, позволяющий быстро передавать файлы;
  • UDP порт 137, с помощью которого проводится быстрый поиск на ПК.

Закрываем порты 135-139 и 445 в Виндовс

Мы предлагаем вам ознакомиться с самыми простыми способами закрытия портов Виндовс, которые не требуют дополнительных знаний и профессиональных навыков.

Используем командную строку

Командная строка Windows – это программная оболочка, которая используется для задания определенных функций и параметров софту, не имеющему собственной графической оболочки.

Для того чтобы запустить командную строку, необходимо:

  1. Одновременно нажать сочетание клавиш Win+R
  2. В появившейся командной строке ввести CMD
  3. Нажать на кнопку «ОК»

Появится рабочее окно с чёрным фоном, в котором необходимо поочередно вводить нижеприведенные команды. После каждой введенной строчки нажимайте клавишу Enter для подтверждения действия.

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=»Block1_TCP-135″ (команда для закрытия порта 135)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=»Block1_TCP-137″ (команда для закрытия порта 137)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=»Block1_TCP-138″ (команда для закрытия порта 138)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″ (команда для закрытия порта 139)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″ (команда для закрытия порта 445)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″

Шесть приведенных нами команд необходимы для: закрытия 4х уязвимых TCP-портов Windows (открытых по умолчанию), закрытия UDP-порта 138, а также закрытия порта 5000, который отвечает за выведение списка доступных сервисов.

Закрываем порты сторонними программами

Если вы не хотите тратить время на работу с командной строкой, мы предлагаем вам ознакомиться со сторонними приложениями. Суть такого софта заключается в правке реестра в автоматическом режиме с графическим интерфейсом, без необходимости в ручном введении команд.

По мнению наших пользователей, самой популярной программой для этих целей является Windows Doors Cleaner. Она поможет с лёгкостью закрыть порты на компьютере с ОС Windows 7/8/8.1/10. Более старые версии операционных систем, к сожалению, не поддерживаются.

Как работать с программой, закрывающей порты

Для того чтобы воспользоваться Windows Doors Cleaner, необходимо:

1. Скачать софт и установить его2. Запустить программу, нажав на ярлык правой кнопкой мыши и выбрав «запустить от имени администратора»3. В появившемся рабочем окне будет список портов и кнопки «Сlose» или «Disable», которые закрывают уязвимые порты Windows, а также любые другие по желанию

4. После того, как необходимые изменения были внесены, необходимо перезагрузить систему

Источник: http://vpnhook.com/kak-zakrit-porti-v-windows/

Как закрыть порт 445 на Windows 10 разными способами

Какие порты нужно закрыть для безопасности?

Для решения разных задач, связанных с локальной сетью или интернетом, Windows 10 использует заранее определённые порты. Один из них, находящийся под номером 445, в некоторых случаях рекомендуется закрыть вручную, несмотря на то, что операционная система включает его автоматически.

Что такое TCP-порт

Порт 445 является одним из TCP-портов. TCP — это протокол, то есть набор условий и правил, обеспечивающий стабильное взаимодействие между несколькими устройствами через интернет. Этот протокол, как и всё остальные, устанавливает определённый формат передачи информации. Если бы его не было, то, например, с одного устройства пакет информации отправлялся бы в виде строки «Пользователь: Name», в то время как другое устройство ожидало увидеть строку «Name — пользователь», вследствие чего оно не смогло бы правильно обработать запрос и интернет-соединение прервалось.

TCP протокол также обеспечивает безопасность, выполняя проверку IP-адреса (уникального номера устройства) при отправке каждого пакета данных. Благодаря этому даже если в поток пересылаемой информации внедрится какое-либо постороннее устройство, данные ему отправлены не будут.

За что отвечает порт 445

Порт под номером 445 — один из многих, работающих по протоколу TCP. Но у него есть определённая задача, которой не занимаются другие порты, — обеспечение соединения между общими принтерами, сканерами и папками. Общими называются устройства и данные, доступ к которым можно получить с любого компьютера, а не только с того, к которому они подключены или на котором находятся.

Например, к общему принтеру можно подключиться с компьютера, не имеющего прямого кабельного соединения с печатающим устройством. Для этого нужно выполнить соединение с компьютером, к которому подключён кабель от принтера, через порт 445. После этого пользователь устройства сможет отправлять на принтер команды (начать печать, остановить её и т. д.) без физического подключения к нему.

Имея подключение к порту 445, можно также просматривать содержимое жёсткого диска и изменять его.

Почему порт 445 стоит закрыть

С одной стороны, порт 445 будет полезен, если вы работаете на нескольких компьютерах сразу: можно наладить быстрый обмен данными и управление устройствами, подключёнными к другому компьютеру, через интернет. С другой — открытый порт 445 подвергает вас опасности. Опытные люди могут использовать его как уязвимость операционной системы: подключатся к нему и получат доступ к вашим файлам, находящимся на жёстком диске.

Если вы не собираетесь использовать возможности этого порта или храните в памяти компьютера важные файлы, воспользуйтесь нижеописанными инструкциями, чтобы закрыть порт, залатав тем самым одну из потенциально опасных дыр Windows.

Как проверить, открыт ли порт

Перед тем как закрыть порт вручную, стоит проверить, открыт ли он на данный момент. По умолчанию Windows 10 открывает его. Но некоторые сторонние антивирусы, а точнее — брандмауэры (программы, занимающиеся обеспечением безопасности в сети), могут его закрыть.

  1. Разверните поисковую строку Windows, нажав на иконку в виде лупы, находящуюся в левом нижнем углу экрана. Введите запрос cmd и разверните командную строку с правами администратора, кликнув по ней правой клавишей мыши.Запускаем командную строку от имени администратора
  2. Пропишите команду netstat –na и выполните её. На экране появится список портов и их состояние. Отыщите строку, относящуюся к порту 0.0.0.445, и посмотрите в графу «Состояние» (последний столбец). Если там указано слово Listening, то есть «слушается», порт открыт и придётся закрывать его самостоятельно.Выполняем запрос nestat -na

Закрываем порт

В Windows 10 есть несколько способов, позволяющих закрыть порт 445. Если один из них по каким-то причинам не сработает, прибегните к помощи другого. Но какой бы метод вы ни выбрали, результат будет один — порт 445 перестанет слушаться, то есть подключиться к нему будет нельзя.

При помощи брандмауэра

Брандмауэр — это программа, занимающаяся обеспечением безопасности пользователя, работающего с интернетом, поэтому с помощью неё можно заблокировать потенциально опасные порты. В Windows 10 есть встроенный брандмауэр, который справится с этой задачей:

  1. Разверните поисковую строку Windows, нажав на иконку в виде лупы, находящуюся в левом нижнем углу экрана. Пропишите запрос «Брандмауэр Windows» и разверните найденный вариант.Открываем параметры брандмауэра
  2. В развернувшемся окне панели управления нажмите на строчку «Дополнительные параметры».Открываем дополнительные параметры брандмауэра
  3. Перейдите в папку «Правила для входящих подключений» и начните создание нового правила.Нажимаем кнопку «Создать правило»
  4. Укажите, что правило будет создаваться для порта, и перейдите к следующему шагу.Указываем вариант «Для порта»
  5. Поставьте галочку напротив строки «Протокол TCP» и пропишите порт 445.Выбираем протокол TCP и порт 445
  6. Выберите вариант «Блокировать подключение».Выбираем «Блокировка подключения»
  7. Не снимайте галочки со всех трёх пунктов, пусть блокировка распространяется на всё уровни.Оставляем применение созданного правила для всех профилей
  8. Пропишите понятное название и описание, которое в будущем позволит вам вспомнить, за что отвечает созданное правило — вдруг вам или другому пользователю придётся разблокировать этот порт.Указываем имя и описание для задачи

При помощи командной строки

Командная строка позволяет управлять всеми настройками системы. В том числе через неё можно открывать и закрывать порты:

  1. Разверните поисковую строку Windows, нажав на иконку в виде лупы, находящуюся в левом нижнем углу экрана. Введите запрос cmd и разверните командную строку с правами администратора, кликнув по ней правой клавишей мыши.
  2. Сначала выполните команду netsh advfirewall set allprofile state on, а после — netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=«Block_TCP-445».Выполняем запрос netsh advfirewall set allprofile state on и netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=«Block_TCP-445»

Проделав два вышеописанных шага, вы создадите то же самое правило для брандмауэра, как бы сделали это при помощи настройки брандмауэра.

При помощи реестра

В реестре хранятся значения для всех параметров операционной системы. Изменяя их, можно активировать или деактивировать порт:

  1. Нажмите комбинацию клавиш Win + R, чтобы вызвать окно быстрого доступа. Пропишите в нём запрос regedit и выполните его.Выполняем запрос regedit
  2. Оказавшись в реестре, проследуйте по следующим разделам: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servicesetBT\Parameters. В конечной папке кликните по пустому месту правой клавишей мыши для вызова контекстного меню, выберите функцию «Создать» — «DWORD 32-bit» (или «DWORD 64-bit», если у вас стоит 64-битная Windows 10). Задайте имя созданному параметру — SMBDeviceEnabled, а после кликните по нему дважды левой клавишей мыши и убедитесь, что его значение — 0 (ноль).Открываем раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servicesetBT\Parameters и создаем параметр SMBDeviceEnabled

После выполнения всех шагов закройте реестр и перезагрузите компьютер, чтобы изменения вступили в силу.

При помощи WWDC

WWDC — сторонняя программа, упрощающая процесс включения и отключения портов. Официальный сайт, с которого можно скачать приложение — http://wwdc.toom.su (на момент написания статьи недоступен).

После того как вы загрузите и откроете программу, появится список портов и их состояние: enable — включён, disable — приостановлен, close — закрыт. Отыщите среди всех портов номер 445 и кликните по кнопке, находящейся под его названием — его состояние изменится. Вы должны установить вариант close.

Устанавливаем порту 445 значение close

После того как нужный параметр будет установлен, изменения вступят в силу и порт 445 будет закрыт.

: как закрыть порт в Windows 10

Порт 445 отвечает за удалённую работу с общими принтерами и папками. Его минус заключается в том, что он снижает уровень защиты системы. Чтобы обезопасить себя от вирусов, стоит закрыть этот порт, прибегнув к помощи брандмауэра, командной строки, реестра или приложения WWDC.

  • Денис Долгополов
  • Распечатать

Источник: https://winda10.com/nastrojki/kak-zakryt-445-port-na-windows-10.html

Защита частных портов с помощью IPSec

Какие порты нужно закрыть для безопасности?

13.09.2002 Рэнди Франклин Смит

Однако на сервере обычно есть и другие открытые порты, которые обеспечивают выполнение таких действий, как управление содержимым Web-сервера, администрирование и обновление информации, поступающей из баз данных компании или ее партнеров.

Например, если администрировать Web-сервер IIS с удаленного компьютера через браузер, то доступ к сайту Administration Web Site сервера IIS следует предоставить как можно меньшему количеству компьютеров. При работе с Windows 2000 Server Terminal Services доступ к порту 3389 также будет предоставлен ограниченному числу рабочих станций.

Если на Web-сервере активизирован ftp-сервер для управления содержимым или обмена файлами с базой данных, то такой же узкий круг компьютеров получит доступ к портам 20 и 21. Рекомендуется также защитить службы telnet (порт 23) и Remote Registry (порт 135).

Частные порты представляют собой уязвимые точки входа на Web-сервер; кроме того, регулярно обновлять службы, связанные с этими портами, с помощью программных заплат и пакетов исправлений не так просто. Лучше воспользоваться функциями IP Security (IPSec) Windows 2000. Можно создать политику IPSec, в рамках которой любой компьютер будет подключаться к частным портам только через шифрованное соединение IPSec с аутентификацией.

Как действует политика IPSec

Надежные методы аутентификации, применяемые в политике IPSec, позволяют ограничить круг компьютеров, которые могут установить соединение с портом. Кроме того, IPSec шифрует все последующие операции связи и проверяет целостность данных. Эти действия IPSec на работу служб и клиентских приложений, использующих порт, не влияют.

В то же время такие службы, как Terminal Services, фактически получают дополнительную защиту, даже если администратор ошибся, настраивая параметры безопасности Terminal Services, или взломщик нашел уязвимое место в конкретной версии Terminal Services.

Сервер защищен даже от атак DoS, направленных против Terminal Services, и любой другой частной службы, защищенной с помощью IPSec.

Уровень защиты сервера повышается, так как IPSec не всякому компьютеру позволяет подключиться к соответствующему порту. Чтобы подключиться к защищенному с помощью IPSec порту, компьютер должен быть признан доверенным с использованием одного из трех методов аутентификации: Kerberos, заранее переданного (preshared) секретного ключа или метода на базе сертификатов.

В отсутствие IPSec соединению сервера с посторонними компьютерами можно помешать лишь с помощью фильтра по IP-адресу источника. Процедура фильтрации источника в случае подмены не поможет, в отличие от фильтрации IPSec (подмена, или спуфинг, заключается в том, что взломщик посылает пакеты, в которых адрес источника заменяется на фальшивый, в результате чего целевой компьютер полагает, что установлена связь с доверенной машиной).

Помимо аутентификации каждого пакета, IPSec проверяет целостность данных, обнаруживая и отвергая измененные пакеты, и предотвращает захват сеанса.

Для защиты частных портов с использованием IPSec необходимо выполнить единственное условие — компьютеры, которые обращаются к этому порту, должны поддерживать IPSec. Соединение IPSec проще организовать между компьютерами Windows 2000 и XP. При написании данной статьи я исходил из того, что к частным портам Web-сервера обращаются компьютеры Windows 2000. Для связи с Web-сервером их необходимо дополнить политиками IPSec (уровень безопасности и аутентификации клиента должен быть согласован с сервером).

Активизация политики IPSec

Для каждого компьютера Windows 2000 можно назначить (активизировать) одну политику IPSec. Политика представляет собой набор правил, как видно из экземпляра политики (см. Рисунок 1). По правилу фильтруются пакеты, отвечающие заданному критерию, а затем над пакетом выполняется одно из трех действий: блокировка, разрешение или согласование мер безопасности. Три основных компонента правила — список IP-фильтров, действия фильтров и методы аутентификации.

В списке указаны фильтры, состоящие из комбинации протоколов (например, TCP, UDP), IP-адресов источника и приемника, и номера портов — похоже на брандмауэр, который фильтрует указанные элементы. После того как пакет поступает в список фильтров, Windows 2000 переходит ко второй части правила и применяет фильтр. Администратор может указать, следует ли пропустить пакет, блокировать его или согласовать (negotiate) безопасное соединение IPSec. Согласованное соединение IPSec должно находиться в режиме Authentication Header (AH) или Encapsulating Security Payload (ESP).

В режиме AH выполняются аутентификация и проверка целостности каждого пакета. В режиме ESP шифруется все содержимое пакета, за исключением адреса назначения.

Третья часть правила содержит методы аутентификации. Чтобы разрешить или блокировать действия, метод аутентификации указывать не нужно.

Но если в правиле предусмотрено согласование мер безопасности, то необходимо активизировать хотя бы один из трех методов аутентификации (если активизировано более одного метода аутентификации, то два компьютера сравнивают свои методы, пока не будет найден общий). Существуют следующие методы: Kerberos, заранее переданный (preshared) секретный ключ и аутентификация на базе сертификатов.

В отличие от таблиц маршрутизаторов и брандмауэров, последовательность правил в политике или фильтров в списке значения не имеет. Можно указать блокирующее или согласующее правило с широким списком фильтров, затем открыть порты с помощью разрешающего правила, список фильтров которого содержит только общедоступные порты. Windows 2000 автоматически применяет к каждому пакету соответствующее правило.

Защита частных портов

Самый простой способ защитить частные порты Web-сервера — создать общее правило, которое требует согласования мер безопасности для всех соединений Web-сервера с компьютерами с любыми адресами. Затем следует создать специальное правило, которое разрешает соединения с общедоступными портами, такими, как 80 и 443, без использования IPSec (см. Рисунок 2). Для общего правила, требующего согласования мер безопасности, следует выбрать режим AH или ESP.

Если нужно добиться, чтобы к порту обращались только доверенные компьютеры, но чтение данных в пакетах посторонними лицами не представляет опасности, можно использовать режим AH. Некоторые приложения, такие, как Terminal Services, уже шифруют пересылаемые ими данные частично или полностью.

ESP превосходно обеспечивает конфиденциальность (в режиме ESP шифруются даже номера портов). Кстати, в ходе проведенного мною тестирования выяснилось, что IPSec почти не влияет на производительность. Для пересылки файла размером не менее 2 Гбайт без IPSec потребовалось около 45 мин.

При использовании IPSec в режиме ESP пересылка файла заняла всего на 3 мин больше.

Благодаря гибкости правил IPSec, взломщик не получит доступа к Web-серверу через частные порты, используемые для администрирования или обновления сервера. При реализации описанного подхода (создание общего правила с защитой всех портов с помощью IPSec) нельзя забывать об исключении, разрешающем неограниченный доступ к таким портам, как 80 и 443. В противном случае Web-сервер для широкого круга пользователей будет недоступен.

Я описал общие принципы ограничения доступа к частным портам Web-сервера, но каким образом IPSec определяет, что сервер связан с доверенным компьютером? Администратору предстоит выбрать метод аутентификации.

В политике IPSec проще всего определить метод Kerberos, так как при этом не возникает необходимости в дополнительном обмене ключами или запросах сертификатов. Но Kerberos не подходит для компьютеров, не входящих в состав доверенных доменов, поэтому выбор сводится к заранее переданному секретному ключу и аутентификации на базе сертификатов.

В следующей статье я расскажу о достоинствах и недостатках каждого метода аутентификации для Web-серверов. На примере тестового Web-сервера я покажу, как использовать защиту IPSec.

РЭНДИ ФРАНКЛИН СМИТ — редактор Windows & .NET Magazine и президент компании Monterey Technology Group, которая занимается обучением и консалтингом в области защиты Windows NT. Связаться с ним можно по адресу: rsmith@montereytechgroup.com.

Защита частных портов с помощью IPSec

Поделитесь материалом с коллегами и друзьями

Источник: https://www.osp.ru/winitpro/2002/06/175580/