Asegurando puertos de red riesgosos, seguridad web, informática

Asegurando puertos de red riesgosos, seguridad web, informática. Los paquetes de datos viajan hacia y desde los puertos de red numerados asociados con direcciones IP y puntos finales particulares, utilizando los protocolos de capa de transporte TCP o UDP. Todos los puertos están potencialmente en riesgo de ataque. Ningún puerto es nativo seguro.

Cada puerto y servicio subyacente tiene sus riesgos. ¿El riesgo proviene de la versión del servicio, si alguien lo ha configurado correctamente y, si hay contraseñas para el servicio, si estas son seguras? Hay muchos más factores que determinan si un puerto o servicio es seguro . Otros factores incluyen si el puerto es simplemente uno que los atacantes han seleccionado para pasar sus ataques y malware y si deja el puerto abierto.

Los expertos en seguridad informática examinan los puertos de red de riesgo en función de las aplicaciones, las vulnerabilidades y los ataques relacionados, y proporciona enfoques para proteger a la empresa de piratas informáticos malintencionados que hacen un mal uso de estas aperturas.

¿Qué hace que estos puertos sean riesgosos?

Hay un total de 65,535 puertos TCP y otros 65,535 puertos UDP; Veremos algunos de los más «problemáticos». El puerto TCP 21 conecta los servidores FTP a internet. Los servidores FTP llevan numerosas vulnerabilidades, como las capacidades de autenticación anónima, los recorridos de directorios y los scripts entre sitios, lo que convierte al puerto 21 en un objetivo ideal.

Si bien algunos servicios vulnerables tienen una utilidad continua, los servicios heredados como Telnet en el puerto TCP 23 eran fundamentalmente inseguros desde el principio. Aunque su ancho de banda es pequeño en unos pocos bytes a la vez, Telnet envía los datos completamente desenmascarados en texto claro. Los atacantes pueden escuchar, vigilar las credenciales, inyectar comandos a través de ataques [de intermediarios] y, en última instancia, realizar ejecuciones remotas de código (RCE).
Mientras que algunos puertos de red son buenos puntos de entrada para los atacantes, otros son buenas rutas de escape. El puerto TCP / UDP 53 para DNS ofrece una estrategia de salida. Una vez que los piratas informáticos criminales dentro de la red tienen su premio, todo lo que deben hacer para salir de la puerta es utilizar un software disponible que convierte los datos en tráfico DNS.

El DNS rara vez se monitorea y aún más raramente se filtra. Una vez que los atacantes escoltan de forma segura los datos más allá de la empresa, simplemente los envían a través de su servidor DNS, que han diseñado de forma única para traducirlos de nuevo a su forma original.
Cuanto más comúnmente se usa un puerto, más fácil puede ser infiltrarse en los ataques con todos los demás paquetes. El puerto TCP 80 para HTTP admite el tráfico web que reciben los navegadores web. Según los especialistas en seguridad web, los ataques a clientes web que viajan a través del puerto 80 incluyen inyecciones de SQL, falsificaciones de solicitudes entre sitios, secuencias de comandos entre sitios y sobrecargas de búfer.

Los ciberdelincuentes establecerán sus servicios en puertos individuales. Los atacantes utilizan el puerto TCP 1080, que la industria ha designado para los proxies «SOCKS» seguros de socket, en apoyo de software malicioso y actividad. Los caballos de Troya y los gusanos como Mydoom y Bugbear han usado históricamente el puerto 1080 en ataques. Si un administrador de red no configuró el proxy SOCKS, su existencia podría indicar una actividad maliciosa.
Cuando los piratas informáticos se vuelven indiferentes, utilizan números de puerto que pueden recordar fácilmente, como secuencias de números como 234 o 6789, o el mismo número repetidamente, como 666 o 8888. Algunos programas de puerta trasera y troyanos se abren y usan el puerto TCP 4444 para escuchar en, comuníquese, reenvíe el tráfico malicioso desde el exterior y envíe cargas maliciosas. Algunos programas maliciosos que han usado este puerto incluyen Prosiak, Swift Remote y CrackDown.

El tráfico web no usa el puerto 80 solo. El tráfico HTTP también utiliza los puertos TCP 8080, 8088 y 8888. Los servidores conectados a estos puertos son en gran medida cajas heredadas que no se han administrado ni están protegidas, acumulando vulnerabilidades crecientes a lo largo del tiempo. Los servidores en estos puertos también pueden ser proxies HTTP, que, si los administradores de la red no los instalaran, podrían representar un problema de seguridad dentro del sistema.

Supuestamente, los atacantes de élite han usado los puertos TCP y UDP 31337 para la famosa puerta trasera Back Orifice y algunos otros programas de software malicioso. En el puerto TCP, estos incluyen Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night y BO cliente para nombrar varios; ejemplos en el puerto UDP incluyen Deep BO. En «leetspeak», que usa letras y números, 31337 deletrea «eleet», que significa «élite».

Las contraseñas débiles pueden hacer que SSH y el puerto 22 sean objetivos fáciles. El puerto 22, el puerto designado de Secure Shell que permite el acceso a shells remotos en el hardware del servidor físico es vulnerable donde las credenciales incluyen nombres de usuario y contraseñas predeterminados o fáciles de adivinar. Las contraseñas cortas de menos de ocho caracteres que usan una frase familiar junto con una secuencia de números son demasiado fáciles de adivinar para los atacantes.

Los piratas informáticos criminales siguen atacando el IRC, que se ejecuta en los puertos 6660 a 6669. Ha habido muchas vulnerabilidades del IRC, como el IRCD Unreal que permite la ejecución remota trivial por parte de los atacantes.

Algunos puertos y protocolos pueden dar a los atacantes un gran alcance. En este caso, el puerto UDP 161 atrae a los atacantes porque el protocolo SNMP, que es útil para administrar máquinas en red e información de sondeo, envía tráfico a través de este puerto. SNMP le permite consultar el servidor para nombres de usuario, recursos compartidos de red y otra información. SNMP a menudo viene con cadenas predeterminadas que actúan como contraseñas .

Protección de puertos, servicios y vulnerabilidades.

La empresa puede proteger SSH usando la autenticación de clave pública SSH, deshabilitando los inicios de sesión como root y moviendo SSH a un número de puerto más alto para que los atacantes no lo encuentren fácilmente. Si un usuario se conecta a SSH en un número de puerto alto como 25,000, será más difícil para los atacantes ubicar la superficie de ataque para el servicio SSH.

Si su empresa ejecuta IRC, manténgala detrás del firewall. No permita ningún tráfico al servicio IRC que viene de fuera de la red. Haga que los usuarios tengan VPN en la red para usar IRC.

Los números de puertos repetidos y especialmente las secuencias largas de números rara vez representan un uso legítimo de los puertos. Cuando vea estos puertos en uso, asegúrese de que sean genuinos. Monitoriza y filtra DNS para evitar la exfiltración. Y deja de usar Telnet y cierra el puerto 23.

La seguridad en todos los puertos de red debe incluir defensa en profundidad. Cierra cualquier puerto que no uses, usa firewalls basados en host en cada host, ejecuta un firewall de próxima generación basado en red y monitorea y filtra el tráfico del puerto.

Realice exploraciones de puertos regulares como parte de las pruebas de lápiz para asegurarse de que no haya vulnerabilidades no controladas en ningún puerto. Preste especial atención a los servidores proxy de SOCKS o cualquier otro servicio que no haya configurado. Parchee y refuerce cualquier dispositivo, software o servicio conectado al puerto hasta que no haya abolladuras en la armadura de sus activos en red. Sea proactivo a medida que aparezcan nuevas vulnerabilidades en el software antiguo y nuevo al que los atacantes pueden acceder a través de los puertos de red.

Use la última versión de cualquier servicio que admita, configuración adecuada y use contraseñas seguras; Las listas de control de acceso pueden ayudarlo a limitar quién puede conectarse a los puertos y servicios.

Ponga a prueba sus puertos y servicios a menudo. Cuando tiene servicios como HTTP y HTTPS que puede personalizar mucho, es fácil configurar mal el servicio e introducir accidentalmente una vulnerabilidad. Y cambiar las cadenas SNMP predeterminadas.

Leer también: tendencias en ciberseguridad para personas y empresas

Posted By