Hay un puerto de red para cada tipo de tráfico. Algunos puertos corren más riesgo que otros. Estos son los peores infractores y lo que puede hacer para protegerlos.
Las conexiones del Protocolo de control de transporte de red e Internet / Protocolo de Internet se realizan desde una dirección IP a otra. Para mayor comodidad, podemos usar un nombre de sitio web como cloudsavvyit.com , pero es la dirección IP subyacente que se usa para enrutar su conexión al servidor web apropiado. Lo mismo también funciona a la inversa. El tráfico de red que llega a su computadora se ha dirigido hacia su dirección IP.
Su computadora tendrá muchos programas y servicios ejecutándose dentro de ella. Es posible que tenga una aplicación de correo electrónico y un navegador abiertos en su escritorio. Quizás utilice un cliente de chat como Slack o Microsoft Teams . Si está administrando máquinas remotas, es posible que esté usando una conexión de shell segura (SSH). Si trabaja desde casa y necesita conectarse a su oficina, puede usar una conexión de Protocolo de escritorio remoto (RDP) o una conexión de Red privada virtual (VPN).
La dirección IP solo identifica la computadora. No puede ser más granular que eso. Pero el verdadero punto final de una conexión de red es la ejecución de una aplicación o servicio. Entonces, ¿cómo sabe su computadora a qué aplicación enviar cada paquete de red? La respuesta es usar puertos .
Cuando un mensajero entrega un paquete a un hotel, la dirección postal identifica el edificio. El número de habitación identifica la habitación y el huésped del hotel. La dirección de la calle es como la dirección IP y el número de habitación es como la dirección del puerto. Las aplicaciones y los servicios utilizan puertos numerados específicos. Entonces, el destino real de un paquete de red es un puerto en una dirección IP. Eso es suficiente para identificar la aplicación o servicio en una computadora en particular a la que está destinado el paquete.
Numeración de puertos estándar
Algunos puertos están dedicados a tipos específicos de tráfico. Estos se denominan puertos conocidos . Otros puertos son registrados por aplicaciones y reservados para su uso. Estos son los puertos registrados . Hay un tercer conjunto de puertos que están disponibles para cualquier aplicación. Se solicitan, asignan, utilizan y liberan según las necesidades . Estos se denominan puertos efímeros .
Se utilizará una combinación de puertos en una conexión. La conexión de red necesita un puerto en el extremo local de la conexión, en la computadora, para conectarse al extremo remoto de la conexión, por ejemplo, un servidor web. Si el servidor web está usando Hypertext Transfer Protocol Secure (HTTPS), el puerto remoto será el puerto 443. Su computadora usará cualquiera de los puertos efímeros libres para hacer una conexión al puerto 443 en la dirección IP del servidor web.
Hay 65535 puertos TCP / IP (y el mismo número de puertos del Protocolo de datagramas de usuario (UDP)).
0 - 1023 : puertos conocidos. Estos son asignados a los servicios por la Autoridad de Números Asignados de Internet (IANA). Por ejemplo, SSH usa el puerto 22 de manera predeterminada, los servidores web escuchan conexiones seguras en el puerto 443 y el tráfico del Protocolo simple de transferencia de correo (SMTP) usa el puerto 25.
1024 - 49151 : puertos registrados. Las organizaciones pueden hacer solicitudes a la IANA para un puerto que se les registrará y se les asignará para su uso con una aplicación. Aunque estos puertos registrados se denominan semirreservados, deben considerarse reservados . Se llaman semi-reservados porque es posible que el registro de un puerto ya no sea necesario y el puerto se libere para su reutilización. Sin embargo, a pesar de que actualmente no está registrado, el puerto todavía está en la lista de puertos registrados. Se mantiene listo para ser registrado por otra organización. Un ejemplo de puerto registrado es el puerto 3389. Este es el puerto asociado con las conexiones RDP.
49152 - 65535: Puertos efímeros . Estos se utilizan de forma ad-hoc por los programas del cliente. Puede utilizarlos en cualquier aplicación que escriba. Por lo general, se utilizan como el puerto local dentro de la computadora cuando está transmitiendo a un puerto conocido o reservado en otro dispositivo para solicitar y establecer una conexión. Ningún puerto es intrínsecamente seguro
Cualquier puerto dado no es más seguro o en riesgo que cualquier otro puerto. Un puerto es un puerto. Es el uso que se le da al puerto, y la seguridad con la que se gestiona, lo que determina si un puerto es seguro.
El protocolo que se utiliza para comunicarse a través de un puerto, el servicio o aplicación que consume o genera el tráfico que pasa por el puerto debe ser implementaciones actuales y dentro del período de soporte de su fabricante. Deben recibir actualizaciones de seguridad y corrección de errores y estas deben aplicarse de manera oportuna.
A continuación, se muestran algunos puertos comunes y cómo se pueden abusar de ellos.
Puerto 21, Protocolo de transferencia de archivos
Un puerto FTP inseguro que aloja un servidor FTP es una gran falla de seguridad. Muchos servidores FTP tienen vulnerabilidades que pueden permitir la autenticación anónima, el movimiento lateral dentro de la red, el acceso a técnicas de escalada de privilegios y, debido a que muchos servidores FTP pueden controlarse mediante scripts, un medio para implementar scripts entre sitios .
Los programas de malware como Dark FTP, Ramen y WinCrash han hecho uso de puertos y servicios FTP inseguros.
Puerto 22, carcasa segura
Las cuentas de Secure Shell (SSH) configuradas con contraseñas cortas, no únicas, reutilizadas o predecibles son inseguras y pueden verse comprometidas fácilmente por ataques de diccionario de contraseñas . Se han descubierto muchas vulnerabilidades en implementaciones pasadas de servicios SSH y demonios, y aún se están descubriendo. El parche es vital para mantener la seguridad con SSH.
Puerto 23, Telnet
Telnet es un servicio heredado y debe retirarse. No hay justificación para utilizar este medio antiguo e inseguro de comunicación basada en texto. Toda la información que envía y recibe a través del puerto 23 se envía en texto sin formato. No hay cifrado en absoluto.
Los actores de amenazas pueden escuchar a escondidas cualquier comunicación Telnet y pueden elegir fácilmente las credenciales de autenticación. Pueden realizar ataques man-in-the-middle inyectando paquetes maliciosos especialmente diseñados en los flujos de texto sin máscara.
Incluso un atacante remoto no autenticado puede aprovechar una vulnerabilidad de desbordamiento de búfer en el demonio o servicio Telnet y, al crear paquetes maliciosos e inyectarlos en el flujo de texto, ejecutar procesos en el servidor remoto. Esta es una técnica conocida como Ejecución de Código Remoto (o abitrario) (RCE).
Puerto 80, protocolo de transporte de hipertexto
El puerto 80 se utiliza para tráfico de protocolo de transporte de hipertexto (HTTP) no seguro. HTTPS prácticamente ha reemplazado a HTTP, pero todavía existe algo de HTTP en la web. Otros puertos que se usan comúnmente con HTTP son los puertos 8080, 8088, 8888. Éstos tienden a usarse en servidores HTTP más antiguos y proxies web.
El tráfico web no seguro y los puertos asociados son susceptibles a falsificaciones y secuencias de comandos entre sitios, ataques de desbordamiento de búfer y ataques de inyección SQL .
Puerto 1080, SOCKS Proxies
SOCKS es un protocolo utilizado por los proxies SOCKS para enrutar y reenviar paquetes de red en conexiones TCP a direcciones IP. El puerto 1080 fue uno de los puertos elegidos en un momento, para malware como Mydoom y muchos gusanos y ataques de denegación de servicio .
Puerto 4444, Protocolo de control de transporte
Algunos programas de rootkit , puerta trasera y caballo de Troya se abren y utilizan el puerto 4444. Utiliza este puerto para espiar el tráfico y las comunicaciones, para sus propias comunicaciones y para exfiltrar datos de la computadora comprometida. También se utiliza para descargar nuevas cargas útiles maliciosas. Malware como el gusano Blaster y sus variantes usaban el puerto 4444 para establecer puertas traseras.
Puerto 6660 - 6669, chat de retransmisión de Internet
Internet Relay Chat (IRC) se inició en 1988 en Finlandia y aún continúa. Necesitaría tener un caso comercial de hierro fundido para permitir el tráfico de IRC en su organización en estos días.
Se han descubierto y explotado innumerables vulnerabilidades de IRC a lo largo de los veinte años que lleva en uso. El demonio UnrealIRCD tenía una falla en su 2009 que hizo que la ejecución remota de código fuera un asunto trivial.
Puerto 161, Protocolo de mensajería de red pequeña
Algunos puertos y protocolos pueden brindar a los atacantes mucha información sobre su infraestructura. El puerto UDP 161 es atractivo para los actores de amenazas porque se puede usar para sondear información de los servidores, tanto sobre ellos mismos como sobre el hardware y los usuarios que se encuentran detrás de ellos.
El puerto 161 es utilizado por el Protocolo simple de administración de red, que permite a los actores de amenazas solicitar información como hardware de infraestructura, nombres de usuario, nombres de recursos compartidos de red y otra información confidencial que es, para el actor de la amenaza, inteligencia procesable.
Puerto 53, servicio de nombres de dominio
Los actores de amenazas deben considerar la ruta de exfiltración que utilizará su malware para transmitir datos y archivos desde su organización a sus propios servidores.
El puerto 53 se ha utilizado como el puerto de exfiltración de elección porque el tráfico a través del Servicio de nombres de dominio rara vez se supervisa. Los actores de amenazas disfrazarían libremente los datos robados como tráfico DNS y los enviarían a su propio servidor DNS falso. El servidor DNS falso aceptó el tráfico y restauró los datos a su formato original.
Números memorables
Algunos autores de malware eligen secuencias de números fáciles de recordar o números repetidos para usar como puertos. Los puertos 234, 6789, 1111, 666 y 8888 se han utilizado para esto. La detección de cualquiera de estos números de puerto de aspecto extraño en uso en su red debería impulsar una investigación más profunda.
El puerto 31337, que deletrea elite en leet speak , es otro número de puerto común que puede usar el malware. Ha sido utilizado por al menos 30 variantes de malware, incluidos Back Orifice y Bindshell .
Cómo proteger estos puertos
Todos los puertos deben estar cerrados a menos que exista un caso comercial documentado, revisado y aprobado. Haga lo mismo con los servicios expuestos. Las contraseñas predeterminadas deben cambiarse y reemplazarse por contraseñas sólidas y únicas. Si es posible, se debe utilizar la autenticación de dos factores.
Todos los servicios, protocolos, firmware y aplicaciones aún deben estar dentro de los ciclos de vida de soporte de los fabricantes, y deben estar disponibles parches de seguridad y corrección de errores para ellos.
Supervise los puertos que están en uso en su red e investigue cualquier rareza o puertos inexplicablemente abiertos. Comprenda cómo se ve el uso normal de su puerto para poder identificar el comportamiento inusual. Realice exploraciones de puertos y pruebas de penetración.
Cierre el puerto 23 y deje de usar Telnet. Seriamente. Solo para.
Los puertos SSH se pueden proteger mediante la autenticación de clave pública y la autenticación de dos factores. La configuración de su red para usar un número de puerto diferente para el tráfico SSH también ayudará.
Si debe usar IRC, asegúrese de que esté detrás de un firewall y solicite a los usuarios de IRC que utilicen una VPN en su red para conectarse y usarlo. No permita que el tráfico externo llegue directamente a su IRC.
Supervise y filtre el tráfico de DNS. Nada debe salir del puerto 53 salvo solicitudes de DNS genuinas.
Adopte una estrategia de defensa en profundidad y convierta sus defensas en varias capas. Utilice firewalls basados en host y en red. Considere un sistema de detección de intrusos (IDS) como el Snort gratuito y de código abierto .
Deshabilite los proxies que no configuró o que ya no necesita.
Algunas cadenas de retorno SNMP tienen credenciales predeterminadas de texto sin formato. Desactive esto.
Elimine los encabezados de respuesta HTTP y HTTPS no deseados y desactive los banners que se incluyen de forma predeterminada en las respuestas de algún hardware de red. Estos brindan información innecesariamente que solo beneficia a los actores de la amenaza.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
