Les paquets de données transmis vers et depuis des ports réseau numérotés sont associés à des adresses IP et des points de terminaison spécifiques, à l'aide des protocoles TCP ou UDP. Tous les ports risquent d’être attaqués, aucun port n’est absolument sûr.
M. Kurt Muhl - Le principal consultant en sécurité de RedTeam a expliqué : « Chaque port et service sous-jacent comporte un risque. Le risque vient de la version du service, même s'il est configuré correctement ou si un mot de passe est défini pour le service, ce mot de passe est-il fort ? " " D'autres facteurs incluent : le port choisi par les pirates pour attaquer, laissez-vous les logiciels malveillants passer par le port. En bref, encore une fois, de nombreux facteurs déterminent la sécurité d'un port ou d'un service.
CSO examine le risque des passerelles réseau en fonction des applications, des vulnérabilités et des attaques associées, proposant ainsi plusieurs approches pour protéger les entreprises contre les pirates malveillants qui abusent de ces vulnérabilités.
Qu’est-ce qui rend les passerelles réseau dangereuses ?
Il existe un total de 65 535 ports TCP et 65 535 ports UDP supplémentaires. Nous examinerons certains des ports les plus dangereux. Le port TCP 21 connecte les serveurs FTP à Internet. Ces serveurs FTP présentent de nombreuses vulnérabilités majeures telles que l'authentification anonyme, la traversée de répertoires, les scripts intersites, faisant du port 21 une cible idéale pour les pirates.
Alors que certains services vulnérables continuent d'utiliser l'utilitaire, les services existants tels que Telnet sur le port TCP 23 n'étaient pas intrinsèquement sécurisés au départ. Bien que sa bande passante soit très petite, seulement quelques octets à la fois, Telnet envoie les données de manière entièrement publique en texte clair. Austin Norby, informaticien au ministère américain de la Défense, a déclaré : « Les attaquants peuvent écouter, visualiser les certificats, injecter des commandes via des attaques [de l'homme du milieu] et enfin, effectuer des exécutions de code à distance (RCE). (Il s’agit de sa propre opinion et ne représente celle d’aucune agence).
Alors que certains ports réseau créent des failles faciles d’accès pour les attaquants, d’autres créent des voies de fuite parfaites. Le port TCP/UDP 53 pour DNS en est un exemple. Une fois qu’ils ont infiltré le réseau et atteint leur objectif, tout ce que le pirate informatique doit faire pour extraire les données est d’utiliser un logiciel existant pour transformer les données en trafic DNS. "Le DNS est rarement surveillé et rarement filtré", a déclaré Norby. Lorsque des attaquants volent des données dans une entreprise sécurisée, ils les envoient simplement via un serveur DNS spécialement conçu qui les ramène à leur état d'origine.
Plus les ports sont utilisés, plus il est facile de lancer des attaques sur tous les autres paquets. Le port TCP 80 pour HTTP prend en charge le trafic Web reçu par le navigateur. Selon Norby, les attaques contre les clients Web via le port 80 incluent le piratage par injection SQL, la falsification de requêtes intersites, les scripts intersites et le débordement de tampon.
Les attaquants installeront leurs services sur des ports distincts. Ils utilisent le port TCP 1080 - utilisé pour le socket protégeant les proxys "SOCKS", à l'appui des logiciels malveillants et des opérations. Des chevaux de Troie et des vers tels que Mydoom et Bugbear ont utilisé le port 1080 lors d'attaques. Si un administrateur réseau ne configure pas de proxy SOCKS, son existence constitue une menace, a déclaré Norby.
Lorsque les pirates sont en difficulté, ils utilisent des numéros de port faciles à mémoriser, tels que la série de numéros 234, 6789 ou le même numéro que 666 ou 8888. Certains logiciels de porte dérobée et de cheval de Troie s'ouvrent et utilisent le port TCP 4444 pour écouter. , communiquer, transférer le trafic malveillant de l'extérieur et envoyer des charges utiles malveillantes. Certains autres logiciels malveillants qui utilisent également ce port incluent Prosiak, Swift Remote et CrackDown.
Le trafic Web n'utilise pas uniquement le port 80. Le trafic HTTP utilise également les ports TCP 8080, 8088 et 8888. Les serveurs qui se connectent à ces ports sont pour la plupart des boîtiers plus anciens, non gérés et non protégés, ce qui les rend vulnérables. La sécurité augmente avec le temps. Les serveurs sur ces ports peuvent également être des proxys HTTP. Si les administrateurs réseau ne les installent pas, les proxys HTTP peuvent devenir un problème de sécurité dans le système.
Les attaquants d'élite ont utilisé les ports TCP et UDP 31337 pour la célèbre porte dérobée - Back Orifice et d'autres programmes malveillants. Sur le port TCP on peut citer : Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night et BO client, par exemple sur le port UDP c'est Deep BO. En « leetspeak » – une langue qui utilise des lettres et des chiffres, 31337 est « eleet », signifiant Élite.
Des mots de passe faibles peuvent rendre SSH et le port 22 vulnérables aux attaques. Selon David Widen - ingénieur système chez BoxBoat Technologies : Port 22 - Le port Secure Shell permet d'accéder à des shells distants sur du matériel serveur vulnérable, car ici les informations d'authentification sont généralement le nom d'utilisateur et le mot de passe par défaut, faciles à deviner. Les mots de passe courts, de moins de 8 caractères, utilisent des expressions familières avec une chaîne de chiffres trop faciles à deviner pour les attaquants.
Les pirates informatiques continuent d'attaquer les IRC fonctionnant sur les ports 6660 à 6669. Widen a déclaré : « Sur ce port, il existe de nombreuses vulnérabilités IRC, telles que Unreal IRCD qui permet aux attaquants d'effectuer des attaques à distance, mais ce sont généralement des attaques normales, sans grande valeur.
Certains ports et protocoles permettent aux attaquants d’avoir une plus grande portée. Par exemple, le port UDP 161 attire les attaquants en raison du protocole SNMP, utile pour gérer les ordinateurs en réseau, interroger les informations et envoyer du trafic via ce port. Muhl explique : SNMP permet aux utilisateurs d'interroger le serveur pour obtenir les noms d'utilisateur, les fichiers partagés sur le réseau et plus d'informations. SNMP est souvent livré avec des chaînes par défaut qui font office de mots de passe.
Protégez les ports, les services et les vulnérabilités
Selon Widen, les entreprises peuvent protéger le protocole SSH en utilisant l'authentification par clé publique, en désactivant la connexion en tant que root et en déplaçant SSH vers un numéro de port plus élevé afin que les attaquants ne puissent pas le trouver. Si un utilisateur se connecte à SSH sur un numéro de port pouvant atteindre 25 000, il sera difficile pour un attaquant de déterminer la surface d'attaque du service SSH.
Si votre entreprise utilise IRC, activez un pare-feu pour la protéger. Ne laissez aucun trafic extérieur au réseau s'approcher du service IRC, a ajouté Widen. Autorisez uniquement les utilisateurs VPN sur le réseau à utiliser IRC.
Les numéros de port répétitifs et en particulier les séquences de numéros représentent rarement une utilisation correcte des ports. Lorsque vous voyez ces ports utilisés, assurez-vous qu'ils sont authentifiés, explique Norby. Surveillez et filtrez le DNS pour éviter les fuites, arrêtez d'utiliser Telnet et fermez le port 23.
La sécurité sur tous les ports réseau doit inclure une défense en profondeur. Norby dit : Fermez tous les ports que vous n'utilisez pas, utilisez des pare-feu basés sur l'hôte sur tous les serveurs, exécutez le dernier pare-feu basé sur le réseau, surveillez et filtrez le trafic des ports. Effectuez une analyse régulière des ports réseau pour vous assurer qu’aucune vulnérabilité n’a été manquée sur le port. Portez une attention particulière aux proxys SOCKS ou à tout autre service que vous n'avez pas encore configuré. Corrigez, réparez et renforcez tout appareil, logiciel ou service connecté au port réseau jusqu'à ce qu'il ne reste plus de vulnérabilités dans votre réseau. Soyez proactif lorsque de nouvelles vulnérabilités apparaissent dans les logiciels (anciens et nouveaux) auxquelles les attaquants peuvent accéder via les ports réseau.
Utilisez les dernières mises à jour pour tout service que vous prenez en charge, configurez-le correctement et utilisez des mots de passe forts et des listes de contrôle d'accès qui vous aideront à limiter les personnes ayant accès, explique MuHl. peut se connecter aux ports et aux services. Il a également ajouté que : Les ports et services devraient être vérifiés régulièrement. Lorsque vous utilisez des services tels que HTTP et HTTPS, il existe une grande marge de personnalisation, ce qui peut facilement entraîner une mauvaise configuration et des failles de sécurité.
Une sphère de sécurité pour les ports à risque
Les experts ont élaboré différentes listes de ports à haut risque en fonction de différents critères tels que le type ou la gravité des menaces associées à chaque port ou encore le niveau de vulnérabilité du service sur certains ports. Mais jusqu’à présent, il n’existe pas encore de liste complète. Pour des recherches plus approfondies, vous pouvez commencer par les listes sur SANS.org, SpeedGuide.net et GaryKessler.net.
Article abrégé de « Sécurisation des ports réseau à risque » publié par CSO.
Si vous aimez la nouvelle icône de l'Explorateur de fichiers comme Windows 10 Sun Valley, suivez l'article ci-dessous pour modifier la toute nouvelle interface de l'Explorateur de fichiers.
Vérifier si la webcam fonctionne bien sur un ordinateur Windows est simple et rapide. Vous trouverez ci-dessous les étapes pour vous aider à vérifier la caméra.
Peut-être avez-vous branché des écouteurs de bonne qualité, mais pour une raison quelconque, l'ordinateur portable Windows continue d'essayer d'enregistrer à l'aide de son terrible microphone intégré. L'article suivant vous expliquera comment tester le microphone Windows 10.
Si vous n'en avez plus besoin, vous pouvez supprimer l'option Analyser avec Malwarebytes dans le menu contextuel du clic droit. Voici comment.
Border Gateway Protocol (BGP) est utilisé pour échanger des informations de routage pour Internet et est le protocole utilisé entre les FAI (qui sont des AS différents).
Lorsque vous lisez des conseils, vous voyez souvent des gens utiliser des fichiers de piratage du registre pour personnaliser et peaufiner les ordinateurs Windows et vous demandez comment les créer. Cet article vous guidera à travers les étapes de base pour créer votre propre fichier de piratage de registre.
Microsoft avait l'habitude de sauvegarder automatiquement le registre, mais cette fonctionnalité a été discrètement désactivée dans Windows 10. Dans cet article, Quantrimang.com vous guidera à travers les étapes pour sauvegarder automatiquement le registre dans un dossier. \RegBack) sous Windows 10.
Lorsque vous utilisez un ordinateur, faire des erreurs est tout à fait normal.
Votre connexion Ethernet peut parfois vous frustrer en vous déconnectant sans raison apparente sur votre PC Windows 10 ou 11.
Quelqu'un peut-il accéder à votre appareil même lorsqu'il est éteint ? La réponse effrayante est oui.
