Les paquets de données transmis vers et depuis des ports réseau numérotés sont associés à des adresses IP et des points de terminaison spécifiques, à l'aide des protocoles TCP ou UDP. Tous les ports risquent d’être attaqués, aucun port n’est absolument sûr.
M. Kurt Muhl - Le principal consultant en sécurité de RedTeam a expliqué : « Chaque port et service sous-jacent comporte un risque. Le risque vient de la version du service, même s'il est configuré correctement ou si un mot de passe est défini pour le service, ce mot de passe est-il fort ? " " D'autres facteurs incluent : le port choisi par les pirates pour attaquer, laissez-vous les logiciels malveillants passer par le port. En bref, encore une fois, de nombreux facteurs déterminent la sécurité d'un port ou d'un service.
CSO examine le risque des passerelles réseau en fonction des applications, des vulnérabilités et des attaques associées, proposant ainsi plusieurs approches pour protéger les entreprises contre les pirates malveillants qui abusent de ces vulnérabilités.
Qu’est-ce qui rend les passerelles réseau dangereuses ?
Il existe un total de 65 535 ports TCP et 65 535 ports UDP supplémentaires. Nous examinerons certains des ports les plus dangereux. Le port TCP 21 connecte les serveurs FTP à Internet. Ces serveurs FTP présentent de nombreuses vulnérabilités majeures telles que l'authentification anonyme, la traversée de répertoires, les scripts intersites, faisant du port 21 une cible idéale pour les pirates.
Alors que certains services vulnérables continuent d'utiliser l'utilitaire, les services existants tels que Telnet sur le port TCP 23 n'étaient pas intrinsèquement sécurisés au départ. Bien que sa bande passante soit très petite, seulement quelques octets à la fois, Telnet envoie les données de manière entièrement publique en texte clair. Austin Norby, informaticien au ministère américain de la Défense, a déclaré : « Les attaquants peuvent écouter, visualiser les certificats, injecter des commandes via des attaques [de l'homme du milieu] et enfin, effectuer des exécutions de code à distance (RCE). (Il s’agit de sa propre opinion et ne représente celle d’aucune agence).
Alors que certains ports réseau créent des failles faciles d’accès pour les attaquants, d’autres créent des voies de fuite parfaites. Le port TCP/UDP 53 pour DNS en est un exemple. Une fois qu’ils ont infiltré le réseau et atteint leur objectif, tout ce que le pirate informatique doit faire pour extraire les données est d’utiliser un logiciel existant pour transformer les données en trafic DNS. "Le DNS est rarement surveillé et rarement filtré", a déclaré Norby. Lorsque des attaquants volent des données dans une entreprise sécurisée, ils les envoient simplement via un serveur DNS spécialement conçu qui les ramène à leur état d'origine.
Plus les ports sont utilisés, plus il est facile de lancer des attaques sur tous les autres paquets. Le port TCP 80 pour HTTP prend en charge le trafic Web reçu par le navigateur. Selon Norby, les attaques contre les clients Web via le port 80 incluent le piratage par injection SQL, la falsification de requêtes intersites, les scripts intersites et le débordement de tampon.
Les attaquants installeront leurs services sur des ports distincts. Ils utilisent le port TCP 1080 - utilisé pour le socket protégeant les proxys "SOCKS", à l'appui des logiciels malveillants et des opérations. Des chevaux de Troie et des vers tels que Mydoom et Bugbear ont utilisé le port 1080 lors d'attaques. Si un administrateur réseau ne configure pas de proxy SOCKS, son existence constitue une menace, a déclaré Norby.
Lorsque les pirates sont en difficulté, ils utilisent des numéros de port faciles à mémoriser, tels que la série de numéros 234, 6789 ou le même numéro que 666 ou 8888. Certains logiciels de porte dérobée et de cheval de Troie s'ouvrent et utilisent le port TCP 4444 pour écouter. , communiquer, transférer le trafic malveillant de l'extérieur et envoyer des charges utiles malveillantes. Certains autres logiciels malveillants qui utilisent également ce port incluent Prosiak, Swift Remote et CrackDown.
Le trafic Web n'utilise pas uniquement le port 80. Le trafic HTTP utilise également les ports TCP 8080, 8088 et 8888. Les serveurs qui se connectent à ces ports sont pour la plupart des boîtiers plus anciens, non gérés et non protégés, ce qui les rend vulnérables. La sécurité augmente avec le temps. Les serveurs sur ces ports peuvent également être des proxys HTTP. Si les administrateurs réseau ne les installent pas, les proxys HTTP peuvent devenir un problème de sécurité dans le système.
Les attaquants d'élite ont utilisé les ports TCP et UDP 31337 pour la célèbre porte dérobée - Back Orifice et d'autres programmes malveillants. Sur le port TCP on peut citer : Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night et BO client, par exemple sur le port UDP c'est Deep BO. En « leetspeak » – une langue qui utilise des lettres et des chiffres, 31337 est « eleet », signifiant Élite.
Des mots de passe faibles peuvent rendre SSH et le port 22 vulnérables aux attaques. Selon David Widen - ingénieur système chez BoxBoat Technologies : Port 22 - Le port Secure Shell permet d'accéder à des shells distants sur du matériel serveur vulnérable, car ici les informations d'authentification sont généralement le nom d'utilisateur et le mot de passe par défaut, faciles à deviner. Les mots de passe courts, de moins de 8 caractères, utilisent des expressions familières avec une chaîne de chiffres trop faciles à deviner pour les attaquants.
Les pirates informatiques continuent d'attaquer les IRC fonctionnant sur les ports 6660 à 6669. Widen a déclaré : « Sur ce port, il existe de nombreuses vulnérabilités IRC, telles que Unreal IRCD qui permet aux attaquants d'effectuer des attaques à distance, mais ce sont généralement des attaques normales, sans grande valeur.
Certains ports et protocoles permettent aux attaquants d’avoir une plus grande portée. Par exemple, le port UDP 161 attire les attaquants en raison du protocole SNMP, utile pour gérer les ordinateurs en réseau, interroger les informations et envoyer du trafic via ce port. Muhl explique : SNMP permet aux utilisateurs d'interroger le serveur pour obtenir les noms d'utilisateur, les fichiers partagés sur le réseau et plus d'informations. SNMP est souvent livré avec des chaînes par défaut qui font office de mots de passe.
Protégez les ports, les services et les vulnérabilités
Selon Widen, les entreprises peuvent protéger le protocole SSH en utilisant l'authentification par clé publique, en désactivant la connexion en tant que root et en déplaçant SSH vers un numéro de port plus élevé afin que les attaquants ne puissent pas le trouver. Si un utilisateur se connecte à SSH sur un numéro de port pouvant atteindre 25 000, il sera difficile pour un attaquant de déterminer la surface d'attaque du service SSH.
Si votre entreprise utilise IRC, activez un pare-feu pour la protéger. Ne laissez aucun trafic extérieur au réseau s'approcher du service IRC, a ajouté Widen. Autorisez uniquement les utilisateurs VPN sur le réseau à utiliser IRC.
Les numéros de port répétitifs et en particulier les séquences de numéros représentent rarement une utilisation correcte des ports. Lorsque vous voyez ces ports utilisés, assurez-vous qu'ils sont authentifiés, explique Norby. Surveillez et filtrez le DNS pour éviter les fuites, arrêtez d'utiliser Telnet et fermez le port 23.
La sécurité sur tous les ports réseau doit inclure une défense en profondeur. Norby dit : Fermez tous les ports que vous n'utilisez pas, utilisez des pare-feu basés sur l'hôte sur tous les serveurs, exécutez le dernier pare-feu basé sur le réseau, surveillez et filtrez le trafic des ports. Effectuez une analyse régulière des ports réseau pour vous assurer qu’aucune vulnérabilité n’a été manquée sur le port. Portez une attention particulière aux proxys SOCKS ou à tout autre service que vous n'avez pas encore configuré. Corrigez, réparez et renforcez tout appareil, logiciel ou service connecté au port réseau jusqu'à ce qu'il ne reste plus de vulnérabilités dans votre réseau. Soyez proactif lorsque de nouvelles vulnérabilités apparaissent dans les logiciels (anciens et nouveaux) auxquelles les attaquants peuvent accéder via les ports réseau.
Utilisez les dernières mises à jour pour tout service que vous prenez en charge, configurez-le correctement et utilisez des mots de passe forts et des listes de contrôle d'accès qui vous aideront à limiter les personnes ayant accès, explique MuHl. peut se connecter aux ports et aux services. Il a également ajouté que : Les ports et services devraient être vérifiés régulièrement. Lorsque vous utilisez des services tels que HTTP et HTTPS, il existe une grande marge de personnalisation, ce qui peut facilement entraîner une mauvaise configuration et des failles de sécurité.
Une sphère de sécurité pour les ports à risque
Les experts ont élaboré différentes listes de ports à haut risque en fonction de différents critères tels que le type ou la gravité des menaces associées à chaque port ou encore le niveau de vulnérabilité du service sur certains ports. Mais jusqu’à présent, il n’existe pas encore de liste complète. Pour des recherches plus approfondies, vous pouvez commencer par les listes sur SANS.org, SpeedGuide.net et GaryKessler.net.
Article abrégé de « Sécurisation des ports réseau à risque » publié par CSO.
Comme beaucoup d'autres plates-formes, Windows dispose également d'un gestionnaire de presse-papiers spécialisé appelé « Historique du presse-papiers ».
La version macOS Big Sur a été officiellement annoncée lors de la récente conférence WWDC. Et vous pouvez complètement amener l'interface de macOS Big Sur sur Windows 10 avec l'outil Rainmeter.
RDStealer est un malware qui tente de voler des informations d'identification et des données en infectant un serveur RDP et en surveillant ses connexions à distance.
Il est peut-être temps de dire au revoir à l'Explorateur de fichiers et d'utiliser un logiciel de gestion de fichiers tiers ? Voici les 7 meilleures alternatives à l’Explorateur de fichiers Windows.
LoRaWAN ou Long Range Wireless Area Network est utile pour la communication entre des appareils à faible consommation sur de longues distances.
En accédant aux options de démarrage avancées, vous pouvez réinitialiser Windows 10, restaurer Windows 10, restaurer Windows 10 à partir d'un fichier image que vous avez créé précédemment, corriger les erreurs de démarrage, ouvrir l'invite de commande pour exécuter des options différentes, ouvrir les paramètres UEFI, modifier les paramètres de démarrage. ..
Chaque fois que vous vous inscrivez à un nouveau service, vous pouvez choisir un nom d'utilisateur et un mot de passe ou simplement vous connecter avec Facebook ou Twitter. Mais faut-il le faire ?
DNS Google 8.8.8.8 8.8.4.4 est l'un des DNS que de nombreux utilisateurs choisissent d'utiliser, notamment pour accélérer l'accès au réseau ou l'accès bloqué à Facebook.
Si vous utilisez Microsoft Edge sur un ordinateur Windows 10 partagé et que vous souhaitez garder votre historique de navigation privé, vous pouvez faire en sorte qu'Edge se lance toujours en mode InPrivate.
Il existe deux types de chiffrement couramment déployés aujourd’hui : le chiffrement symétrique et asymétrique. La différence fondamentale entre ces deux types de chiffrement réside dans le fait que le chiffrement symétrique utilise une clé unique pour les opérations de chiffrement et de déchiffrement.
