Новости

Основы информационной безопасности: Что такое порт? (И почему его нужно блокировать?)

В строительстве или машиностроении термин «брандмауэр» используется в своем первоначальном значении: противопожарная стена. Это слово ассоциируется с чем-то непроницаемым, таким как лист стали или кирпичная стена. Однако в области компьютерных сетей термин «брандмауэр» означает как раз нечто проницаемое. Как сито, через которое шеф-повар процеживает суп, брандмауэр задерживает все «кости» (нежелательные компоненты) и пропускает «бульон» (полезные компоненты) — по крайней мере, в теории.

Но откуда брандмауэр узнает, какие компоненты вредные, а какие нужные? Как он определяет, предназначен ли пакет данных для атаки или он содержит информацию, которую вы с нетерпением ждете? Брандмауэр не способен самостоятельно принимать такие решения. Он лишь следует набору определяемых пользователем правил, которые часто называют политикой. Именно вы делите сетевой трафик на категории «хороший» и «плохой».
Читая это, вы, возможно, пожалуетесь: «Ах, так! Предполагалось, что это устройство должно решить проблемы с безопасностью моей сети! А теперь оно ждет, пока я скажу ему, что делать! Зачем это мне?» Что ж, механизм, используемый брандмауэром для разрешения или запрета сетевого трафика, основан на портах и службах. Итак, прежде чем приступить к управлению брандмауэром, желательно получить хотя бы поверхностное представление о принципах функционирования портов и их назначении. Эти знания послужат стартовой точкой для определения, какой интернет-трафик, проходящий через брандмауэр, нужно разрешить, а какой — запретить.
Краткие сведения о портах
Поскольку для подключения вашей системы к Интернету служит всего один провод, как сеть отличает потоковое видео от веб-страницы и электронное сообщение от звукового файла? Ответить сложно, но частично решением этой задачи мы обязаны гениальным компьютерщикам (а именно изобретателям интернет-протокола, или IP), которые придумали службы и порты.
Что такое службы? Вот пять наиболее распространенных интернет-служб.
• Доступ к всемирной паутине (с использованием протокола передачи гипертекста, или HTTP)
• Электронная почта (с использованием простого протокола пересылки почты, или SMTP)
• Передача файлов (с использованием протокола передачи файлов, или FTP)
• Преобразование имени узла в интернет-адрес (с использованием службы доменных имен, или DNS)
• Доступ к удаленному терминалу (Telnet, или правильнее Secure Shell — безопасный командный процессор)
Чтобы системы могли выбрать способ обработки поступающих в них данных, компьютерщики изобрели порты. Под термином «порт» может пониматься физический разъем в устройстве, к которому что-либо подключается (например, последовательный или параллельный порт). Но применительно к IP-службам «порты» не являются физическими. Порты подобны игре «Давай притворимся» с четкой структурой (компьютерщики используют термин логический конструкт), условия которой принимают пользователи Интернета, если они хотят взаимодействовать друг с другом. Порты выполняют свою функцию просто потому, что первые пользователи Интернета договорились относительно принципов их работы. Если это кажется слишком абстрактным, вспомните, что деньги работают так же. Почему зеленое изображение Бенджамина Франклина соответствует ста долларам США? Потому что все мы договорились об этом. Почему работают порты? Потому что все мы этого хотим.
Итак, какой-то компьютерщик самовольно заявил внушительным тоном: «Когда мы передаем данные в другие системы и адресуем их на порт номер 25, будем считать, что эти данные являются данными SMTP и должны обрабатываться как электронная почта».
Другой компьютерщик так же ответил: «Давайте запишем это. А когда мы адресуем передаваемые данные на воображаемый порт номер 80, пусть эта информация обрабатывается как данные HTTP, так что мы получим веб-страницы». И все остальные компьютерщики подхватили: «Пусть будет так».
Хорошо, все было, конечно, не так просто. На самом деле решение принимали многочисленные скучные комиссии, которые десятилетиями перебирали разные варианты и записывали их в виде нудных рабочих предложений (RFC). Однако хотя моя версия проигрывает в точности, зато она выигрывает в краткости. На мой взгляд, порт — это искусственная, или логическая конечная точка соединения и порты обеспечивают в Интернете обработку множества приложений с использованием одних и тех же кабелей. Система определяет способ обработки поступающих данных частично по номеру порта, на который адресованы данные.
Бармен, еще по одному порту каждому!
Поскольку наиболее часто используются пять интернет-служб, компьютерщики придумали 20 или 30 портов (чтобы оставить резерв для будущих технологий) и назвали их эпохой. Но несомненно, что специалисты слишком увлеклись добавлением новых портов, поскольку сегодня RFC 1700 и текущая база данных Комитета по цифровым адресам в Интернете (IANA) содержат определения не менее 1 023 IP-портов, которые считаются «стандартными портами». И эти порты — лишь часть огромного множества из 65 535 портов.
Для чего же нужны все эти порты? Ответьте на этот вопрос сами, ознакомившись с формальным списком IANA.
Но вот главная идея: физически мы по-прежнему имеем дело с кабелем, протянутым от поставщика услуг Интернета к вашему компьютеру. IANA может указать формальное назначение портов, заданное компьютерщиками, но ничто не помешает кому-либо использовать любой порт для выполнения любых действий. Например, трафик HTTP (веб-страницы и HTML) условно использует порт 80. Но если я захочу отправить данные HTTP на ваш порт 8080 или 8888 просто ради эксперимента, я смогу сделать это. Фактически, если мы с вами договоримся использовать порт 8080 для трафика HTTP в любом направлении и настроим соответствующим образом наши системы, такая конфигурация будет работать.
В этом и заключается преимущество для компьютерных пиратов, злобно усмехающихся, довольно потирающих руки и намеревающихся взломать вашу систему.
Порты работают либо в режиме разрешения (открытом), либо в режиме запрета (закрытом, заблокированном). Если почтовый сервер готов принимать трафик SMTP, то говорят, что он «прослушивает порт 25». Это означает, что порт 25 открыт. Главная причина размещения брандмауэра между Интернетом и вашей системой — необходимость помешать посторонним лицам получить доступ к открытым портам. Приложения на сетевых компьютерах могут открывать порты, не ставя вас в известность и не дожидаясь вашего разрешения. Некоторые программы, например для обмена файлами между пользователями или проведения видеоконференций, открывают порты с одержимостью бешеной собаки. Каждый из этих открытых портов становится дополнительной уязвимостью в системе безопасности, доверчиво принимая весь поступающий трафик, если не принять предупредительные меры для его блокировки.
А сейчас вернемся к компьютерным пиратам. Они рассчитывают, что вы ничего не знаете о портах. В надежде, что вы оставили какие-либо порты открытыми, они пробуют отправить в вашу сеть код, адресуя его на те порты, о которых вы никогда не задумывались (например, на порт 31337, поскольку в нечитаемой системе обозначений взломщиков-дилетантов эти цифры выглядят как ElEET — как и в элите хакеров). Исследователи опубликовали несколько списков портов, которые взломщики постоянно используют для своих преступных целей. Найдите такие списки и обращайтесь к ним за помощью в интерпретации журналов своего брандмауэра.
Итак, вот основная мысль всей этой статьи: если оставлять порты открытыми, велика вероятность, что ваша сеть будет принимать любые данные, отправленные злоумышленником. Ваша задача — блокировать по возможности все порты. Управление брандмауэром в значительной степени означает управление портами и службами, блокировку сразу нескольких портов — всех, которые не требуются для вашей работы. Хотя по умолчанию устройство Firebox настроено на запрет любого трафика с момента его установки в вашем офисе, кто-то открыл его, то есть разрешил пропускать сетевой трафик через определенные порты на конкретных компьютерах сети. Были ли прописаны новые правила для брандмауэра избирательно и внимательно? Или кто-то, пробормотав «У меня нет на это времени», настроил в брандмауэре разрешение принимать любые данные от любого адресата и передавать их по любому назначению? Если так, то фактически у вас нет брандмауэра. У вас дорогое золотое пресс-папье.
Теперь, когда я кое-что знаю о портах, что мне нужно делать?
1. Просмотрите записи журнала Firebox, найдите поля, в которых указаны порты, и проконтролируйте свой сетевой трафик, чтобы выяснить, какие данные ежедневно поступают в вашу систему из Интернета. Сравните все необычное со списком портов, используемых злоумышленниками.
2. Научитесь вручную разрешать и запрещать службы и порты в вашем брандмауэре и установите за правило почаще настраивать их.
3. Регулярно (не реже двух раз в месяц) сканируйте сеть с целью обнаружения всех открытых портов. Закройте по возможности все ненужные порты. Если сомневаетесь, блокируйте порт. Самое худшее, что может случиться, — ваш коллега сердито заметит: «Я не могу слушать интернет-радио!» Лучше выслушать пятьдесят таких жалоб, чем получить один вирус или программу-троян.
Порты — это фундаментальные структурные элементы Интернета, а следовательно, и интернет-безопасности. Изучите их — это интересно. Чем больше знаний вы получите, тем «умнее» станет ваш брандмауэр. Немного практики — и он будет похож не на швейцарский сыр, а на стальной барьер (что, собственно, и означает понятие «брандмауэр»).
Ресурсы
• Одна из наиболее авторитетных книг в этой области, Firewalls and Internet Security: Repelling the Wily Hacker (Брандмауэры и интернет-безопасность: как отпугнуть коварного хакера) Уильяма Чезвика (William Cheswick) и Стива Белловина (Steve Bellovin) была полностью опубликована в Интернете на сайте www.wilyhacker.com.
• Поясняющие сведения о портах и службах Рика Фэрроу (Rik Farrow) со списком используемых портов
Списки портов, также указанные в статье выше:
• Список IANA с указанием формального назначения каждого порта
• Список программ-троянов, упорядоченный по номерам используемых ими портов
• Список стандартных портов, которые используют известные программы-трояны, на сайте Sys-security.com
• Центр уведомлений о вторжениях и атаках Doshelp.com (перечень атак по номеру порта)
© 2002, WatchGuard Technologies, Inc. Все права защищены. WatchGuard, LiveSecurity, Firebox и ServerLock являются торговыми знаками или зарегистрированными торговыми знаками компании WatchGuard Technologies, Inc. в США и других странах.

Скотт Пинзон (Scott Pinzon), редактор контента сайта LiveSecurity

Возврат к списку

 

Защита банкоматов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Компрометация приложений для смартфонов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Семинар ATAR

Фамилия* Имя* Должность* Компания* Email* Телефон* Защита от автоматического заполнения Введите символы с картинки*

* - Поля, обязательные для заполнения

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Для получения БЕСПЛАТНОГО БИЛЕТА заполните, пожалуйста, Форму:

Количество билетов ограничено

Фамилия* Имя* Отчество* Название компании* Должность* Телефон рабочий* Телефон мобильный* E-mail*

* - Поля, обязательные для заполнения