Popis portů z bezpečnostních upozornění MasterDC

Úvod

Z automatického dohledu MasterDC zákazníkům zasíláme bezpečnostní upozornění na detekované hrozby a zranitelnosti v síti. Kontrola zranitelností probíhá na všech poskytovaných službách.

Každá zaslaná zpráva obsahuje ID služby, pro kterou je zranitelnost relevantní, IP adresu, číslo a název ohroženého síťového portu služby. Níže je k dispozici bližší popis označení jednotlivých portů a protokolů.

Popis síťových portů

Port 17 – Quote of the Day (QODT) protokol

Tento protokol odpovídá na připojení zasláním textového řetězce a následně spojení uzavírá. Využití protokolu se nikdy zásadně nerozšířilo, jeho služby ale využívají starší operační systémy a dodnes v nich je implementován. Jedná se o potenciálně zneužitelnou zranitelnost.

Port 19 – Character Generator (CHARGEN) protokol

Protokol je určen pro testování a debugging. Kvůli snadné zranitelnosti se ale využívá jen zřídka. Při navázání spojení se serverem podporujícím Chargen je odpovědí proud náhodných znaků, který je zasílán, dokud není spojení ukončeno. V případě UDP spojení dojde k jednorázové odpovědi, jejíž velikost může dosáhnout až 512 bytů.

Port 53 – DNS

Jedná se o otevřený domain name resolver. Pokud na serveru není provozován DNS resolving cíleně, jedná se o bezpečnostní riziko zneužitelné reflexivními útoky.

Port 69 – Trivial File Transfer Protocol (TFTP)

TFTP představuje jednodušší verzi FTP protokolu pro přenos dat. Servery jej používají k bootování stanic bez disků, terminálů nebo třeba routerů. Problém spočívá v tom, že TFTP protokol nevyužívá žádné autentifikace. Soubory jsou v síti dostupné komukoli, kdo o ně požádá.

Port 123 – Network Time Protocol (NTP)

Protokol navržený k synchronizaci času mezi počítači a síťovými systémy. Poskytuje informace a zároveň je vstupní branou pro útočníky. Informace shromážděné z tohoto portu obsahují například uptime systému, čas serveru nebo statistiky paměti.

Port 137, 138 a 139 – NetBIOS

Network Basic Input Output Systém je program umožňující aplikacím na různých počítačích komunikovat v rámci LAN (Local Area Network) sítě. NetBIOS je zabudován v balíčku Samba, s jehož pomocí lze služby používat i přes internet. Vhodný je pro resolve name services, komunikaci typu nahlašování chyb nebo broadcast všem rozhraním v síti.

Port 161 – Simple Network Management Protocol (SNMP)

Protokol určený pro monitoring a vzdálenou správu serverů. Samotný port by měl být dostupný pouze ze specificky povolených zdrojů.

Port 1900 – Universal Plug and Play (UPnP)

Základním stavebním kamenem UPnP protokolu je Simple Service Discovery Protocol určený pro použití v malých sítích. Kdykoli se zařízení připojí k síti, může automaticky získat informace o místní síti, audio systémech, televizních nebo internetových branách. Nezabezpečená verze protokolu, která je ve všech zařízeních předinstalována, je snadno zneužitelná pro reflexivní útoky.

Port 3702 – Web Services Discovery (WSD)

Síťový protokol vytvořený k objevování a lokalizaci služeb v síti. Ve výchozím nastavení zasílá tzv. sondy do multicastové skupiny – služby, které odpoví specifickou návratovou hodnotu přímo tazateli. Aby nedošlo k zahlcení sítě, musí se cíl při vstupu a výstupu ze sítě sám ohlásit, pokud chce být zmapován. V případě multicastových skupin se mohou tímto způsobem vygenerovat extrémní amplifikační útoky.

Port 11211 – Memcached

Obecně distribuovaný paměťový cachovací systém. Často se používá ke zrychlení dynamických, databázově založených webů. Systém cachuje data a objekty do RAM pro redukci počtu čtení externího zdroje. Oblíbený mechanismus může při nesprávném použití způsobovat nekonzistence, chyby a je často zneužíván k amplifikaci útoků.

Port 111 – Portmap

Úkolem Remote Procedure Call Services (RPC services) je zavolat a vrátit číslo portu, který je službě rezervován. Ne všechny porty jsou ale rezervovány dopředu. V okamžiku startu RPC služby se jednotlivé porty registrují pomocí port mapperu. Port mapper je program, který vede záznamy o číslech použitých portů. Výpis portů je na dotaz klientovi zaslán, a to včetně seznamu všech využívaných služeb. Odpověď však obsahuje řadu lehce zneužitelných informací.

Port 389 – Lightweight Directory Access Protocol (LDAP)

LDAP servery jsou servery s více adresáři, k nimž přistupuje mnoho uživatelů. Z toho důvodu je nezbytné je oddělovat a autentizovat jednotlivé přístupy. Právě k separaci slouží LDAP. Nejde jen o udržování pravomocí pro konkrétní uživatele, ale i pro skupiny uživatelů. Tyto pravomoci jsou uchovávány v jednoduše čitelné a upravitelné podobě. Externí přístup do LDAP služeb by měl být vždy zabezpečen.