Quali potrebbero essere le minacce di apertura delle porte, dopo aver eseguito una scansione nmap e identificato le porte aperte?
Ho già cercato alcuni risposte per questa domanda, ma non è stato possibile trovare nulla di specifico. C'è qualche problema particolare con ogni porta o sono quelle minacce comuni a tutti loro?
Una porta aperta è una superficie di attacco. Il daemon elencato su una porta potrebbe essere vulnerabile a un buffer overflow o a un'altra vulnerabilità sfruttabile da remoto.
Un importante principio di sicurezza sta riducendo la superficie di attacco e assicuriamo che i server abbiano il numero minimo di servizi esposti.
Alcuni pensieri in C, I, A:
Riservatezza: Le porte aperte (in realtà i programmi che ascoltano e rispondono) possono rivelare informazioni sul sistema o sull'architettura di rete. Possono perdere banner, versioni di software, contenuti, il fatto che un sistema sia lì (invece di lasciar cadere il pacchetto) e che tipo di sistema sia (per esempio, nmap può i sistemi di impronte digitali). La risposta di Rook mi ha fatto riflettere su questo.
Integrità: Senza controlli di porta aperti, il software può aprire qualsiasi porta candidata e comunicare immediatamente senza ostacoli. Questo è spesso invocato da giochi, programmi di chat e altri software utili, ma non è auspicabile per il malware.
Disponibilità: Lo stack di rete e i programmi nelle porte aperte, anche se le richieste non sono valide, elaborano ancora il traffico in entrata. Anche se l'elettricità non è un problema, le soluzioni tecnologiche hanno ancora risorse limitate: risultati degradati o di negazione del servizio dal trovare un modo per commettere una porta, uno stack di rete, un computer, l'hardware, la rete o le persone in modo che non possano fare molto altro.
In relazione all'integrità e alla disponibilità, una quantità enorme di eventi e i relativi registri possono nascondere attività dannose (come lo sfruttamento di qualcosa che non si sta guardando, per ottenere l'accesso) e causare affaticamento ed errori amministrativi. È possibile anche il potenziale uso improprio di determinati servizi, forzando il sistema a partecipare a DDoSing qualcun altro.
Ritornando alla risposta di Rook, più basso è il tuo attacco e minore è il controllo delle tue risorse (e probabilmente di altre persone) che dai ai potenziali aggressori.
Nelle reti IP viene stabilita una connessione di rete creando una sessione tra le porte di due dispositivi.
In generale, il dispositivo di connessione utilizzerà una porta "alta" casuale e si connetterà a un numero di porta noto sul dispositivo di destinazione, ad esempio un laptop con un browser Internet si collegherà normalmente alla porta 80 (HTTP) o alla porta 443 ( HTTPS) di un server Web.
Ci sono un gran numero di porte ben note per servizi comuni nella gamma più bassa di numeri di porta.
Quando una scansione ha identificato le porte aperte è il risultato di una sorta di risposta dal dispositivo scansionato risultante da tentativi di connessione (o simili) a una particolare porta. Quando una porta viene segnalata come aperta, è un'indicazione che il dispositivo scansionato ha qualche tipo di servizio che usa la porta per comunicare in qualche modo.
Le porte aperte non sono sempre un rischio per la sicurezza, ad esempio un server Web deve avere 80 o 443 aperti altrimenti gli utenti non possono connettersi per utilizzare il server web.
Tuttavia, le porte aperte associate a servizi non necessari possono costituire un rischio per la sicurezza se il software a cui sono associate presenta vulnerabilità o se il componente non è stato configurato in modo sicuro.
Leggi altre domande sui tag nmap