Cosa sono le porte e i protocolli non standard [chiuso]

7

Sono nuovo nel campo della sicurezza e sto leggendo su come verificare se un'applicazione è sicura. Uno dei controlli consiste nello scoprire se l'app utilizza protocolli e porte di sicurezza non standard. Tuttavia, ci sono migliaia di porte e parecchi protocolli da osservare.

  • Che cosa rappresentano porte e protocolli non standard?
  • Quali sono alcune porte e protocolli che dovrebbero immediatamente sollevare le bandiere rosse?
posta anotherNoob 09.05.2018 - 15:50
fonte

1 risposta

18

Una porta non standard indica semplicemente un servizio in esecuzione su una porta diversa da quella predefinita, generalmente definita da il registro dei numeri di porta IANA .

L'esecuzione di un servizio su una porta non standard non significa nulla per sicurezza. Può ridurre la quantità di rumore che un difensore deve affrontare in termini di scansione automatizzata su Internet, dove i robot di solito indirizzano le porte standard comuni per le vulnerabilità. Spostare SSH da 22 a, ad esempio, 55522 potrebbe ridurre il numero di tentativi di forza bruta drive-by.

Per trovare tutti i servizi in esecuzione su un sistema, si può usare nmap o uno strumento simile. Ecco un comando di esempio:

nmap -sS -A -Pn -T4 -p1-65535 <host>

Rompiamo questi flag:

  • -sS indica a nmap di eseguire una scansione SYN TCP.
  • -A abilita un intervallo di opzioni relative al rilevamento del sistema operativo, al rilevamento del servizio e alla scansione degli script. Ciò è particolarmente importante per identificare i servizi su porte non standard, poiché in realtà parla con ciascuna porta aperta per capire qual è il servizio, piuttosto che indovinare in base al numero di porta.
  • -Pn indica a nmap di non utilizzare il ping ICMP per verificare se l'host è attivo. Se la destinazione blocca le richieste ICMP, questo si tradurrà in nmap assumendo che l'host sia inattivo.
  • -T4 imposta la velocità della scansione. Gli argomenti validi sono da 0 a 5. Non c'è motivo di usare nulla tranne 4 nella mia esperienza - niente di meno è solo più lento, e 5 riduce la precisione della scansione perché non aspetta abbastanza a lungo per le risposte TCP ACK.
  • -p1-65535 imposta l'intervallo di porte. Poiché stiamo cercando le porte standard e non standard, questo è l'unico modo per coprire tutto.

I risultati di questo comando dovrebbero mostrare tutte le porte aperte e quali servizi sono in esecuzione su di esse. Da lì è una questione aperta su quali protocolli sono considerati una potenziale via di attacco. SSH o Telnet potrebbero essere utili, ma a meno che non utilizzino un nome utente e una password deboli probabilmente non è interessante. Potrebbero eseguire un server HTTP su una porta non standard, con un'applicazione Web vulnerabile servita, e questo potrebbe essere di interesse. Le possibilità sono infinite.

    
risposta data 09.05.2018 - 16:27
fonte

Leggi altre domande sui tag