Abbiamo circa mille macchine su internet. Effettuiamo la scansione delle porte con nmap e troviamo molte porte aperte su queste macchine. A volte trovavamo il sito web amministrativo usando HTTP invece di HTTPS, lo bloccavamo.
Ma ci sono molte altre porte aperte e non abbiamo idea di quali servizi siano. C'è un modo per capire quali sono insicuri?
Fase 1: chiudi tutte le porte per le quali non hai un'esigenza commerciale esplicita!
Tutte le porte aperte aggiungono potenziale insicurezza: una porta chiusa è una porta sicura.
Se non sai perché una porta è aperta, sarei preoccupato: scopri su quale servizio è in esecuzione. Se non ci sono esigenze aziendali, disattivalo ! Se non riesci a scoprire quale servizio è, spegnilo !
Ci sono elenchi di servizi per i servizi più comuni eseguiti su porte particolari, ma in realtà, tutto può essere eseguito su qualsiasi porta (praticamente), quindi è necessario disporre di un registro che dettagli la porta, il servizio, la ragione / funzione aziendale, il proprietario, la data in cui è stata implementata.
Se non riesci a chiudere i servizi, utilizza un firewall per bloccare esplicitamente l'accesso a tutti tranne i servizi di cui hai bisogno.
Dopo averlo fatto, assicurati che tutti i tuoi servizi siano corretti . Una delle maggiori fonti di vulnerabilità è rappresentata da servizi / applicazioni privi di patch. Resta aggiornato ora!
La periodica scansione periodica delle vulnerabilità ([Qualys] [1] è generalmente considerata come la migliore nello spazio di scansione delle vulnerabilità commerciali) e l'attenta attenzione alle mailing list rilevanti per la sicurezza è la prima linea di difesa. Una volta che questo è a posto, "C'è un modo per capire quali (porti) sono insicuri?" è in realtà la domanda sbagliata. La sicurezza delle applicazioni è una cosa effimera. Un'applicazione che è in ascolto su una porta potrebbe essere sicura in base a {vulnerability_scanner} oggi, ma tra il ciclo di scansione di un giorno è rilasciato e l'ultima versione di [BIND] [2] non è sicura.
Il miglior consiglio è di aderire al concetto di minimo privilegio . Come accennato in precedenza, chiudere tutte le applicazioni che non sono esplicitamente richieste. Un elenco di porte ben note e registrate e le relative applicazioni potrebbero essere d'aiuto.
Se non è chiaro quale applicazione trattiene una porta aperta sulla tua macchina, i comandi [lsof e netstat] [5] possono aiutarti.
Infine, se hai un gran numero di macchine da amministrare, forse dovresti controllare alcuni strumenti di gestione centralizzata della configurazione, come [Chef] [6].
Raccomando di usare nessus o uno scanner di vulnerabilità. Usa una tecnica chiamata "banner grabbing" per determinare quale versione e servizio una macchina è in esecuzione su una porta. Sa anche quali versioni sono vulnerabili e ti fornirà un bel report di ogni macchina.
Attenzione ... costa a seconda di chi sei e delle impostazioni in cui lo usi. Potrebbero esserci altri scanner di vulnerabilità, ma nessus è il nome più grande là fuori. Spero di essere stato utile.
Leggi altre domande sui tag ports vulnerability-scanners