Как открыть сетевой порт в брандмауэре на windows 10

Введение

Современная гибридная ИТ-инфраструктура состоит из ряда неоднородных компонентов — систем, микросервисов, серверов и рабочих станций, — которые находятся как внутри защищённого контура, так и за его пределами. К первой группе компонентов относятся рабочие станции сотрудников, которые работают в офисе, и серверы в локальной (on-premise) инфраструктуре. Во вторую группу входят серверы в облачных инфраструктурах и корпоративные ноутбуки той части команды, что работает удалённо.

У такой инфраструктуры, безусловно, немало преимуществ. Низкие капитальные затраты на аренду облачных сервисов, возможность быстрого наращивания вычислительных мощностей, доступ к инновационным облачным инструментам — лишь некоторые из них. В сегодняшних реалиях востребованность гибридной ИТ-инфраструктуры растёт вместе с популярностью гибридного формата работы: многие предпочитают большую часть времени работать удалённо, лишь периодически посещая офис. Кроме того, компании стали намного чаще нанимать сотрудников из других регионов, что также повышает востребованность гибридной ИТ-инфраструктуры.

Network Addressing

Network and internet Transport Control Protocol/Internet Protocol connections are made from one IP address to another. For convenience, we may use a website name like cloudsavvyit.com, but it’s the underlying IP address that is used to route your connection to the appropriate webserver. The same thing works in reverse, too. The network traffic that arrives at your computer has been directed towards its IP address.

The IP address only identifies the computer. It cannot be any more granular than that. But the real end-point for a network connection is an application or service run. So how does your computer know which application to send each network packet to? The answer is by using ports.

When a courier delivers a parcel to a hotel, the street address identifies the building. The room number identifies the room, and the hotel guest. The street address is like the IP address, and the room number is like the port address. Applications and services use specific, numbered ports. So the actual destination for a network packet is to a port at an IP address. That is enough to identify the application or service on a particular computer that the packet is destined for.

А мне-то, пользователю, что делать?

Соблюдать осторожность при пользовании публичными сетями. Это значит, быть в меру подозрительным и не «хлопать ушами»

А именно:

  • Установить надежный антивирус;
  • Отключить автоматическое подключение к Wi-Fi сетям;
  • Не подключаться к сетям без шифрования;
  • Подключаться к незапароленной сети, только убедившись, что она действительно принадлежит заведению или офису;
  • Везде, где можно, подключить подтверждение пароля по SMS или другие методы двухфакторной авторизации;
  • Установить браузерный плагин, который шифрует все соединения по протоколу HTTPS — есть еще сайты, которые не делают это по умолчанию. Лаборатория Касперского советует HTTPS Everywhere;
  • Открывать вкладки в браузере в режиме инкогнито («новое приватное окно», «новое окно в режиме инкогнито»);
  • Не вводить критически важные логины и пароли: данные платежной карты, интернет-банкинга, электронной почты, личных кабинетов на сайтах авиакомпаний и т.п. Для этих целей пользуйтесь интернетом через сотовую сеть;
  • По возможности не скачивать файлы с сайтов, которым вы не доверяете на 100 %, и уж во всяком случае не соглашаться на срочное обновление программного обеспечения, установку «критически важных» обновлений, плагинов, плейеров и т.д.;
  • Если есть возможность — настроить на своем гаджете VPN.

Способы сканирования

Горизонтальное сканирование

При горизонтальном сканировании злоумышленник просматривает один и тот же порт на нескольких компьютерах, то есть несколько IP-адресов. Атакующий стремится найти хосты, раскрывающие определенные сервисы. Таким образом хакер сканирует определенные порты на всех машинах, разные IP-адреса в пределах определенного диапазона.

Горизонтальное сканирование представляет собой наиболее часто используемый в настоящий момент тип сканирования портов.

Вертикальное сканирование

Вертикальным сканированием называют процесс, при котором злоумышленник сканирует несколько портов на одном компьютере, то есть один IP-адрес.

Распределенное вертикальное сканирование

При распределенном вертикальном сканировании несколько источников последовательно сканируют несколько портов на одном IP-адресе.

Распределенное горизонтальное сканирование

В этом случае несколько источников сканируют один и тот же порт на нескольких IP-адресах последовательным образом. Во время распределенного сканирования часто меняются IP-адреса злоумышленников, что делает их обнаружение довольно сложной задачей.

Рисунок 1. Схема сканирования портов

Распределенное вертикальное сканирование и распределенное горизонтальное сканирование часто ассоциируются с атаками, выполняемыми несколькими злоумышленниками (или группами), что представляет собой одну из самых современных форм атак. Совместные атаки иногда описываются как «кибератаки следующего поколения».

Недавно опубликованное исследование представило новый подход, который помогает обнаружить сканирование портов, он основан на графическом моделировании. Создатели нового подхода применили свой метод к данным, полученным из darknet.

Как защитить себя от хакеров

В 2019 году хакерские атаки совершались каждые 14 секунд. Специалисты из InfoWatch сообщали, что в том же году в сеть утекло более 14 миллиардов записей с личными данными пользователей со всего мира, в России это число составило 170 миллионов. И цифры растут: так, согласно отчёту Check Point Software Technologies, за первое полугодие 2021 года число кибератак на организации во всём мире возросло на 29%. Хакеры продолжают использовать пандемию COVID-19 и переход на удалённую работу.

Предлагаем ряд рекомендаций, которые помогут пользователям защитить свои данные.

Выкладывать как можно меньше личной информации в публичном пространстве

Не публиковать в соцсетях каждый свой шаг.

Не сообщать о поездках в другую страну: воры наверняка захотят воспользоваться этой информацией.

Не называть свой банк или своего сотового оператора.

Сетевая адресация

Сеть и Интернет Протокол управления транспортом / Интернет-протокол соединения производятся от одного айпи адрес к другому. Для удобства мы можем использовать имя веб-сайта, например cloudsavvyit.com, но это базовый IP-адрес, который используется для маршрутизации вашего подключения к соответствующему веб-серверу. То же самое работает и в обратном направлении. Сетевой трафик, который прибывает на вашем компьютере был направлен на его IP-адрес.

На вашем компьютере будет запущено множество программ и служб. На вашем рабочем столе могут быть открыты почтовая программа и браузер. Возможно, вы используете чат-клиент, например Слабина или же Команды Microsoft. Если вы администрируете удаленные машины, вы можете использовать безопасная оболочка (SSH) соединение. Если вы работаете из дома и вам нужно подключиться к своему офису, вы можете использовать Протокол удаленного рабочего стола (RDP) или Виртуальная частная сеть (VPN) соединение.

IP-адрес только идентифицирует компьютер. Это не может быть более детализированным, чем это. Но настоящая конечная точка для сетевого подключения — это запущенное приложение или служба. Итак, как ваш компьютер узнает, в какое приложение отправлять каждый сетевой пакет? Ответ заключается в использовании порты.

Когда курьер доставляет посылку в отель, адрес идентифицирует здание. Номер комнаты идентифицирует комнату и гостя отеля. Уличный адрес подобен IP-адресу, а номер комнаты подобен адресу порта. Приложения и службы используют определенные пронумерованные порты. Таким образом, фактическим местом назначения сетевого пакета является порт с IP-адресом. Этого достаточно, чтобы идентифицировать приложение или службу на конкретном компьютере, для которого предназначен пакет.

Как работает DDoS-атака

Принцип работы DDoS кроется в названии: отказ в обслуживании. Любое оборудование имеет ограничение по пропускной способности и по количеству обрабатываемых запросов. И организатор атаки ставит задачу загрузить все каналы до максимума, чтобы реальные пользователи не могли пробиться к сервису из-за огромного количества мусорных запросов.

Для атак используются ботнет-сети: некоторое количество заражённых вирусом устройств, которыми хакеры могут управлять. Их может быть сто, а может — сто тысяч. Во время атаки хакеры отправляют запросы с этих ботов на сайт жертвы. Поскольку каждый компьютер инициирует соединения, которые ничем не отличаются от действий обычного человека, распознать атаку трудно. И только с ростом количества запросов становится заметна нагрузка, которая превышает ожидаемую.

Обычно такие атаки длятся несколько часов. Но бывали случаи, когда DDoS вёлся несколько суток.

Сами атаки разделяются по принципу воздействия на три вида:

  1. Переполнение канала. ICMP-флуд, UDP-флуд, DNS-амплификация
  2. Использование незащищенности стека сетевых протоколов. «Пинг смерти», ACK/PUSH ACK-флуд, SYN-флуд, TCP null/IP null атака
  3. Атака на уровне приложений. HTTP-флуд, медленные сессии, фрагментированные HTTP-пакеты

Настройка безопасности MikroTik. Защита от сканирования портов

Давайте немного модифицируем нашу конфигурацию firewall, что позволит защитить MikroTik от сканирования портов. Сканирование портов – это попытки подключиться на разные порты с целью определения их доступности.

Сканирование портов может осуществляться разными способами, каждый из которых имеет свои особенности. Настроим защиту от большинства известных видов сканирования.

Не буду вдаваться в теорию, а просто покажу готовое решение, которое успешно работает многие годы.

Чтобы не запутаться перед каждым новым условием я буду писать заголовок, который, будет служить комментарием к нему.

Port scanners to list:

Защиту от сканирования портов для MikroTik можно настроить с помощью опции Port Scan Detection (PSD):

NMAP FIN Stealth scan:

SYN/FIN scan:

SYN/RST scan:

FIN/PSH/URG scan:

ALL/ALL scan:

NMAP NULL scan:

Осталось создать запрещающее правило, которое заблокирует соединения для IP-адресов из списка “ BAN_black_list”:

Меню “Advanced” в пункте Src. Address List из выпадающего меню выберем наш адрес лист (BAN_black_list):

Далее:

Данное условие firewall необходимо добавить в цепочки “Input” и ”Forward”. Правильное расположение всех правил можно посмотреть на рисунке ниже:

Скачать полную конфигурацию firewall MikroTik с настроенной защитой от сканирования, перебора паролей и DoS-атак можно тут.

А также рекомендуем изучить статьи:

  • Настройка DHCP на MikroTik;
  • MikroTik настройка L2TP Server;
  • MikroTik NTP Server.

Настройка firewall на MikroTik закончена. Надеюсь, данная статья была вам полезна. Если возникли вопросы пишите в комментарии.

Корень зла — устаревшие версии ПО и небезопасные протоколы

Как показывают результаты инструментального анализа защищенности сетевых периметров, почти половина (47%) выявленных уязвимостей могут быть устранены установкой актуальных версий ПО. Проблемы с наличием обновлений были выявлены во всех организациях, а в 42% организаций используются программные продукты, производители которых официально прекратили поддержку и больше не выпускают обновления безопасности. Например, в 32% организаций есть приложения, написанные на языке программирования PHP версии 5, который не поддерживается с января 2019 года. К слову, возраст самой старой уязвимости, обнаруженной в ходе инструментального анализа, составляет 16 лет.

Рисунок 7. Самые распространенные уязвимости на сетевом периметре (количество узлов)Рисунок 8. Уязвимое ПО (доля уязвимостей, связанных с использованием устаревших версий)

В ходе инструментального анализа было выявлено более тысячи уязвимостей, связанных с устаревшими версиями OpenSSH, для 27% из них в свободном доступе есть эксплойты. Так, например, в 58% организаций в ходе инструментального анализа была найдена уязвимость CVE-2018-15473 в пакете OpenSSH версий ниже 7.7. Она позволяет определить идентификаторы существующих в системе пользователей. Для этого злоумышленнику требуется отправить специально сформированный запрос на аутентификацию. Если включенный в запрос идентификатор не существует в системе, то сервер ответит сообщением об ошибке, а если существует — соединение будет прервано без ответа. Для автоматизации процесса есть общедоступный инструмент. Эту уязвимость наши специалисты неоднократно использовали в ходе тестов на проникновение.

Рисунок 9. Эксплуатация уязвимости CVE-2018-15473

С использованием небезопасных версий протокола SSL/TLS и устаревших версий криптографической библиотеки OpenSSL связаны 16% всех выявленных уязвимостей. В каждой организации выявлены узлы, уязвимые для атаки SWEET32 (CVE-2016-2183), в 84% организаций — для атаки POODLE (CVE-2014-3566). Отметим, что для реализации этих атак у злоумышленника должна быть возможность перехватывать информацию между клиентом и сервером и модифицировать ее. В случае успешной эксплуатации злоумышленник может восстановить зашифрованные данные, например значения HTTP-cookies. Предотвратить атаку SWEET32 возможно отказавшись от использования блочных алгоритмов шифрования с длиной блока 64 бита (Blowfish, DES, 3DES). Для защиты от атаки POODLE откажитесь от использования SSL версии 3. Если по каким-то причинам это невозможно, активируйте механизм TLS_FALLBACK_SCSV.

В 53% организаций обнаружены узлы, уязвимые для атаки DROWN. Атака возможна из-за уязвимости CVE-2016-0800 в реализации протокола SSL версии 2. В результате атаки при определенных условиях злоумышленник может завладеть сеансовыми ключами, которые передаются в SSL-сессиях, а значит — получить доступ ко всей информации, передаваемой по зашифрованному каналу.

В двух организациях были выявлены серверы, подверженные нашумевшей в 2014 году уязвимости Heartbleed (CVE-2014-0160) в OpenSSL 1.0.1. Она позволяет извлечь из оперативной памяти сервера закрытые ключи шифрования и пароли пользователей. Для уязвимости существует готовый эксплойт.

Рисунок 10. Известные уязвимости в SSL/TLS и OpenSSL (доля организаций)

Уязвимости, из-за которых разработчики ПО вынуждены периодически выпускать обновления безопасности, а компании — тщательно следить за выходом этих обновлений, связаны с ошибками, допущенными в программном коде. Каждую такую уязвимость мы соотнесли с недостатками ПО из списка Common Weakness Enumeration (CWE). В результате мы выяснили, что 30% уязвимостей, выявленных в устаревших версиях ПО и коде веб-приложений, связаны с наиболее опасными программными ошибками по версии MITRE (рейтинг 2019 CWE Top 25 Most Dangerous Software Errors). В рейтинг MITRE вошли наиболее распространенные критические ошибки, которые злоумышленники легко находят и эксплуатируют, что позволяет им похитить информацию, вызвать отказ в обслуживании или получить полный контроль над уязвимым приложением.

Как открыть или заблокировать порт TCP или UDP

Теперь, когда вы определили порты TCP и UDP на своем ПК с Windows, самое важное. Прежде всего, вам может потребоваться открыть порт для бесперебойной работы приложения

С другой стороны, вам может потребоваться заблокировать определенные порты, поскольку они больше не используются и могут выступать в качестве шлюза для угроз. Следовательно, такие порты блокируются брандмауэром

Прежде всего, вам может потребоваться открыть порт для бесперебойной работы приложения. С другой стороны, вам может потребоваться заблокировать определенные порты, поскольку они больше не используются и могут выступать в качестве шлюза для угроз. Следовательно, такие порты блокируются брандмауэром.

Выполните следующие действия, чтобы открыть или заблокировать порт TCP или UDP.

Откройте меню «Пуск», нажав клавишу Windows. Тип Брандмауэр Защитника Windows, и выберите Брандмауэр Защитника Windows в режиме повышенной безопасности от результатов.

Откроется следующее окно.

Нажать на Входящие правила вкладка в меню слева.

Нажать на Новое правило… на панели Действия в правом боковом меню. Когда откроется это окно, выберите Порт переключатель и щелкните Следующий.

При нажатии Следующий вкладка, следующее окно Мастер создания нового входящего правила открывается. В этом окне вы можете выбрать тип порта, который хотите открыть или заблокировать. Вы также можете выбрать, хотите ли вы открыть или заблокировать все порты выбранного типа или определенный локальный порт. Укажите количество или диапазон локальных портов, которые вы хотите открыть или заблокировать. И нажмите Следующий.

Следующее окно открывается, когда вы нажимаете Далее. Здесь вы можете открыть порты, выбрав Разрешить соединение или же Разрешить соединение, если оно безопасное Радио-кнопки. Выберите третий переключатель Заблокировать соединение чтобы заблокировать указанные порты.

Теперь выберите, применяется ли правило к Домен, Частный или же Общественные или все это. Нажмите Следующий.

Следующее окно открывается при нажатии Следующий. В этом окне укажите Имя для этого нового правила для входящих подключений. Вы также можете указать, какие порты были заблокированы или открыты в Описание раздел.

Нажмите Заканчивать для создания этого нового правила для входящих подключений.

Обратите внимание, что иногда после блокировки определенного порта приложения могут работать некорректно. Вы также можете столкнуться с проблемами при подключении к определенным ресурсам

Это означает, что заблокированный вами порт может потребоваться открыть. Вы можете отменить блокировку портов в любое время, выполнив тот же процесс.

Читать дальше: Как контролировать TCP, UDP связь в Windows с помощью PortExpert.

Что такое порты TCP и UDP?

TCP и UDP относятся к протоколу транспортного уровня, используемому для сквозной связи между двумя хостами, порты являются частью сегмента TCP или дейтаграммы UDP для правильной установки связи. Мы могли бы сказать, что «порты» — это что-то вроде «дверей» определенной службы, независимо от того, используем ли мы TCP или UDP, поскольку оба протокола используют порты

Сами порты не опасны, порт — это порт, и не имеет значения, является ли порт 22 портом 50505, что наиболее важно, так это использование, которое дается порту, опасно иметь открытый порт на уровне приложения. сервис, который не защищен, потому что любой может подключиться к этому сервису и воспользоваться уязвимостями или взломать нас напрямую

Конечно,

В TCP и UDP у нас есть в общей сложности 65535 доступных портов, у нас есть классификация в соответствии с используемым номером порта, потому что некоторые порты обычно называются «известными», и они зарезервированы для определенных приложений, хотя есть многие другие порты, которые обычно используются различным программным обеспечением для связи как на уровне локальной сети, так и через Интернет. У нас также есть зарегистрированные порты и временные порты.

Известные порты

Широко известные порты варьируются от порта 0 до 1023, они регистрируются и назначаются Управлением по присвоению номеров Интернета (IANA). Например, в этом списке портов есть порт 20 для FTP-Data, порт 21 для FTP-Control, порт 22 для SSH, порт 23 для Telnet, порты 80 и 443 для Интернета (соответственно HTTP и HTTPS), а также обмен сообщениями через порт среди многих других протоколов прикладного уровня.

Зарегистрированные порты

Диапазон зарегистрированных портов — от 1024 до 49151. Основное различие между этими портами состоит в том, что разные организации могут запрашивать у IANA определенный порт по умолчанию, и он будет назначен для использования с определенным приложением. Эти зарегистрированные порты зарезервированы, и никакая другая организация не сможет зарегистрировать их снова, однако они обычно являются «частично зарезервированными», потому что, если организация прекратит их использовать, они могут быть повторно использованы другой компанией. Наглядным примером зарегистрированного порта является 3389, который используется для RDP-подключений к удаленному рабочему столу в Windows.

Эфемерные порты

Это порты с 49152 по 65535, этот диапазон портов используется клиентскими программами, и они постоянно используются повторно. Этот диапазон портов обычно используется при передаче на известный или зарезервированный порт с другого устройства, такого как пассивный Интернет или FTP. Например, когда мы посещаем веб-сайт, порт назначения всегда будет 80 или 443, но порт источника (чтобы данные знали, как вернуться) использует порт эпиметра.

Как происходит слив данных и чем это грозит пользователю

При подключении к общественной сети данные могут перенаправляться хакерам несколькими способами. Самый распространенный из них – установка вредоносного ПО на ваше устройство. Мошенники заражают точку доступа вирусом, а затем предлагают установить какое-нибудь обновление для популярного приложения.

Второй способ – использование анализаторов пакетов данных, которые позволяют отслеживать трафик, посещенные сайты и введенные на них данные с подключенных к сети устройств. Такая информация может позволить мошеннику получить доступ к чужим аккаунтам или финансовым счетам.

Например, они могут подписать точку доступа, как McDonalds12 и постоянно красть информацию с подключенных устройств. При этом даже опытные пользователи могут не заподозрить подвоха, так как обычно люди доверяют крупным торговым сетям.

Как работает этот протокол SMB?

В более ранних версиях Windows SMB использовался для работы в сетевой архитектуре NetBIOS. Microsoft модифицировала SMB в Windows 2000 для работы с некоторыми основными TCP, где она использовала выделенный порт IP. В последних версиях Windows он продолжает использовать тот же порт.

Microsoft даже внесла улучшения в SMB для повышения безопасности и производительности. С SMB2 это уменьшило всю детализацию протокола. С другой стороны, SMB3 состоит из улучшений и производительности для виртуализированной среды и поддержки сквозного и надежного шифрования.

Кроме того, здесь вы разберетесь со всеми Типы брандмауэра, Windows Основы брандмауэра, и полное сравнение межсетевой экран с сохранением состояния и без сохранения состояния.

Протоколы SMB

Как и другие языки, программисты создали разнообразные диалекты SMB для использования в разных целях. Например, CIFS (Common Internet File System) — это конкретная реализация SMB, которая позволяет осуществлять общий доступ к файлам. Большинство людей рассматривают CIFS в качестве другого протокола вместо SMB, где на самом деле они используют одинаковую базовую архитектуру.

Некоторые из важных реализаций SMB включают в себя:

  • самбаЭто относится к реализации с открытым исходным кодом из Microsoft Active Directory. Эта реализация позволяет системам, отличным от Windows, взаимодействовать с системой Windows.
  • CIFS: Это типичный протокол разделения огня, который используют серверы Windows. CIFS также совместим с устройствами NAS.
  • МоСМБ: Эта реализация является частным SMB, который был представлен Рюсси Технологии.
  • NQЭто еще одна портативная реализация SMB для обмена файлами. Системы визуальности разработал эту реализацию SMB.
  • : Это многопротокольный сетевой протокол с поддержкой идентификации для обмена файлами. EMC приобрел этот протокол в 2012 году.
  • смокинг SMB: это еще одна проприетарная реализация SMB, которая работает либо в пользовательском пространстве, либо в ядре.

Теперь пришло время узнать о брандмауэре портов SMB и о других вещах о портах SMB. Начнем с разговоров о портах SMB 445 и 139.

Кроме того, нажмите здесь, чтобы прочитать больше о полной IDS VS. Межсетевой экран VS. IPS сравнение и Mikrotik Firewall правила.

Кто может стать жертвой DoS-атаки

Стать объектом кибератаки может практически любая организация и даже частное лицо. По некоторым данным, каждая шестая российская компания сталкивалась с подобной проблемой.

В группе риска находятся сайты:

Доски объявлений, сайты турфирм тоже сталкиваются с такими атаками, но реже. В августе 2021 года поисковый гигант Яндекс рассказал, что подвёргся крупнейшей в России DDoS-атаке. До этого, в 2020 году, был атакован Сбербанк.

Ещё одним сравнительно новым вектором атак стал «интернет вещей» (Internet of Things, IoT). Подключённые к интернету устройства нередко становятся частью ботнет-сети или каналом прослушки.

Главные угрозы безопасности корпоративных сетей и как от них защититься

  • 05.04.21 14:12


ptsecurity

#550814

Хабрахабр


В черновиках

2

Информационная безопасность, Блог компании Positive Technologies

Рисунок 1. Портрет участников исследования

Чем дольше хакерам удается скрываться от службы безопасности компании, тем глубже они проникают в ее инфраструктуру и воруют больше данных. Хорошая новость заключается в том, что хотя злоумышленники могут скрыть применение своих инструментов от антивирусного ПО, активность в сетевом трафике спрятать сложнее — для этого хакерам придется вносить изменения в протоколы передачи данных. Для анализа трафика обычно применяются решения класса network attack discovery (NTA).

Недавно мы проанализировали результаты мониторинга сетевой активности в 41 компании, в которых ранее проводились пилотные проекты по внедрению PT NAD и комплекса для раннего выявления сложных угроз (PT Anti-APT). При оценке активности вредоносного ПО также учитывались результаты пилотных проектов по внедрению PT Sandbox. 

В этой статье мы поделимся основными выводами исследования, а также приведем рекомендации, как компаниям усилить защиту сети от внешних вторжений. 

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
3D-тест
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: