¿Por qué algunos puertos de red son peligrosos y cómo se protegen?

Shutterstock / PeterPhoto123

Hay un puerto de red para cada tipo de tráfico. Algunos puertos corren más riesgo que otros. Estos son los peores infractores y lo que puede hacer para protegerlos.

Direccionamiento de red

Las  conexiones del Protocolo de control de transporte de red e Internet  / Protocolo de Internet se realizan desde una  dirección IP  a otra. Para mayor comodidad, podemos usar un nombre de sitio web como technicogeek.com , pero es la dirección IP subyacente que se usa para enrutar su conexión al servidor web apropiado. Lo mismo también funciona a la inversa. El tráfico de red que llega a su computadora se ha dirigido hacia su dirección IP.

Te puede interesar: ¿Qué es el reenvío de puertos? Todo lo que necesitas saber

Su computadora tendrá muchos programas y servicios ejecutándose dentro de ella. Es posible que tenga una aplicación de correo electrónico y un navegador abiertos en su escritorio. Quizás utilice un cliente de chat como  Slack  o  Microsoft Teams . Si está administrando máquinas remotas, es posible que esté usando una   conexión de secure shell (SSH). Si trabaja desde casa y necesita conectarse a su oficina, puede usar una   conexión de Protocolo de escritorio remoto (RDP) o una conexión de  Red privada virtual  (VPN).

La dirección IP solo identifica la computadora. No puede ser más granular que eso. Pero el verdadero punto final de una conexión de red es la ejecución de una aplicación o servicio. Entonces, ¿cómo sabe su computadora a qué aplicación enviar cada paquete de red? La respuesta es usar  puertos .

Cuando un mensajero entrega un paquete a un hotel, la dirección postal identifica el edificio. El número de habitación identifica la habitación y el huésped del hotel. La dirección de la calle es como la dirección IP y el número de habitación es como la dirección del puerto. Las aplicaciones y los servicios utilizan puertos numerados específicos. Entonces, el destino real de un paquete de red es un puerto en una dirección IP. Eso es suficiente para identificar la aplicación o servicio en una computadora en particular a la que está destinado el paquete.

Numeración de puertos estándar

Algunos puertos están dedicados a tipos específicos de tráfico. Estos se denominan  puertos conocidos . Otros puertos son registrados por aplicaciones y reservados para su uso. Estos son los  puertos registrados . Hay un tercer conjunto de puertos que están disponibles para cualquier aplicación. Se solicitan, asignan, utilizan y liberan según las  necesidades  . Estos se denominan  puertos efímeros .

Se utilizará una combinación de puertos en una conexión. La conexión de red necesita un puerto en el extremo local de la conexión, en la computadora, para conectarse al extremo remoto de la conexión, por ejemplo, un servidor web. Si el servidor web está usando  Hypertext Transfer Protocol Secure  (HTTPS), el puerto remoto será el puerto 443. Su computadora usará cualquiera de los puertos efímeros libres para hacer una conexión al puerto 443 en la dirección IP del servidor web.

Hay 65535 puertos TCP / IP (y el mismo número de  puertos del Protocolo de datagramas de  usuario (UDP)).

  • 0 - 1023 : Puertos conocidos. Estos son asignados a los servicios por la  Internet Assigned Numbers Authority (IANA). Por ejemplo, SSH usa el puerto 22 de manera predeterminada, los servidores web escuchan conexiones seguras en el puerto 443 y el Protocolo para transferencia simple de correo (SMTP) usa el puerto 25.
  • 1024 - 49151 : Puertos registrados. Las organizaciones pueden hacer solicitudes a la IANA para un puerto que se les registrará y se les asignará para su uso con una aplicación. Aunque estos puertos registrados se denominan semirreservados, deben considerarse  reservados . Se llaman semi-reservados porque es posible que el registro de un puerto ya no sea necesario y el puerto se libere para su reutilización. Sin embargo, a pesar de que actualmente no está registrado, el puerto todavía está en la lista de puertos registrados. Se mantiene listo para ser registrado por otra organización. Un ejemplo de puerto registrado es el puerto 3389. Este es el puerto asociado con las conexiones RDP.
  • 49152 - 65535 :  Puertos efímeros. Estos se utilizan de forma ad-hoc por los programas del cliente. Puede utilizarlos en cualquier aplicación que escriba. Por lo general, se utilizan como el puerto local dentro de la computadora cuando está transmitiendo a un puerto conocido o reservado en otro dispositivo para solicitar y establecer una conexión.

Ningún puerto es intrínsecamente seguro

Cualquier puerto dado no es más seguro o en riesgo que cualquier otro puerto. Un puerto es un puerto. Es el uso que se le da al puerto, y la seguridad con la que se gestiona, lo que determina si un puerto es seguro.

El protocolo que se utiliza para comunicarse a través de un puerto, el servicio o aplicación que consume o genera el tráfico que pasa por el puerto debe ser implementaciones actuales y dentro del período de soporte de su fabricante. Deben recibir actualizaciones de seguridad y corrección de errores y estas deben aplicarse de manera oportuna.

A continuación, se muestran algunos puertos comunes y cómo se pueden abusar de ellos.

Puerto 21, Protocolo de transferencia de archivos

Un puerto FTP inseguro que aloja un servidor FTP es una gran falla de seguridad. Muchos servidores FTP tienen vulnerabilidades que pueden permitir la autenticación anónima, el movimiento lateral dentro de la red, el acceso a técnicas de escalada de privilegios y, debido a que muchos servidores FTP pueden controlarse mediante scripts, un medio para implementar cross-site scripting.

Los programas de malware como Dark FTP, Ramen y WinCrash han hecho uso de puertos y servicios FTP inseguros.

Puerto 22, Secure shell

Las cuentas de Secure Shell (SSH) configuradas con contraseñas cortas, no únicas, reutilizadas o predecibles son inseguras y pueden verse comprometidas fácilmente por  ataques de diccionario de contraseñas . Se han descubierto muchas vulnerabilidades en implementaciones pasadas de servicios SSH y demonios, y aún se están descubriendo. El parche es vital para mantener la seguridad con SSH.

Puerto 23, Telnet

Telnet es un servicio heredado y debe retirarse. No hay justificación para utilizar este medio antiguo e inseguro de comunicación basada en texto. Toda la información que envía y recibe a través del puerto 23 se envía en texto sin formato. No hay cifrado en absoluto.

Los actores de amenazas pueden escuchar a escondidas cualquier comunicación Telnet y pueden elegir fácilmente las credenciales de autenticación. Pueden realizar ataque de intermediario inyectando paquetes maliciosos especialmente diseñados en los flujos de texto sin máscara.

Incluso un atacante remoto no autenticado puede aprovechar una vulnerabilidad de desbordamiento de búfer en el Telnet daemon o servicio Telnet y, al crear paquetes maliciosos e inyectarlos en el flujo de texto, ejecutar procesos en el servidor remoto. Esta es una técnica conocida como Ejecución de Código Remoto (o abitrario) (RCE).

Puerto 80, protocolo de transporte de hipertexto

El puerto 80 se utiliza para  tráfico de protocolo de transferencia de hipertexto  (HTTP) no seguro. HTTPS prácticamente ha reemplazado a HTTP, pero todavía existe algo de HTTP en la web. Otros puertos que se usan comúnmente con HTTP son los puertos 8080, 8088, 8888. Éstos tienden a usarse en servidores HTTP más antiguos y proxies web.

El tráfico web no seguro y los puertos asociados son susceptibles a falsificaciones y secuencias de comandos entre sitios, ataques de desbordamiento de búfer y ataques de  inyección SQL .

Puerto 1080, SOCKS Proxies

SOCKS es un protocolo utilizado por los proxies SOCKS para enrutar y reenviar paquetes de red en conexiones TCP a direcciones IP. El puerto 1080 fue uno de los puertos elegidos en un momento, para malware como  Mydoom  y muchos  gusanos informáticos  y  ataques de denegación de servicio .

Puerto 4444, Protocolo de control de transporte

Algunos programas de  rootkitpuerta trasera y Troyanos se abren y utilizan el puerto 4444. Utiliza este puerto para espiar el tráfico y las comunicaciones, para sus propias comunicaciones y para exfiltrar datos de la computadora comprometida. También se utiliza para descargar nuevas cargas útiles maliciosas. Malware como el  gusano Blaster  y sus variantes usaban el puerto 4444 para establecer puertas traseras.

Puerto 6660 - 6669, chat de retransmisión de Internet

Internet Relay Chat  (IRC) se inició en 1988 en Finlandia y aún continúa. Necesitaría tener un caso comercial de hierro fundido para permitir el tráfico de IRC en su organización en estos días.

Se han descubierto y explotado innumerables vulnerabilidades de IRC a lo largo de los veinte años que lleva en uso. El daemon UnrealIRCD tenía una falla en 2009 que hizo que la ejecución remota de código fuera un asunto trivial.

Puerto 161, Protocolo de mensajería de red pequeña

Algunos puertos y protocolos pueden brindar a los atacantes mucha información sobre su infraestructura. El puerto UDP 161 es atractivo para los actores de amenazas porque puede usarse para sondear información de los servidores, tanto sobre ellos mismos como sobre el hardware y los usuarios que se encuentran detrás de ellos.

El puerto 161 es utilizado por el  Protocolo simple de administración de red,  que permite a los actores de amenazas solicitar información como hardware de infraestructura, nombres de usuario, nombres de recursos compartidos de red y otra información confidencial que es, para el actor de la amenaza, inteligencia procesable.

Puerto 53, servicio de nombres de dominio

Los actores de amenazas deben considerar la ruta de exfiltración que utilizará su malware para transmitir datos y archivos desde su organización a sus propios servidores.

El puerto 53 se ha utilizado como el puerto de exfiltración de elección porque el tráfico a través del  Sistema de nombres de dominio  rara vez se supervisa. Los actores de amenazas disfrazarían libremente los datos robados como tráfico DNS y los enviarían a su propio servidor DNS falso. El servidor DNS falso aceptó el tráfico y restauró los datos a su formato original.

Números memorables

Algunos autores de malware eligen secuencias de números fáciles de recordar o números repetidos para usar como puertos. Los puertos 234, 6789, 1111, 666 y 8888 se han utilizado para esto. La detección de cualquiera de estos números de puerto de aspecto extraño en uso en su red debería impulsar una investigación más profunda.

El puerto 31337, que deletrea elite en  leet speak , es otro número de puerto común que puede usar el malware. Ha sido utilizado por al menos 30 variantes de malware, incluidos  Back Orifice  y  Bindshell.

Cómo proteger estos puertos

Todos los puertos deben estar cerrados a menos que exista un caso comercial documentado, revisado y aprobado. Haga lo mismo con los servicios expuestos. Las contraseñas predeterminadas deben cambiarse y reemplazarse por contraseñas sólidas y únicas. Si es posible, se debe utilizar la autenticación de dos factores.

Todos los servicios, protocolos, firmware y aplicaciones aún deben estar dentro de los ciclos de vida de soporte de los fabricantes, y deben estar disponibles parches de seguridad y corrección de errores para ellos.

Supervise los puertos que están en uso en su red e investigue cualquier rareza o puertos inexplicablemente abiertos. Comprenda cómo se ve el uso normal de su puerto para poder identificar el comportamiento inusual. Realice exploraciones de puertos y pruebas de penetración.

Cierre el puerto 23 y deje de usar Telnet. Seriamente. Solo hágalo.

Los puertos SSH se pueden proteger mediante la autenticación de clave pública y la autenticación de dos factores. La configuración de su red para usar un número de puerto diferente para el tráfico SSH también ayudará.

Si debe usar IRC, asegúrese de que esté detrás de un firewall y solicite a los usuarios de IRC que utilicen una VPN en su red para conectarse y usarlo. No permita que el tráfico externo llegue directamente a su IRC.

Supervise y filtre el tráfico de DNS. Nada debe salir del puerto 53 salvo solicitudes de DNS genuinas.

Adopte una estrategia de defensa en profundidad y convierta sus defensas en varias capas. Utilice firewalls basados ​​en host y en red. Considere un sistema de detección de intrusos (IDS) como el Snort gratuito y de código abierto  .

Deshabilite los proxies que no configuró o que ya no necesita.

Algunas cadenas de retorno SNMP tienen credenciales predeterminadas de texto sin formato. Desactive esto.

Elimine los encabezados de respuesta HTTP y HTTPS no deseados y desactive los banners que se incluyen de forma predeterminada en las respuestas de algún hardware de red. Estos brindan información innecesariamente que solo beneficia a los actores de la amenaza.

Publicar un comentario

0 Comentarios