고위험 네트워크 포트를 보호하는 방법은 무엇입니까?

번호가 매겨진 네트워크 포트를 통해 전송되는 데이터 패킷은 TCP 또는 UDP 프로토콜을 사용하여 특정 IP 주소 및 엔드포인트와 연결됩니다. 모든 포트는 공격을 받을 위험이 있으며 어떤 포트도 절대적으로 안전하지는 않습니다.

RedTeam의 주요 보안 컨설턴트인 Kurt Muhl은 다음과 같이 설명했습니다. "모든 기본 포트와 서비스에는 위험이 있습니다. 서비스 버전이 올바르게 구성되었거나 서비스에 대한 비밀번호를 설정했더라도 위험은 서비스 버전에서 발생합니다. 비밀번호가 강력한가요? 다른 요소로는 해커가 공격하기 위해 선택한 포트인지 , 해당 포트를 통해 악성 코드를 허용하는지 등이 있습니다. 간단히 말해서 포트나 서비스의 보안을 결정하는 요소는 많습니다."

CSO는 애플리케이션, 취약점 및 관련 공격을 기반으로 네트워크 게이트웨이의 위험을 조사하여 이러한 취약점을 악용하는 악의적인 해커로부터 기업을 보호하기 위한 다양한 접근 방식을 제공합니다.

• 포괄적인 네트워크 모니터링 도구 세트
• IT 담당자가 알아야 할 10가지 기본 네트워크 문제 해결 도구

네트워크 게이트웨이가 위험한 이유는 무엇입니까?

총 65,535개의 TCP 포트와 65,535개의 UDP 포트가 있습니다. 가장 위험한 포트 중 일부를 살펴보겠습니다. TCP 포트 21은 FTP 서버를 인터넷에 연결합니다. 이러한 FTP 서버에는 익명 인증, 디렉터리 탐색, 사이트 간 스크립팅과 같은 많은 주요 취약점이 있어 포트 21이 해커의 이상적인 표적이 됩니다.

일부 취약한 서비스는 이 유틸리티를 계속 사용하지만 TCP 포트 23의 Telnet과 같은 레거시 서비스는 처음부터 본질적으로 안전하지 않았습니다. 대역폭은 매우 작지만 한 번에 몇 바이트에 불과하지만 Telnet은 데이터를 일반 텍스트로 완전히 공개적으로 보냅니다. 미국 국방부의 컴퓨터 과학자인 오스틴 노비(Austin Norby)는 다음과 같이 말했습니다. "공격자는 인증서를 듣고, 보고, [중간자] 공격을 통해 명령을 주입하고 마지막으로 RCE(원격 코드 실행)를 수행할 수 있습니다. (본 내용은 본인의 의견이며, 어떠한 소속사의 입장도 대변하지 않습니다.)

일부 네트워크 포트는 공격자가 침입하기 쉬운 구멍을 만드는 반면 다른 포트는 완벽한 탈출 경로를 만듭니다. DNS용 TCP/UDP 포트 53이 그 예입니다. 네트워크에 침투하여 목표를 달성한 후 해커가 데이터를 가져오기 위해 해야 할 일은 기존 소프트웨어를 사용하여 데이터를 DNS 트래픽으로 바꾸는 것뿐입니다. Norby는 "DNS는 거의 모니터링되거나 필터링되지 않습니다."라고 말했습니다. 공격자가 보안이 유지되는 기업에서 데이터를 훔칠 때 데이터를 원래 상태로 다시 변환하는 특별히 설계된 DNS 서버를 통해 데이터를 전송하기만 하면 됩니다.

더 많은 포트를 사용할수록 다른 모든 패킷에 몰래 공격을 가하는 것이 더 쉬워집니다. HTTP용 TCP 포트 80은 브라우저가 수신하는 웹 트래픽을 지원합니다. Norby에 따르면 포트 80을 통한 웹 클라이언트에 대한 공격에는 SQL 주입 해킹, 사이트 간 요청 위조, 사이트 간 스크립팅 및 버퍼 오버플로가 포함됩니다.

공격자는 별도의 포트에 서비스를 설정합니다. 이들은 맬웨어 및 작업을 지원하기 위해 "SOCKS" 프록시를 보호하는 소켓에 사용되는 TCP 포트 1080을 사용합니다. Mydoom 및 Bugbear와 같은 트로이 목마와 웜은 공격에 포트 1080을 사용했습니다. 네트워크 관리자가 SOCKS 프록시를 설정하지 않으면 그 존재가 위협이 된다고 Norby는 말했습니다.

해커는 문제가 발생하면 일련의 숫자 234, 6789 또는 666 또는 8888과 같은 숫자와 같이 쉽게 기억할 수 있는 포트 번호를 사용합니다. 일부 백도어 및 트로이 목마 소프트웨어는 TCP 포트 4444를 열어서 수신을 사용합니다. , 통신하고, 외부에서 악성 트래픽을 전달하고, 악성 페이로드를 보냅니다. 이 포트도 사용하는 다른 악성 코드로는 Prosiak, Swift Remote 및 CrackDown이 있습니다.

웹 트래픽은 포트 80만 사용하는 것이 아닙니다. HTTP 트래픽도 TCP 포트 8080, 8088 및 8888을 사용합니다. 이러한 포트에 연결되는 서버는 대부분 관리되지 않고 보호되지 않는 오래된 상자이므로 취약합니다. 보안은 시간이 지남에 따라 증가합니다. 이러한 포트의 서버는 HTTP 프록시가 될 수도 있습니다. 네트워크 관리자가 이를 설치하지 않으면 HTTP 프록시가 시스템의 보안 문제가 될 수 있습니다.

엘리트 공격자들은 유명한 백도어인 Back Orifice 및 기타 악성 프로그램에 TCP 및 UDP 포트 31337을 사용했습니다. TCP 포트에서는 Sockdmini, Back Fire, icmp_pipe.c, Back Orifice Russian, Freak88, Baron Night 및 BO 클라이언트를 언급할 수 있습니다. 예를 들어 UDP 포트의 경우 Deep BO입니다. 문자와 숫자를 사용하는 언어인 "leetspeak"에서 31337은 엘리트를 의미하는 "eleet"입니다.

비밀번호가 취약하면 SSH 및 포트 22가 공격에 취약해질 수 있습니다. BoxBoat Technologies의 시스템 엔지니어인 David Widen에 따르면: 포트 22 - 보안 셸 포트를 사용하면 취약한 서버 하드웨어의 원격 셸에 액세스할 수 있습니다. 왜냐하면 여기서 인증 정보는 일반적으로 사용자 이름과 비밀번호이며, 기본 비밀번호는 추측하기 쉽습니다. 8자 미만의 짧은 비밀번호는 공격자가 추측하기 너무 쉬운 일련의 숫자가 포함된 친숙한 문구를 사용합니다.

해커들은 여전히 ​​포트 6660~6669에서 실행되는 IRC를 공격하고 있습니다. Widen은 다음과 같이 말했습니다: 이 포트에는 공격자가 원격 공격을 수행할 수 있게 해주는 Unreal IRCD와 같은 많은 IRC 취약점이 있지만 이는 일반적으로 별 가치가 없는 일반적인 공격입니다.

일부 포트와 프로토콜을 사용하면 공격자의 범위가 더 넓어집니다. 예를 들어, UDP 포트 161은 네트워크로 연결된 컴퓨터를 관리하고, 정보를 폴링하고, 이 포트를 통해 트래픽을 전송하는 데 유용한 SNMP 프로토콜로 인해 공격자를 유인합니다. Muhl은 다음과 같이 설명합니다. SNMP를 통해 사용자는 서버에 쿼리하여 사용자 이름, 네트워크에서 공유되는 파일 및 추가 정보를 얻을 수 있습니다. SNMP에는 비밀번호 역할을 하는 기본 문자열이 함께 제공되는 경우가 많습니다.

포트, 서비스, 취약점 보호

Widen에 따르면 기업은 공개 키 인증을 사용하고, 루트로 로그인을 비활성화하고, 공격자가 찾을 수 없도록 SSH를 더 높은 포트 번호로 이동하여 SSH 프로토콜을 보호할 수 있습니다. 사용자가 최대 25,000번 포트 번호로 SSH에 연결하는 경우 공격자가 SSH 서비스의 공격 표면을 파악하기가 어렵습니다.

귀하의 비즈니스가 IRC를 운영하는 경우 방화벽을 켜서 보호하십시오. Widen은 네트워크 외부의 트래픽이 IRC 서비스 근처로 오는 것을 허용하지 않는다고 덧붙였습니다. IRC를 사용하려면 네트워크에 있는 VPN 사용자만 허용하세요.

반복되는 포트 번호, 특히 일련의 번호는 포트의 올바른 사용을 나타내는 경우가 거의 없습니다. 이러한 포트가 사용되는 것을 보면 인증되었는지 확인하라고 Norby는 말합니다. DNS를 모니터링하고 필터링하여 누출을 방지하고 Telnet 사용을 중지하고 포트 23을 닫습니다.

모든 네트워크 포트의 보안에는 심층적인 방어가 포함되어야 합니다. Norby는 다음과 같이 말합니다. 사용하지 않는 모든 포트를 닫고, 모든 서버에서 호스트 기반 방화벽을 사용하고, 최신 네트워크 기반 방화벽을 실행하고, 포트 트래픽을 모니터링 및 필터링하세요. 정기적인 네트워크 포트 검사를 수행하여 포트에 누락된 취약점이 없는지 확인하십시오. SOCKS 프록시나 아직 설정하지 않은 기타 서비스에 특별한 주의를 기울이세요. 네트워크에 취약점이 더 이상 남아 있지 않을 때까지 네트워크 포트에 연결된 모든 장치, 소프트웨어 또는 서비스를 패치, 수리 및 강화하십시오. 공격자가 네트워크 포트를 통해 액세스할 수 있는 소프트웨어(기존 및 신규 모두)에 새로운 취약점이 나타나면 사전에 조치를 취하십시오.

지원하는 모든 서비스에 대한 최신 업데이트를 사용하고, 적절하게 구성하고, 액세스 권한을 제한하는 데 도움이 되는 강력한 비밀번호와 액세스 제어 목록을 사용하면 MuHl이 포트와 서비스에 연결할 수 있다고 말합니다. 그는 또한 다음과 같이 덧붙였습니다. 포트와 서비스는 정기적으로 점검되어야 합니다. HTTP 및 HTTPS와 같은 서비스를 사용하면 사용자 정의할 여지가 많아 구성 오류 및 보안 취약성이 쉽게 발생할 수 있습니다.

위험 항구를 위한 안전한 항구

전문가들은 각 포트와 관련된 위협의 유형이나 심각도 또는 특정 포트에 대한 서비스의 취약성 수준과 같은 다양한 기준을 기반으로 다양한 고위험 포트 목록을 작성했습니다. 그러나 지금까지는 아직 완전한 목록이 없습니다. 추가 조사를 원하시면 SANS.org, SpeedGuide.net 및 GaryKessler.net의 목록부터 시작해 보세요.

CSO에서 발행한 "위험한 네트워크 포트 보호" 기사를 요약한 것입니다.

• 최고의 보안 Wi-Fi 라우터 8개
• VPN을 더욱 안전하게 만드는 방법은 무엇입니까?
• U2F 보안 키로 계정을 보호하는 방법은 무엇입니까?