转载:https://mp.weixin.qq.com/s?chksm=c0363927f741b0319bc40c0b3cc5953655e31de680949d117271369a247de25fc88ec7c9789c&exptype=unsubscribed_card_recommend_article_u2i_mainprocess_coarse_sort_tlfeeds&ranksessionid=1728724608_1&mid=2247490226&sn=a734d730516dbb87c0fc2210a4e0c48d&idx=1&__biz=Mzg5Mjg3NjUzOA%3D%3D&scene=169&subscene=200&sessionid=1728899148&flutter_pos=3&clicktime=1728724612&enterid=1728724612&finder_biz_enter_id=5&ascene=56&fasttmpl_type=0&fasttmpl_fullversion=7426470-zh_CN-zip&fasttmpl_flag=0&realreporttime=1728953706239&devicetype=android-34&version=28003339&nettype=3gnet&abtest_cookie=AAACAA%3D%3D&lang=zh_CN&exportkey=n_ChQIAhIQ8mIeddwaeZIl1iR0FfaIxRLiAQIE97dBBAEAAAAAAGZiB8b2yugAAAAOpnltbLcz9gKNyK89dVj0NeOccrrgtjJ%2FUA3nM199tcYKnqiksH3jOyj%2B8KpiOqwy7UzPfqfDJGu3FrZkIh0YKB09o0%2FWFMec90ay6Iut8pugD4rGzFinruxLNNowD4eeIls%2FFwIPK0Pyc4F80BKk1fGtI5Tmput2ThEc0L9HQwSKBK0I0PpDfS11NUK6yTTz0%2FchMo5yCJlA01NiOxPGN%2BGSy%2FDfAFOO%2BpWQTAp6q6XYRHcfmHbczK9eQB9ecn8ZzOwGsV%2Bsah7tU3Y%3D&pass_ticket=KHBxJ7UoIbyRTwgNDeHxTzfoXwuMnIHM72sQpkYnEAqfImLCNQZDpnNlKg1ViWeQ&wx_header=3

 

  1. 1. 文件传输相关端口

    • • TCP 20、21:FTP 服务(文件传输协议)端口,FTP 传输数据时未加密,容易受到攻击,如匿名上传下载、爆破、嗅探、远程执行等攻击,可能导致敏感文件泄露。

    • • TCP 69:TFTP 服务(简单文件传输系统)端口,可被用于尝试下载目标设备的各类重要配置文件,存在信息泄露风险。

    • • TCP 873:RSYNC 服务(数据镜像备份工具)端口,可能存在匿名访问和文件上传的安全隐患。

  2. 2. 远程连接相关端口

    • • TCP 23:Telnet 服务(远程终端协议)端口,Telnet 以明文传输数据,容易被嗅探和中间人攻击,可导致账号密码等敏感信息被窃取。

    • • TCP 3389:Windows RDP 服务(远程桌面协议)端口,虽然是合法的远程管理端口,但如果配置不当或存在漏洞,可能会被攻击者利用进行爆破等攻击,获取远程桌面访问权限。

    • • TCP 22:SSH 服务(安全外壳协议)端口,尽管 SSH 本身提供加密,但如果 SSH 版本过低或存在配置漏洞,可能会被攻击者利用收集到的信息尝试爆破、中间人攻击等。

    • • TCP 1723:PPTP 服务(点对点隧道协议)端口,可被用于建立虚拟专用网络连接,若被攻击者利用,可能会突破网络边界,进入内网。

    • • TCP 1194:OpenVPN 服务(虚拟专用通道)端口,与 PPTP 类似,攻击者可能会想办法获取 VPN 账号,进入内网。

  3. 3. 网络服务相关端口

    • • TCP/ UDP 53:DNS(域名系统)端口,可能会受到 DNS 溢出、远程代码执行、允许区域传送、DNS 劫持、缓存投毒、欺骗以及各种基于 DNS 隧道的远控等攻击。

    • • TCP 25:SMTP 服务(简单邮件传输协议)端口,可被用于邮件伪造、使用 vrfy/expn 命令查询邮件用户信息等,可能导致垃圾邮件、邮件欺诈等问题。

    • • TCP 110:POP3 服务(邮件协议版本 3)端口,可能会受到爆破、嗅探等攻击,导致邮件账号信息泄露。

    • • TCP 135:实际上是一个 Windows NT 漏洞,开放的 135 端口容易引起外部的“snork”攻击。

    • • TCP 137、139、445:SMB(NetBIOS 协议)端口,可被尝试爆破以及利用 SMB 自身的各种远程执行类漏洞,如 MS08 - 067、MS17 - 010 等,可能导致文件共享被非法访问、恶意代码执行等问题。

    • • UDP 137、138:NetBIOS 相关的 UDP 端口,也存在被攻击利用的风险,如信息泄露、网络嗅探等。

    • • TCP 389:LDAP 服务(轻量目录访问协议)端口,可能存在 LDAP 注入、匿名访问、弱口令等安全问题,导致目录信息泄露。

  4. 4. 数据库相关端口

    • • TCP 1433:SQL Server 服务(数据库管理系统)端口,可能会受到注入、提权、SA 弱口令、爆破等攻击,导致数据库数据泄露、被篡改等问题。

    • • TCP 3306:MySQL 服务(数据库)端口,存在注入、提权、爆破等安全风险。

    • • TCP 5432:PostgreSQL 服务(数据库)端口,可能会被攻击者利用进行爆破、注入、弱口令攻击等。

    • • TCP 1521:Oracle 数据库的监听端口,可能会受到 TNS 爆破、注入等攻击。

  5. 5. 应用服务相关端口

    • • TCP 5000:可能被用于 Flask、Sybase/DB2 等服务,存在爆破、注入等安全风险。

    • • TCP 3128:Squid 服务(代理缓存服务器)端口,若存在弱口令问题,可能会被攻击者利用,获取代理服务的访问权限。

    • • TCP 3690:SVN 服务(开放源代码的版本控制系统)端口,可能存在 SVN 泄露、未授权访问等问题,导致代码泄露。

    • • TCP 8080 - 8089、8440 - 8450:这些是常用的 Web 服务相关端口,可能存在各种 Web 应用漏洞,如 Web 中间件漏洞、Web 框架漏洞等,可被攻击者利用进行攻击。

  6. 6. 其他端口

    • • TCP 2082、2083:Cpanel 服务(虚拟机控制系统)端口,可能存在弱口令等安全问题,导致虚拟机被非法控制。

    • • TCP 2181:Zookeeper 服务(分布式系统的可靠协调系统)端口,可能存在未授权访问的风险,导致分布式系统的配置信息泄露。

    • • TCP 2601、2604:Zebra 服务(Zebra 路由)端口,存在默认密码风险,可能被攻击者利用进入路由器管理界面。

    • • TCP 5554:曾被用于一种新蠕虫病毒——震荡波(worm.sasser)开启 FTP 服务,主要用于病毒的传播。

    • • TCP 5900、5901、5902:VNC(虚拟网络控制台,远程控制)端口,若存在弱口令爆破风险,可能导致远程桌面被非法访问。

    • • TCP 5984:CouchDB 数据库的端口,可能存在未授权导致的任意指令执行风险。

    • • TCP 6379:Redis 数据库端口,可能存在未授权访问、弱口令爆破等安全风险。

    • • TCP 9200、9300:Elasticsearch(Lucene 的搜索服务器)端口,可能存在远程执行漏洞。

    • • TCP 11211:Memcached(缓存系统)端口,可能存在未授权访问风险。

    • • TCP 27017、27018:MongoDB(数据库)端口,可能存在爆破、未授权访问等安全风险。

  7. 7. 封禁危险端口的原则

在封禁危险端口时,应遵循以下原则以确保系统的安全性、稳定性、业务可用性。

最小化端口开放原则

  • • 原则描述:仅开放业务上必需的端口,关闭所有不必要的端口。这是减少攻击面的最直接有效的方法。

  • • 实施策略:在部署系统时,运维工程师应对每个服务所需的端口进行仔细评估,并确保只开放那些真正需要的端口。同时,对于不再使用的服务或端口,应及时关闭。

风险评估与策略制定原则

  • • 原则描述:在进行端口封禁前,应对各端口进行风险评估,并根据评估结果制定相应的封禁策略。

  • • 实施策略:利用开源工具(如Nmap)或专业安全扫描产品对系统进行全面的端口扫描,识别出所有开放的端口。然后,根据端口的用途、潜在风险以及业务需求,制定详细的封禁计划。对于高危端口,应优先进行封禁。

动态调整与优化原则

  • • 原则描述:随着业务的发展和系统环境的变化,运维工程师应定期对端口封禁策略进行调整和优化。

  • • 实施策略:定期审查现有的端口封禁策略,评估其是否仍然满足当前的业务需求和安全要求。如果发现某些端口已经不再需要或者新的服务需要开放新的端口,应及时更新封禁策略。同时,随着安全技术的不断发展,运维工程师还应关注新的安全漏洞和攻击手段,及时调整封禁策略以应对新的威胁。

严格权限管理与审计原则

  • • 原则描述:对端口的访问权限进行严格管理,并进行定期审计,确保只有授权的用户和服务才能访问特定的端口。

  • • 实施策略:为每个端口设置明确的访问控制策略,包括允许的源IP地址、协议类型等。同时,建立定期的端口访问审计机制,对端口的访问记录进行监控和分析,以便及时发现并处理异常访问行为。

文章信息

创建时间
2024-10-15
作者
郭铭心
是否所有人可见
所有人可见
最后修改日期
2024-10-15
点击数
49
标签