互联网暴露资产因直接向公众互联网开放,极易遭受来自外部组织或人员的入侵与攻击,是风险管控的高危区域。
作为企业的安全管理,互联网暴露资产的管理是非常重要的一环。应该建立规范的流程严控互联网暴露端口的审批,对互联网暴露出口应尽量缩减收敛减少暴露面,对互联网暴露面进行定期的探测及时发现没有被纳管的暴露面资产,对因为业务需要必须要暴露的资产端口进行有效的访问控制策略等。
本文介绍互联网暴露资产端口的定义、分类及管理。
互联网暴露资产端口定义
互联网暴露端口指信息系统资产、网络设备或终端设备面向互联网开放服务或开放协议的端口(含 NAT 映射端口),该端口可被其他互联网的资产进行主动探测、访问或连接。当某资产至少具备一个互联网暴露端口时,则认定该资产为互联网暴露资产;当某信息系统内部至少具备一台互联网暴露资产时,则认定该信息系统为互联网暴露信息系统。
当互联网暴露资产同时面向内网(或私网)开放服务或开放协议时,相关端口不属于互联网暴露端口,不纳入互联网暴露端口管控范围;当某资产通过互联网主动发起单向通信时,因该资产用于通信服务的端口并未暴露于互联网,也无法被其他互联网资产主动探测、访问或连接,则认定该资产不属于互联网暴露资产,且不具备互联网暴露端口。
互联网暴露端口的判定,与该端口是否已执行访问控制策略不相关。
互联网暴露资产端口分类
互联网暴露资产(含信息系统、网络设备、终端)端口按照其功能用途,可分为业务类端口及管理类端口两大类:
1)业务类端口。具体可细分为以下三类:
- 用户访问端口:主要指各类与用户侧交互的,支撑用户访问服务的端口,如 WEB 访问端口、视频流端口等。
- 平台交互端口:系统内外部服务器间的接口交互、数据交互等服务端口。
- 路由协议端口:常见于路由设备,用于配置路由协议而开放的端口服务,如 BGP边界网关协议端口、OSPF 开放式最短路径优先协议端口等。
2)管理类端口。主要包含实现远程操控管理、后台访问运维、用户数据收集及用户终端主动管控等服务的端口。
互联网暴露资产端口管理
- 尽量缩减收敛减少暴露面,基于最小使用原则,对于高危风险端口应严禁对互联网开放,尤其是管理类端口如数据库、运维管理等端口。如mysql的3306端口、Redis的6379端口等。对于必须要暴露的资产端口进行有效管控,如:制定合理的访问控制策略、加强鉴权等。
- 应该建立互联网暴露资产台账,规范的流程严控互联网暴露端口的审批,动态维护好互联网暴露资产台账。
- 对互联网暴露面进行定期的探测及时发现没有被纳管的暴露面资产,对没有没纳管的暴露面资产进行纳管加强管控或下线,及时维护台账。
常见的高危风险端口
| 高危端口号(默认) | 22(TCP) |
|---|---|
| 协议或服务 | SSH (Secure Shell),安全外壳协议 |
| 应用场景或应用组件 | 远程登录、SSH 端口转发 |
| 端口用途说明 | SSH 协议的服务连接端口,可用于进行远程操作维护 |
| 端口类别 | 管理类端口 |
| 风险描述 | 弱口令、未授权访问、暴力破解、信息泄漏、远程命令执行 |
| 高危端口号(默认) | 23(TCP) |
|---|---|
| 协议或服务 | Telnet ( 远程终端协议) |
| 应用场景或应用组件 | 远程登录 |
| 端口用途说明 | Telnet 协议的服务连接端口,可用于进行远程操作维护 |
| 端口类别 | 管理类端口 |
| 风险描述 | 弱口令、未授权访问、暴力破解、信息泄漏、远程命令执行 |
| 高危端口号(默认) | 161(UDP) |
|---|---|
| 协议或服务 | SNMP(Simple Network Management Protocol,简单网络管理协议) |
| 端口用途说明 | 可用于对网络设备进行远程信息读取、管理和配置 |
| 端口类别 | 管理类端口 |
| 风险描述 | 爆破默认团队字符串,导致信息泄漏 |
| 高危端口号(默认) | 111(TCP/UDP)、2049(TCP/UDP) |
|---|---|
| 协议或服务 | NFS(Network File System),网络文件系统 |
| 端口用途说明 | 用于远程文件传输 |
| 端口类别 | 业务类端口(用户访问端口、平台交互端口) |
| 风险描述 | 权限配置不当 |
| 高危端口号(默认) | 3306(TCP) |
|---|---|
| 协议或服务 | MySQL(数据库) |
| 端口用途说明 | MySQL 是一款开源关系数据库管理系统。该端口端口用于数据库远程管理和连接 |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) |
| 风险描述 | 暴力破解、信息泄漏、远程命令执行 |
| 高危端口号(默认) | 6379(TCP) |
|---|---|
| 协议或服务 | Redis(数据库) |
| 端口用途说明 | Redis 默认管理和服务端口 |
| 端口类别 | 管理类端口 |
| 风险描述 | 可能会存在未授权访问,或者进行弱口令爆破;获得访问权限后,可能存在任意文件写入导致获取系统远程控制权限。 |
| 高危端口号(默认) | 27017(TCP)、27018(TCP)、27019(TCP) |
|---|---|
| 协议或服务 | MongoDB(数据库) |
| 端口用途说明 | 用于 MongoDB 数据库的远程管理和服务,以及集群间通信 |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) |
| 风险描述 | 爆破,未授权访问 |
| 高危端口号(默认) | 1433(TCP)、1434(UDP) |
|---|---|
| 协议或服务 | SQLServer(数据库) |
| 端口用途说明 | SQL Server 是 Microsoft 公司推出的关系型数据库管理系统。 1433(默认)端口用于数据库远程管理和连接,1434(默认)用于命名服务 |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) |
| 风险描述 | 提权,弱口令,爆破;早期版本还存在远程命令执行漏洞 |
| 高危端口号(默认) | 1521(TCP) |
|---|---|
| 协议或服务 | Oracle(甲骨文数据库) |
| 端口用途说明 | Oracle 是甲骨文公司的一款关系数据库管理系统。该端口端口用于数据库远程管理和连接 |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) |
| 风险描述 | 暴力破解、信息泄漏、远程命令执行 |
| 高危端口号(默认) | 5432(TCP) |
|---|---|
| 协议或服务 | PostgreSQL(数据库) |
| 端口用途说明 | PostgreSQL 是一款开源关系数据库管理系统。该端口用于数据库远程管理和连接 |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) |
| 风险描述 | 暴力破解、信息泄漏、远程命令执行 |
| 高危端口号(默认) | 3389(TCP) |
|---|---|
| 协议或服务 | Windows RDP(远程桌面协议) |
| 端口用途说明 | 用于访问服务器的远程桌面服务,提供基于图形界面的远程操作维护功能。 |
| 端口类别 | 管理类端口 |
| 风险描述 | 暴力破解,远程控制 |
| 高危端口号(默认) | 5800(TCP),5900(TCP) |
|---|---|
| 协议或服务 | VNC(Virtual Network Console),虚拟网络控制台 |
| 端口用途说明 | VNC 是一款远程桌面和远程控制软件,5800 和 5900(默认)端口均为 VNC 服务启动端口或远端控制端口 |
| 端口类别 | 管理类端口 |
| 风险描述 | 暴力破解,远程控制 |
博客地址:http://xiejava.ishareread.com/
关注微信公众号,一起学习、成长!