网络安全之互联网暴露资产端口

互联网暴露资产因直接向公众互联网开放,极易遭受来自外部组织或人员的入侵与攻击,是风险管控的高危区域。

作为企业的安全管理,互联网暴露资产的管理是非常重要的一环。应该建立规范的流程严控互联网暴露端口的审批,对互联网暴露出口应尽量缩减收敛减少暴露面,对互联网暴露面进行定期的探测及时发现没有被纳管的暴露面资产,对因为业务需要必须要暴露的资产端口进行有效的访问控制策略等。

本文介绍互联网暴露资产端口的定义、分类及管理。

互联网暴露资产端口定义

互联网暴露端口指信息系统资产、网络设备或终端设备面向互联网开放服务或开放协议的端口(含 NAT 映射端口),该端口可被其他互联网的资产进行主动探测、访问或连接。当某资产至少具备一个互联网暴露端口时,则认定该资产为互联网暴露资产;当某信息系统内部至少具备一台互联网暴露资产时,则认定该信息系统为互联网暴露信息系统。
当互联网暴露资产同时面向内网(或私网)开放服务或开放协议时,相关端口不属于互联网暴露端口,不纳入互联网暴露端口管控范围;当某资产通过互联网主动发起单向通信时,因该资产用于通信服务的端口并未暴露于互联网,也无法被其他互联网资产主动探测、访问或连接,则认定该资产不属于互联网暴露资产,且不具备互联网暴露端口。
互联网暴露端口的判定,与该端口是否已执行访问控制策略不相关。

互联网暴露资产端口分类

互联网暴露资产(含信息系统、网络设备、终端)端口按照其功能用途,可分为业务类端口及管理类端口两大类:
1)业务类端口。具体可细分为以下三类:

  • 用户访问端口:主要指各类与用户侧交互的,支撑用户访问服务的端口,如 WEB 访问端口、视频流端口等。
  • 平台交互端口:系统内外部服务器间的接口交互、数据交互等服务端口。
  • 路由协议端口:常见于路由设备,用于配置路由协议而开放的端口服务,如 BGP边界网关协议端口、OSPF 开放式最短路径优先协议端口等。

2)管理类端口。主要包含实现远程操控管理、后台访问运维、用户数据收集及用户终端主动管控等服务的端口。

互联网暴露资产端口管理

  • 尽量缩减收敛减少暴露面,基于最小使用原则,对于高危风险端口应严禁对互联网开放,尤其是管理类端口如数据库、运维管理等端口。如mysql的3306端口、Redis的6379端口等。对于必须要暴露的资产端口进行有效管控,如:制定合理的访问控制策略、加强鉴权等。
  • 应该建立互联网暴露资产台账,规范的流程严控互联网暴露端口的审批,动态维护好互联网暴露资产台账。
  • 对互联网暴露面进行定期的探测及时发现没有被纳管的暴露面资产,对没有没纳管的暴露面资产进行纳管加强管控或下线,及时维护台账。

常见的高危风险端口

高危端口号(默认) 22(TCP)
协议或服务 SSH (Secure Shell),安全外壳协议
应用场景或应用组件 远程登录、SSH 端口转发
端口用途说明 SSH 协议的服务连接端口,可用于进行远程操作维护
端口类别 管理类端口
风险描述 弱口令、未授权访问、暴力破解、信息泄漏、远程命令执行
高危端口号(默认) 23(TCP)
协议或服务 Telnet ( 远程终端协议)
应用场景或应用组件 远程登录
端口用途说明 Telnet 协议的服务连接端口,可用于进行远程操作维护
端口类别 管理类端口
风险描述 弱口令、未授权访问、暴力破解、信息泄漏、远程命令执行
高危端口号(默认) 161(UDP)
协议或服务 SNMP(Simple Network Management Protocol,简单网络管理协议)
端口用途说明 可用于对网络设备进行远程信息读取、管理和配置
端口类别 管理类端口
风险描述 爆破默认团队字符串,导致信息泄漏
高危端口号(默认) 111(TCP/UDP)、2049(TCP/UDP)
协议或服务 NFS(Network File System),网络文件系统
端口用途说明 用于远程文件传输
端口类别 业务类端口(用户访问端口、平台交互端口)
风险描述 权限配置不当
高危端口号(默认) 3306(TCP)
协议或服务 MySQL(数据库)
端口用途说明 MySQL 是一款开源关系数据库管理系统。该端口端口用于数据库远程管理和连接
端口类别 管理类端口、业务类端口(平台交互端口)
风险描述 暴力破解、信息泄漏、远程命令执行
高危端口号(默认) 6379(TCP)
协议或服务 Redis(数据库)
端口用途说明 Redis 默认管理和服务端口
端口类别 管理类端口
风险描述 可能会存在未授权访问,或者进行弱口令爆破;获得访问权限后,可能存在任意文件写入导致获取系统远程控制权限。
高危端口号(默认) 27017(TCP)、27018(TCP)、27019(TCP)
协议或服务 MongoDB(数据库)
端口用途说明 用于 MongoDB 数据库的远程管理和服务,以及集群间通信
端口类别 管理类端口、业务类端口(平台交互端口)
风险描述 爆破,未授权访问
高危端口号(默认) 1433(TCP)、1434(UDP)
协议或服务 SQLServer(数据库)
端口用途说明 SQL Server 是 Microsoft 公司推出的关系型数据库管理系统。
1433(默认)端口用于数据库远程管理和连接,1434(默认)用于命名服务
端口类别 管理类端口、业务类端口(平台交互端口)
风险描述 提权,弱口令,爆破;早期版本还存在远程命令执行漏洞
高危端口号(默认) 1521(TCP)
协议或服务 Oracle(甲骨文数据库)
端口用途说明 Oracle 是甲骨文公司的一款关系数据库管理系统。该端口端口用于数据库远程管理和连接
端口类别 管理类端口、业务类端口(平台交互端口)
风险描述 暴力破解、信息泄漏、远程命令执行
高危端口号(默认) 5432(TCP)
协议或服务 PostgreSQL(数据库)
端口用途说明 PostgreSQL 是一款开源关系数据库管理系统。该端口用于数据库远程管理和连接
端口类别 管理类端口、业务类端口(平台交互端口)
风险描述 暴力破解、信息泄漏、远程命令执行
高危端口号(默认) 3389(TCP)
协议或服务 Windows RDP(远程桌面协议)
端口用途说明 用于访问服务器的远程桌面服务,提供基于图形界面的远程操作维护功能。
端口类别 管理类端口
风险描述 暴力破解,远程控制
高危端口号(默认) 5800(TCP),5900(TCP)
协议或服务 VNC(Virtual Network Console),虚拟网络控制台
端口用途说明 VNC 是一款远程桌面和远程控制软件,5800 和 5900(默认)端口均为 VNC 服务启动端口或远端控制端口
端口类别 管理类端口
风险描述 暴力破解,远程控制

博客地址:http://xiejava.ishareread.com/


“fullbug”微信公众号

关注微信公众号,一起学习、成长!

0%