Опасно ли открывать порты на роутере

Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list’ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps’ы спрашивают: «Зачем?!?»

Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба.

1. Ошибка конфигурации
2. DDoS по IP
3. Брутфорс
4. Уязвимости сервисов
5. Уязвимости стека ядра
6. Усиление DDoS атак

Ошибка конфигурации

Наиболее типичная и опасная ситуация. Как это бывает. Разработчику надо быстро проверить гипотезу, он поднимает временный сервер с mysql/redis/mongodb/elastic. Пароль, конечно, сложный, он везде его использует. Открывает сервис в мир — ему удобно со своего ПК гуём коннектиться без этих ваших VPN. А синтаксис iptables вспоминать лень, все равно сервер временный. Еще пару дней разработки — получилось отлично, можно показывать заказчику. Заказчику нравится, переделывать некогда, запускаем в ПРОД!

Пример намеренно утрированный с целью пройтись по всем граблям:

1. Ничего нет более постоянного, чем временное — не люблю эту фразу, но по субъективным ощущениям, 20-40% таких временных серверов остаются надолго.
2. Сложный универсальный пароль, который используется во многих сервисах — зло. Потому что, один из сервисов, где использовался этот пароль, мог быть взломан. Так или иначе базы взломанных сервисов стекаются в одну, которая используется для [брутфорса]*.
   Стоит добавить, что redis, mongodb и elastic после установки вообще доступны без аутентификации, и часто пополняют коллекцию открытых баз.
3. Может показаться, что за пару дней никто не насканит ваш 3306 порт. Это заблуждение! Masscan — отличный сканер, и может сканировать со скоростью 10М портов в секунду. А в интернете всего 4 миллиарда IPv4. Соответственно, все 3306-ые порты в интернете находятся за 7 минут. Карл!!! Семь минут!
   «Да кому это надо?» — возразите вы. Вот и я удивляюсь, глядя в статистику дропнутых пакетов. Откуда за сутки 40 тысяч попыток скана с 3-х тысяч уникальных IP? Сейчас сканят все кому не лень, от мамкиных хакеров до правительств. Проверить очень просто — возьмите любую VPS’ку за $3-5 у любого** лоукостера, включите логирование дропнутых пакетов и загляните в лог через сутки.

DDoS по IP

Если злоумышленник знает ваш IP, он может на несколько часов или суток заддосить ваш сервер. Далеко не у всех лоукост-хостингов есть защита от DDoS и ваш сервер просто отключат от сети. Если вы спрятали сервер за CDN, не забудьте сменить IP, иначе хакер его нагуглит и будет DDoS’ить ваш сервер в обход CDN (очень популярная ошибка).

Уязвимости сервисов

Во всем популярном ПО рано или поздно находят ошибки, даже в самых оттестированных и самых критичных. В среде ИБэшников, есть такая полу-шутка — безопасность инфраструктуры можно смело оценивать по времени последнего обновления. Если ваша инфраструктура богата торчащими в мир портами, а вы ее не обновляли год, то любой безопасник вам не глядя скажет, что вы дырявы, и скорее всего, уже взломаны.
Так же стоит упомянуть, что все известные уязвимости, когда-то были неизвестными. Вот представьте хакера, который нашел такую уязвимость, и просканировал весь интернет за 7 минут на ее наличие… Вот и новая вирусная эпидемия ) Надо обновляться, но это может навредить проду, скажете вы. И будете правы, если пакеты ставятся не из официальных репозиториев ОС. Из опыта, обновления из официального репозитория крайне редко ломают прод.

Брутфорс

Как описал выше, есть база с полу миллиардом паролей, которые удобно набирать с клавиатуры. Другими словами, если вы не сгенерировали пароль, а набрали на клавиатуре рядом расположенные символы, будьте уверены* — вас сбрутят.

Уязвимости стека ядра.

Бывает**** и такое, что даже не важно какой именно сервис открывает порт, когда уязвим сам сетевой стек ядра. То есть абсолютно любой tcp/udp-сокет на системе двухлетней давности подвержен уязвимости приводящий к DDoS.

Усиление DDoS-атак

Напрямую ущерба не принесет, но может забить ваш канал, поднять нагрузку на систему, ваш IP попадет в какой-нибудь black-list*****, а вам прилетит абуза от хостера.

Неужели вам нужны все эти риски? Добавьте ваш домашний и рабочий IP в white-list. Даже если он динамический — залогиньтесь через админку хостера, через веб-консоль, и просто добавьте еще один.

Я 15 лет занимаюсь построением и защитой IT-инфраструктуры. Выработал правило, которое всем настоятельно рекомендую — ни один порт не должен торчать в мир без white-list’a.

Например, наиболее защищенный web-сервер*** — это тот, у которого открыты 80 и 443 только для CDN/WAF. А сервисные порты (ssh, netdata, bacula, phpmyadmin) должны быть как минимум за white-list’ом, а еще лучше за VPN. Иначе вы рискуете быть скомпрометированным.

У меня все. Держите свои порты закрытыми!

• (1) UPD1: Здесь можно проверить свой крутой универсальный пароль (не делайте этого не заменив этот пароль на рандомные во всех сервисах), не засветился ли он в слитой базе. А тут можно посмотреть сколько сервисов было взломано, где фигурировал ваш email, и, соответственно, выяснить, не скомпрометирован ли ваш крутой универсальный пароль.
• (2) К чести Amazon — на LightSail минимум сканов. Видимо, как-то фильтруют.
• (3) Еще более защищенный web-сервер это тот, что за выделенным firewall’ом, своим WAF, но речь о публичных VPS/Dedicated.
• (4) Segmentsmak.
• (5) Firehol.

А у вас торчат порты наружу?

Проголосовали 468 пользователей.

Воздержался 71 пользователь.

ибо если службы не висят то порты закрыты и с помощью брендмауера их закрывать смысла нет?

Можешь не закрывать, если нет никаких служб, предназначенных только для локалхоста/доверенных хостов.

Но эти службы могут появиться, и могут начать слушать сеть на кой-то хер, поэтому закрывать по дефолту все входящие соединения и открывать только нужное, только с нужных хостов — разумная практика для Ъ-параноика.

В случае, если опасаешься бэкдоров/троянов, можешь ещё и исходящие закрыть(но это сложнее, требует вдумчивой настройки). Тогда без рута(а если закрыть на роутере, то и с рутом), троян не сможет слушать сеть/принимать управляющие команды.

Ivan_qrt ★★★★★
(13.12.14 06:38:12 MSK)

Информационная безопасность — важная составляющая современного мира, в котором большая часть правонарушений совершается с использованием высоких технологий. Чаще можно услышать, что очередная жертва перевела мошенникам свои накопления, поддавшись на телефонные разговоры, чем новости про реальное ограбление.

В этом нет ничего необычного, ведь совершать преступления удаленно намного безопаснее и эффективнее, чем поджидать прохожего в подворотне, чтобы отобрать у него небольшую сумму денег или украшения. Используя социальную инженерию и уязвимости в защите операционной системы мошенник может получить намного больше, чем находится в кошельке обычного прохожего.

Открытые порты — это уязвимость компьютера, которую можно использовать в целях несанкционированного доступа к информации, внедрения вредоносного программного обеспечения или DDoS-атак.

Чем опасны открытые порты

Основная опасность, которую представляют открытые порты, это захват преступниками удаленного контроля над системой и внедрение вредоносного программного обеспечения. Помимо этого, если вы не используете прокси, а злоумышленники узнали ваш IP-адрес, они могут запустить DDoS по IP — это сделает работу в сети невозможной. Вот несколько примеров использования взломщиками открытых портов:

1. Внедрение вредоносного программного обеспечения, которое получив доступ к системе и портам продолжает рассылать себя на доступные адреса, перед этим атаковав систему носителя — вашу.
2. Брутфорс учетных записей — подбор паролей путем автоматического перебора всех комбинаций из базы, содержащей почти миллиард распространенных паролей. Там есть как любимые всеми «12345», так и комбинации расположенных рядом букв и цифр — именно так их набирает человек, даже если пытается создать взломостойкий пароль.
3. DDoS по IP — в этом виде атаки используются многочисленные запросы в таком количестве, в котором сервер или компьютер не в состоянии нормально обработать: не хватает вычислительных мощностей. Запросы идут большим потоком, не переставая. В попытках ответить на каждый запрос сервер или компьютер начинает подвисать, возникают ошибки.

Хорошим способом избежать таких ситуаций, а также повысить общую безопасность при работе в интернете, является использование прокси-серверов. Даже самый простой прокси способен защитить от излишнего внимания различных мошенников, а если выбрать proxy-server с дополнительными возможностями, то можно не беспокоиться о том, что кто-то узнает ваш IP-адрес и запустит атаку.

Кстати, если злоумышленник внедряет зловредное программное обеспечение, то с большой вероятностью вы, сами того не подозревая, становитесь участником последующих DDoS-атак которые будут вестись с вашего ПК, используя открытые порты. Если злоумышленник ограничился этим и не стал продолжать инфицирование, то прямого ущерба это не нанесет, но во время атак будет забиваться ваш интернет-канал, что приведет к снижению скорости соединения.

Чем старее операционная система, тем выше шансы, что в ней присутствует большое количество уязвимостей. На актуальные OS разработчики непрерывно выпускают обновления, которые закрывают найденные уязвимости — по сути это их главное предназначение, а не привнесение новых возможностей, — а вот на уже неподдерживаемые OS таких обновлений нет. Поэтому владельцам устройств с Windows XP, Vista, Windows 7 и 8 необходимо больше времени уделять вопросам безопасности и обновиться до современной операционной системы, если это возможно.

В macOS и Linux ситуация по ряду причин обстоит немного лучше: Linux используют более опытные пользователи, а macOS в целом более защищена от внешних угроз — порой даже сам пользователь не может установить то, что ему нужно, без предварительного вмешательства в систему.

Пример использования открытых портов вымогателями

Для понимания опасности и серьезности ситуации, в качестве известного примера можно привести относительно недавно нашумевший шифровальщик WannaCry — вредоносное программное обеспечение, поражающее устройства, работающие под управлением операционной системы Windows. В короткие сроки им было заражено более полумиллиона компьютеров.

Принцип работы заключался в том, что зловред сканировал IP-адреса на предмет открытого порта, отвечающего за работу протокола SMB, который часто остается открытым, даже если и не нужен пользователю. После этого, через выявленную уязвимость, он проникал в систему и запускал процесс шифрования всех файлов, кроме тех, которые необходимы для загрузки системы, поддержки и дальнейшего распространения вредоносного программного обеспечения и общения с пользователем ПК.

Общение сводилось к тому, что пользователю предлагалось внести около 300 долларов на определенные криптокошельки, иначе сумма будет каждый день удваиваться, а через неделю все файлы будут уничтожены, без возможности восстановления. 

Впрочем, как и все программы-вымогатели, она не имела каналов доставки для инструментов, позволяющих расшифровать пользовательские файлы обратно, а также не отслеживала заплативших. Поэтому запомните: если вы подверглись атаке программы-вымогателя, не вздумайте платить деньги — это не поможет. Разработчики таких программ очень часто не оставляют каналов обратной связи, чтобы их было невозможно идентифицировать. Обезопасьте себя заранее: соблюдайте анонимность, используйте прокси, повышайте компьютерную грамотность.

Закрываем порты

Закрыть порты можно несколькими способами: 

• самостоятельно; 
• с использованием специализированных программ;
• задействуя возможности брандмауэра/межсетевого экрана — программного обеспечения по управлению трафиком.

Чтобы закрыть порты самостоятельно, вам потребуется отсканировать открытые порты, используя встроенные возможности системы, web-ресурсы или спецпрограммы, а затем закрыть их. Для этого нужно просто закрыть приложения, которые их используют — но придется за ними постоянно следить. Кроме того, можно закрыть выбранные порты, используя консоль и команду, обращенную к штатному брандмауэру Windows.

Второй вариант — воспользоваться одной из программ, которые сделают то же самое, но вам не придется ничего изучать и вводить в командной строке — достаточно запустить программу и следовать инструкциям.

И третий, самый предпочтительный вариант — использование брандмауэра, или, как их еще называют, сетевой экран/фаервол (firewall). Это специальное программное обеспечение для контроля за сетевым трафиком. Любой, независимо от выбора, firewall обладает широким набором инструментов управления трафиком, а также умеет обнаруживать и блокировать различные сетевые угрозы, в том числе и эксплуатирующие уязвимости, использующие открытые порты.

Firewall — это, в основном, бесплатное для домашнего использования ПО, распространяемое отдельно, или поставляемое в составе антивирусов. У каждого из них свои особенности, настройки и интерфейс — есть из чего выбрать. В качестве защиты от сетевых атак и средства контроля за работой портов, мы рекомендуем использовать именно фаервол в связке с прокси-сервером.

Любой открытый порт на любом «сервере» с любой операционной системой — потенциальная опасность.

Самый безопасный сервер — это сервер отключенный от всех сетей (локальной вычислительной и питания).

Но как же тогда не бояться открывать порты, если очень надо?

Все зависит от понимания того, что за этими портами скрывается.

Сразу простой пример для размышления:

на сервере открыт 80-й порт, и этот порт слушает веб-сервер (Apache или nginx). Предположим, что любой из этих веб-серверов доказал свою профпригодность в плане безопасности, другими словами их взломать либо очень сложно, либо нельзя.

Но вы берете и прикручиваете к веб-серверу некий движок некоего тыжпрограммиста. А движок оказывается на ваше несчастье «дырявый», и через некую дыру к вам на сервер прилетает бэкдор с помощью которого, например, спамеры разошлют миллион писем спама.

Вот и решайте, безопасно открывать порт или нет.

Для чего нужно открывать порты на роутере

Проброс портов — это одна из технологий, которая позволяет получать доступ к компьютеру из интернета. Эта технология нужна для обращения к компьютеру в локальной сети, на который подключен маршрутизатор с использованием NAT (NAPT). Однако открытые порты могут стать уязвимыми местами, облегчающими возможный взлом компьютера. Поэтому важно понимать, какие порты нужно открывать и как их можно обезопасить.

1. Зачем компьютерам нужны порты
2. Зачем блокировать порты
3. Как определить, какой порт открыт
4. Как выбирать порты для открытия
5. Как обезопасить открытые порты
6. Зачем устанавливают порт-системы
7. Выводы: зачем нужно открывать порты на маршрутизаторе

Зачем компьютерам нужны порты

Порты — это адреса входных/выходных каналов, которые используются для передачи данных между программами и сетевыми устройствами. Каждая программа использует свой порт для связи с интернетом. Например, порт 80 используется браузером для отображения веб-страниц, а порт 25 используется для отправки и получения электронной почты.

Зачем блокировать порты

Блокировка портов требуется для защиты компьютера. Если порты открыты и доступны для внешних пользователей, это увеличивает риск взлома системы и укрепление защиты данных необходимо. Хакеры могут использовать открытые порты для проникновения в систему или установки вредоносных программ.

Как определить, какой порт открыт

Для установления списка открытых портов на локальном компьютере необходимо выполнить следующие действия:

1. Нажать комбинацию клавиш Win+R.
2. Ввести команду CMD и нажать Enter.
3. Ввести команду netstat –a и нажать Enter.

Как выбирать порты для открытия

Для обеспечения безопасности компьютера необходимо открыть только те порты, которые необходимы для предоставления доступа к конкретным программам. Чтобы выбрать необходимые порты, нужно узнать, каким портам нужно обеспечить доступ для каждой программы и установить их вручную в своем маршрутизаторе.

Как обезопасить открытые порты

Чтобы обезопасить открытые порты, необходимо использовать фаервол. Файервол — это программа, которая может блокировать нежелательный доступ к открытым портам и контролировать трафик, проходящий через маршрутизатор. Кроме того, важно использовать только безопасные пароли и обновлять операционную систему и все установленные программы, так как вредоносный код может использоваться для атак на открытые порты.

Зачем устанавливают порт-системы

Порт-система (инфузионный порт) — это медицинское устройство, используемое для облегчения введения препаратов, взятия крови, проведения химиотерапии и других процедур, связанных с парентеральным питанием. Установка порт-системы пациенту может повысить эффективность медицинского лечения.

Выводы: зачем нужно открывать порты на маршрутизаторе

Общий вывод заключается в том, что открытие портов на маршрутизаторах может оказаться полезным, если вы хотите получить доступ к своему компьютеру из интернета. Однако открытые порты могут стать уязвимым местом и обратить на себя внимание хакеров, поэтому необходимо использовать файервол и блокировать нежелательный доступ к открытым портам. Также нельзя игнорировать блокировку ненужных портов, чтобы повысить уровень безопасности своей системы.