Meniu
AcasăTehnică

Ce porturi există. Cum să verificați conexiunile TCP (porturi deschise pe un computer Windows)

Protocolul TCP/IP este fundamentul Internetului, prin care computerele trimit și primesc informații de oriunde în lume, indiferent de locația geografică. Accesarea unui computer TCP/IP dintr-o altă țară este la fel de ușor ca accesarea unui computer din camera alăturată. Procedura de acces este identică în ambele cazuri, deși conectarea la o mașină din altă țară poate dura cu câteva milisecunde mai mult. Drept urmare, cetățenii oricărei țări pot face cumpărături cu ușurință pe Amazon.com; cu toate acestea, din cauza proximității logice, sarcina devine mai complicată securitatea informatiei: orice proprietar conectat la computer de internet oriunde în lume poate încerca să stabilească o conexiune neautorizată cu orice altă mașină.

Este responsabilitatea profesioniștilor IT să instaleze firewall-uri și sisteme pentru a detecta traficul suspect. Analiza pachetelor preia informații despre adresele IP sursă și destinație și porturile de rețea implicate. Valoarea porturilor de rețea nu este inferioară adreselor IP; Acest cele mai importante criterii pentru a separa traficul util de mesajele false și dăunătoare care intră și ies din rețea. Majoritatea traficului de rețea de Internet constă din pachete TCP și UDP, care conțin informații despre porturile de rețea pe care computerele le folosesc pentru a direcționa traficul de la o aplicație la alta. Condiție prealabilă Firewall și securitatea rețelei - înțelegerea cuprinzătoare de către administrator a modului în care computerele și dispozitivele de rețea folosesc aceste porturi.

Studiind porturile

Cunoașterea principiilor de bază ale funcționării porturilor de rețea va fi utilă oricărui administrator de sistem. Cu o înțelegere de bază a porturilor TCP și UDP, un administrator poate diagnostica independent o aplicație de rețea eșuată sau poate proteja un computer care va accesa Internetul fără a apela un inginer de rețea sau un consultant de firewall.

Prima parte a acestui articol (formată din două părți) descrie conceptele de bază necesare pentru a discuta porturile de rețea. Va fi afișat locul porturilor de rețea în total model de rețeași rolul porturilor de rețea și al firewallului NAT (Network Address Translation) în conectarea computerelor companiei la Internet. În cele din urmă, vor fi indicate punctele de rețea la care este convenabil să identifici și să filtrezi traficul de rețea pe porturile de rețea corespunzătoare. Partea a 2-a analizează unele dintre porturile utilizate de aplicațiile și sistemele de operare obișnuite și prezintă câteva instrumente pentru a găsi porturi de rețea deschise.

Scurtă prezentare generală a protocoalelor de rețea

TCP/IP este un set de protocoale de rețea prin care computerele comunică între ele. Suita TCP/IP nu este altceva decât bucăți de cod software instalate în sistemul de operare care oferă acces la aceste protocoale. TCP/IP este un standard, astfel încât aplicațiile TCP/IP de pe o mașină Windows ar trebui să comunice cu succes cu aceeași aplicație pe o mașină UNIX. În primele zile ale dezvoltării rețelei, în 1983, inginerii au dezvoltat un model cu șapte straturi Comunicații OSI pentru a descrie procesele de rețea de calculatoare, de la cablu la aplicație. Modelul OSI constă din straturi fizice, de legătură de date, de rețea, de transport, de sesiune și de aplicație. Administratorii care lucrează constant cu Internetul și TCP/IP se ocupă în primul rând de straturile de rețea, transport și aplicații, dar pentru diagnosticarea de succes este necesar să cunoască alte straturi. În ciuda vârstei înaintate a modelului OSI, acesta este încă folosit de mulți specialiști. De exemplu, atunci când un inginer de rețea vorbește despre comutatoarele Layer 1 sau Layer 2, sau un furnizor de firewall vorbește despre controlul Layer 7, vorbește despre straturile definite în modelul OSI.

Acest articol vorbește despre porturile de rețea situate la nivelul 4 - transport. În suita TCP/IP, aceste porturi sunt utilizate de protocoalele TCP și UDP. Dar înainte de a trece la o descriere detaliată a unui nivel, este necesar să vă familiarizați pe scurt cu șapte Nivelurile OSIși rolul pe care îl joacă în rețelele moderne TCP/IP.

Straturile 1 și 2: Cabluri fizice și adrese MAC

Stratul 1, fizic, reprezintă mediul real prin care circulă semnalul, cum ar fi cablul de cupru, cablul de fibră optică sau semnalele radio (în cazul Wi-Fi). Stratul 2, legătura de date, descrie formatul de date pentru transmiterea pe mediul fizic. La nivelul 2, pachetele sunt organizate în cadre și pot fi implementate funcții de bază controlul fluxului de date și tratarea erorilor. Standardul IEEE 802.3, mai bine cunoscut sub numele de Ethernet, este cel mai utilizat standard de nivel 2 în prezent. rețele locale. Un comutator de rețea tipic este un dispozitiv de nivel 2 prin care mai multe computere se conectează fizic și fac schimb de date între ele. Uneori, două computere nu se pot conecta între ele, chiar dacă adresele IP par a fi corecte: problema poate fi cauzată de erori în memoria cache a protocolului de traducere adrese ARP(Address Resolution Protocol), care indică o eroare la nivelul 2. În plus, unele puncte de acces fără fir (Access Points, AP) oferă filtrare adrese MAC, care permite numai adaptoarelor de rețea cu o anumită adresă MAC să se conecteze la AP-ul wireless.

Straturile 3 și 4: adrese IP și porturi de rețea

Nivelul 3, rețea, acceptă rutare. În TCP/IP, rutarea este implementată în IP. Adresa IP a pachetului aparține stratului 3. Routere de rețea- Dispozitive de nivel 3 care analizează adresele IP ale pachetelor și transmit pachetele către alt router sau livrează pachete către calculatoare locale. Dacă în rețea este detectat un pachet suspect, primul pas este să verificați adresa IP a pachetului pentru a determina originea pachetului.

Împreună cu stratul de rețea, stratul 4 (transport) este un bun punct de plecare pentru diagnosticare defecțiuni de rețea. Pe Internet, Layer 4 conține protocoalele TCP și UDP și informații despre portul de rețea care asociază un pachet cu o anumită aplicație. Stiva de rețea a unui computer utilizează o asociere de port de rețea TCP sau UDP cu o aplicație pentru a direcționa traficul de rețea către acea aplicație. De exemplu, portul TCP 80 este asociat cu o aplicație de server Web. Această mapare a porturilor la aplicații este cunoscută ca un serviciu.

TCP și UDP sunt diferite. În esență, TCP oferă conexiune de încredere pentru a face schimb de date între două aplicații. Înainte de a începe comunicarea, cele două aplicații trebuie să stabilească o conexiune prin finalizarea procesului de strângere de mână TCP în trei pași. Pentru Protocolul UDP Abordarea „activează și uită” este mai tipică. Fiabilitatea conexiunii pentru aplicațiile TCP este asigurată de protocol, dar aplicația UDP trebuie să verifice în mod independent fiabilitatea conexiunii.

Portul de rețea este un număr între 1 și 65535 specificat și cunoscut de ambele aplicații între care se stabilește comunicarea. De exemplu, un client trimite de obicei o cerere necriptată către un server la o adresă țintă pe portul TCP 80. De obicei, un computer trimite o solicitare DNS către un server DNS la o adresă țintă pe portul UDP 53. Clientul și serverul au o sursă și adresa IP de destinație și portul de rețea sursă și destinație, care pot varia. Din punct de vedere istoric, toate numerele de port sub 1024 sunt numite „numere de port cunoscute” și sunt înregistrate la Internet Assigned Numbers Authority (IANA). Pe unele sisteme de operare, numai procesele de sistem pot folosi porturi din acest interval. În plus, organizațiile pot înregistra porturile 1024 până la 49151 la IANA pentru a asocia portul cu aplicația lor. Această înregistrare oferă o structură care ajută la evitarea conflictelor între aplicațiile care încearcă să utilizeze același număr de port. Totuși, în general, nimic nu împiedică o aplicație să solicite un anumit port atâta timp cât acesta nu este ocupat de un alt program activ.

Din punct de vedere istoric, serverul putea asculta pe porturi cu numere mici, iar clientul ar putea iniția o conexiune pe un port cu numere mari (peste 1024). De exemplu, un client Web poate deschide o conexiune la un server Web pe portul de destinație 80, dar poate asocia un port sursă selectat aleatoriu, cum ar fi portul TCP 1025. Când răspunde clientului, serverul Web adresează pachetul clientului cu sursa portul 80 și portul de destinație 1025. Combinația dintre o adresă IP și un port se numește socket și trebuie să fie unică pe computer. Din acest motiv, atunci când configurați un server Web cu două site-uri Web separate pe același computer, trebuie să utilizați mai multe adrese IP, cum ar fi adresa 1:80 și adresa 2:80, sau să configurați serverul Web să asculte pe mai multe porturi de rețea, cum ar fi ca adresa 1:80 și adresa 1:81. Unele servere Web permit mai multe site-uri Web să ruleze pe un singur port solicitând un antet gazdă, dar această funcție este de fapt realizată de aplicația server Web la un nivel superior 7.

Pe măsură ce au apărut sistemele de operare și aplicațiile funcții de rețea, programatorii au început să folosească numere de porturi mai mari decât 1024, fără a înregistra toate aplicațiile la IANA. După ce a finalizat în Căutare pe internet Pentru orice port de rețea, de regulă, puteți găsi rapid informații despre aplicațiile care folosesc acest port. Sau puteți căuta porturi bine cunoscute și găsiți multe site-uri care listează cele mai comune porturi.

Când blocați aplicațiile de rețea pe un computer sau depanați defectele firewall-ului, cea mai mare parte a muncii provine din clasificarea și filtrarea adreselor IP de nivel 3 și a protocoalelor de nivel 4 și a porturilor de rețea cele utilizate pe scară largă în porturile TCP și UDP ale întreprinderii.

Învățarea să recunoașteți și să vă familiarizați cu porturile de rețea depășește alocarea regulilor de firewall. De exemplu, unele corecții de securitate Microsoft descriu cum să închideți porturile NetBIOS. Această măsură ajută la limitarea răspândirii viermilor care pătrund prin vulnerabilități în sistemul de operare. Știind cum și unde să închideți aceste porturi poate ajuta la reducerea riscurilor de securitate a rețelei în timp ce vă pregătiți pentru implementarea unui patch critic.

Și direct la nivelul 7

Este rar să auzim despre Layer 5 (sesiune) și Layer 6 (prezentare) în aceste zile, dar Layer 7 (aplicație) este un subiect fierbinte printre furnizorii de firewall. Cea mai nouă tendință în dezvoltarea firewall-ului de rețea este inspecția Layer 7, care descrie tehnicile utilizate pentru a analiza modul în care o aplicație funcționează față de protocoale de rețea. Analizând sarcina utilă a unui pachet de rețea, un firewall poate determina dacă traficul care trece prin acesta este legitim. De exemplu, o cerere Web conține o instrucțiune GET în interiorul unui pachet Layer 4 (port TCP 80). Dacă firewall-ul dvs. are funcționalitate Layer 7, puteți verifica dacă declarația GET este corectă. Un alt exemplu este că multe programe de partajare de fișiere peer-to-peer (P2P) pot deturna portul 80. Drept urmare, un străin poate configura programul să utilizeze un port pe care îl alege - cel mai probabil un port care ar trebui lăsat deschis în un firewall dat. Dacă angajații unei companii au nevoie de acces la Internet, portul 80 trebuie deschis, dar pentru a distinge traficul Web legitim de traficul P2P direcționat de cineva către portul 80, firewall-ul trebuie să ofere control de nivel 7.

Rolul firewall-ului

După ce am descris straturile de rețea, putem trece la descrierea mecanismului de comunicare între aplicațiile de rețea prin firewall-uri, acordând o atenție deosebită porturilor de rețea utilizate. În exemplul următor, un browser client comunică cu un server Web de pe cealaltă parte a firewall-ului, la fel cum ar comunica un angajat al companiei cu un server Web de pe Internet.

Majoritatea firewall-urilor de Internet funcționează la straturile 3 și 4 pentru a examina și apoi permite sau bloca traficul de rețea de intrare și de ieșire. În general, administratorul scrie liste de control al accesului (ACL) care definesc adresele IP și porturile de rețea ale traficului care este blocat sau permis. De exemplu, pentru a accesa Web-ul, trebuie să lansați un browser și să îl îndreptați către site-ul Web. Calculatorul inițiază o conexiune de ieșire prin trimiterea unei secvențe de pachete IP constând dintr-un antet și informații despre sarcina utilă. Antetul conține informații despre rută și alte atribute de pachet. Regulile de firewall sunt adesea scrise având în vedere informațiile de rutare și de obicei conțin adresele IP sursă și destinație (nivelul 3) și protocolul de pachete (nivelul 4). Când navigați pe Web, adresa IP de destinație aparține serverului Web, iar protocolul și portul de destinație (implicit) sunt TCP 80. Adresa IP sursă este adresa computerului de pe care utilizatorul accesează Web-ul și sursa port este de obicei un număr alocat dinamic, care depășește 1024. Informații utile independent de antet și generat de aplicația utilizatorului; în acest caz, este o solicitare către serverul Web de a furniza o pagină Web.

Firewall-ul analizează traficul de ieșire și îl permite conform regulilor firewall-ului. Multe companii permit tot traficul de ieșire din rețeaua lor. Această abordare simplifică configurarea și implementarea, dar reduce securitatea din cauza lipsei de control asupra datelor care părăsesc rețeaua. De exemplu, un cal troian poate infecta un computer dintr-o rețea de afaceri și poate trimite informații de pe acel computer către un alt computer de pe Internet. Este logic să creați liste de control al accesului pentru a bloca astfel de informații.

Spre deosebire de abordarea de ieșire a multor firewall-uri, majoritatea sunt configurate pentru a bloca traficul de intrare. De obicei, firewall-urile permit traficul de intrare numai în două situații. Primul este traficul care sosește ca răspuns la o solicitare trimisă anterior de utilizator. De exemplu, dacă specificați adresa unei pagini Web în browser, firewall-ul permite accesul la rețea codul programului HTML și alte componente ale unei pagini Web. Al doilea caz este găzduirea unui serviciu intern pe Internet, cum ar fi un server de e-mail, un site Web sau FTP. Găzduirea unui astfel de serviciu se numește de obicei traducere de port sau publicare pe server. Implementarea traducerii porturilor variază între furnizorii de firewall, dar principiul de bază este același. Administratorul definește un serviciu, cum ar fi portul TCP 80 pentru serverul Web și un server back-end pentru a găzdui serviciul. Dacă pachetele intră în firewall prin interfața externă corespunzătoare acestui serviciu, atunci mecanismul de traducere a portului le transmite către un anumit computer din rețea ascuns în spatele firewall-ului. Traducerea portului este utilizată împreună cu serviciul NAT descris mai jos.

Bazele NAT

Cu NAT, mai multe computere dintr-o companie pot partaja un spațiu public mic de adrese IP. Serverul DHCP al unei companii poate aloca o adresă IP dintr-unul dintre blocurile de adrese IP private, care nu sunt rutabile pe Internet, definite în Request for Comments (RFC) nr. 1918. Mai multe companii pot partaja, de asemenea, același spațiu de adrese IP private. Exemple de subrețele IP private sunt 10.0.0.0/8, 172.16.0.0/12 și 192.168.0.0/16. Routerele de internet blochează orice pachet direcționat către una dintre adresele private. NAT este o caracteristică firewall care permite companiilor care folosesc adrese IP private să comunice cu alte computere de pe Internet. Firewall-ul știe cum să traducă traficul de intrare și de ieșire în adrese IP interne private, astfel încât fiecare computer să poată accesa Internetul.

În fig. 1 afișat diagrama de baza Conexiuni NAT între client și serverul Web. În etapa 1, traficul direcționat către Internet de la un computer din rețeaua corporativă intră în interfața internă a firewall-ului. Firewall-ul primește pachetul și face o intrare în tabelul de urmărire a conexiunii, care controlează traducerea adresei. Firewall-ul înlocuiește apoi adresa sursă privată a pachetului cu propria sa adresă IP publică externă și trimite pachetul la destinația sa pe Internet (pasul 2). Calculatorul de destinație primește pachetul și trimite un răspuns la firewall (pasul 3). După ce a primit acest pachet, firewall-ul caută expeditorul pachet sursăîn tabelul de urmărire a conexiunii, înlocuiește adresa IP de destinație cu adresa IP privată corespunzătoare și redirecționează pachetul către computer sursă(etapa 4). Pentru că firewall-ul trimite pachete în numele tuturor calculatoare interne, schimbă portul de rețea original și aceste informații stocate în tabelul de urmărire a conexiunii al firewall-ului. Acest lucru este necesar pentru a vă asigura că prizele de ieșire rămân unice.

Este important să înțelegeți cum funcționează NAT, deoarece NAT modifică adresa IP și porturile de rețea ale pachetelor de trafic. Această înțelegere ajută la diagnosticarea defecțiunilor. De exemplu, devine clar de ce același trafic poate avea adrese IP și porturi de rețea diferite pe interfețele externe și interne ale firewall-ului.

Mai întâi fundația, apoi structura

Înțelegerea principiilor de bază de rețea din aplicație, firewall și port nu este doar pentru inginerii de rețea. Rar văzut astăzi sistem informatic, care nu este conectat la rețea și chiar și administratorii de sistem își pot rezolva problemele mult mai ușor, înțelegând cel puțin elementele de bază ale utilizării porturilor de rețea pentru conectarea aplicațiilor prin Internet.

A doua parte a articolului va analiza instrumentele de detectare a aplicațiilor din rețea prin analizarea porturilor de rețea implicate. Pentru a găsi aplicații care deschid porturi de ascultare și sunt accesibile prin rețea, computerul este interogat prin rețea (scanare porturi) și local (scanare gazdă). În plus, prin vizualizarea jurnalelor de firewall, puteți examina traficul de rețea care traversează granița rețelei și puteți analiza diferitele porturi de rețea utilizate de aplicațiile Windows și UNIX.

Port în rețele de calculatoare este punctul final de comunicare în sistemul de operare. Acest termen se aplică și dispozitivelor hardware, dar în software denotă un construct logic care identifică un anumit tip de serviciu sau proces. Un port este întotdeauna asociat cu adresa IP a gazdei sau tipul de protocol de comunicare. Acesta finalizează atribuirea adresei de sesiune. Un port este identificat pentru fiecare protocol și adresă folosind un număr de 16 biți, cunoscut și ca număr de port. Adesea, anumite numere de port sunt folosite pentru a identifica anumite servicii. Din cele câteva mii enumerate, 1.024 de numere cunoscute sunt protejate printr-un acord special. Ei definesc tipuri specifice servicii pe gazdă. Protocoalele care folosesc în principal porturi sunt folosite pentru a controla procesele. Un exemplu este Transmission Control Protocol (TCP) sau User Datagram Protocol din suita de protocoale Internet.

Sens

Porturile TCP nu sunt necesare pentru legăturile directe punct la punct, unde computerele de la fiecare capăt pot rula doar un program la un moment dat. Necesitatea acestora a apărut după ce aceste mașini s-au dovedit a fi capabile să execute mai mult de un program în același timp. Au fost conectați la rețele moderne cu comutare de pachete. În modelul de arhitectură client-server, porturile, aplicațiile și clienții de rețea sunt conectați pentru a iniția serviciul. Ele furnizează servicii de multiplexare după ce schimbul inițial de informații este asociat cu un număr de port. Este eliberat prin comutarea fiecărei instanțe de serviciu de solicitare la o linie dedicată. Conectarea la număr specific. Datorită acestui fapt, clienții suplimentari pot fi serviți fără nicio așteptare.

Detalii

Protocoalele de transfer de date UDP și TCP sunt utilizate pentru a indica numărul portului de destinație și sursă în anteturile lor de segment. Numărul portului este un număr nesemnat pe 16 biți. Poate varia de la 0 la 65535. Cu toate acestea, porturile TCP nu pot folosi numărul 0. Pentru UDP, portul sursă nu este necesar. Egal cu zero sensul înseamnă absența lui. Acest proces conectează canalele de intrare sau de ieșire folosind un protocol de transport, un număr de port și o adresă IP printr-o priză de internet. Acest proces este cunoscut și sub denumirea de legare. Face posibilă primirea și transmiterea informațiilor prin rețea. Software-ul de rețea al sistemului de operare este utilizat pentru a transmite date de ieșire de la toate porturile de aplicație către rețea. De asemenea, redirecționează sosiri pachete de rețea prin potrivirea numărului și a adresei IP. La o anumită adresă IP și combinație de port folosind aceeași combinație protocol de transport, puteți lega doar un singur proces. Blocările aplicației, numite și conflicte, apar atunci când mai multe programe încearcă să comunice cu aceleași numere de port pe aceeași adresă IP folosind același protocol.

Cum se folosesc?

Aplicațiile care implementează servicii partajate folosesc destul de des o listă special rezervată și cunoscută de porturi UDP și TCP pentru a accepta cererile de servicii pentru clienți. Acest proces este cunoscut și sub numele de ascultare. Aceasta implică primirea unei cereri de la un port binecunoscut și stabilirea unei conversații între client și server spate în spate folosind același număr portul local. Alți clienți pot continua să se conecteze. Acest lucru este posibil deoarece o conexiune TCP este identificată ca un lanț care constă din porturi și adrese locale și la distanță. Porturile UDP și TCP standard pot fi definite prin acord sub controlul IANA sau al Autorității pentru Numerele Alocate de Internet. De regulă, nucleul serviciilor de rețea, în primul rând, este Lumea Wide Web, utilizează numere de porturi mici, mai mici de 1024. Pe multe sisteme de operare, aplicațiile necesită privilegii speciale pentru a le lega. Din acest motiv, ele sunt adesea considerate critice pentru funcționarea rețelelor IP. Clientul final al conexiunii, pe de altă parte, tinde să folosească un număr mai mare dintre acestea, alocate pentru utilizare pe termen scurt. Din acest motiv, există așa-numitele porturi efemere.

Structura

Porturile TCP sunt codificate în antetul pachetului de transport. Ele pot fi interpretate cu ușurință nu numai de către PC-urile de recepție și de transmisie, ci și de alte componente infrastructura de retea. Firewall-urile în special sunt configurate în mod obișnuit pentru a diferenția pachetele pe baza numerelor portului de destinație și a sursei acestora. Un exemplu clasic în acest sens este redirecționarea. Încercarea de a se conecta secvenţial la o serie de porturi de pe acelaşi computer este cunoscută şi sub denumirea de scanare porturi. Astfel de proceduri sunt de obicei asociate fie cu încercări de eșec rău intenționat, fie cu faptul că administratorii de rețea caută în mod special posibile vulnerabilități pentru a preveni astfel de atacuri. Acțiunile care vizează deschiderea unui port TCP sunt înregistrate și controlate cu ajutorul computerelor. Această tehnică folosește o serie de conexiuni de rezervă pentru a asigura interacțiunea neîntreruptă cu serverul.

Exemple de utilizare

Un exemplu de bază care utilizează activ porturile UDP și TCP este sistemul postal Internet. Serverul este folosit pentru a lucra cu e-mailul. În general, are nevoie de două servicii. Primul serviciu este folosit pentru transportul prin e-mail și de pe alte servere. Acest lucru se realizează utilizând protocolul SMTP (Simple Mail Transfer Protocol). Aplicația de serviciu SMTP ascultă de obicei Port TCP numărul 25 pentru a procesa cererile primite. Un alt serviciu este POP sau IMAP. Acestea sunt necesare pentru aplicațiile client de e-mail de pe computerele utilizatorilor pentru a primi mesaje de e-mail de la server. Serviciile POP ascultă numere pe portul TCP 110. Toate serviciile de mai sus pot rula pe același computer gazdă. Numărul portului, atunci când se întâmplă acest lucru, distinge serviciul solicitat de dispozitivul la distanță. Dacă numărul portului de ascultare al serverului este determinat corect, acest parametru pentru client este determinată din intervalul dinamic. Clienții și serverul separat în unele cazuri folosesc porturi specifice TCP-uri care sunt alocate IANA. Un bun exemplu este DHCP. Aici clientul folosește în orice caz UDP 68, iar serverul folosește UDP 67.

Utilizarea în URL-uri

Uneori, numerele de port sunt vizibile clar pe Internet sau pe alte semne unificate resurse informaționale, ca o adresă URL. HTTP utilizează implicit portul TCP 80, iar HTTPS utilizează portul 443. Există și alte variante. Deci, de exemplu, adresa URL http://www.example.com:8080/path indică în schimb browserul web server HTTP se conectează la 8080.

Lista de porturi UDP și TCP

După cum s-a menționat mai devreme, IANA, sau Autoritatea de numere desemnată InternetA, este responsabilă pentru coordonarea globală a rădăcinii DNS, a adresei IP și a altor resurse de protocol Internet. Aceste proceduri includ înregistrarea porturilor utilizate frecvent pentru serviciile de Internet cunoscute. Toate numerele de port sunt împărțite în trei intervale: bine-cunoscut, înregistrat și privat sau dinamic. Porturile cunoscute sunt cele cu numere de la 0 la 1023. Sunt numite și porturi de sistem. Cerințele pentru noile valori din acest interval sunt mai stricte decât pentru alte înregistrări.

Exemple

Exemple de porturi din lista cunoscută includ:

  • portul TCP 443 – HTTPS;
  • 21 – Protocolul de transfer de fișiere;
  • 22- Secure Shell;
  • 25 – protocol simplu de transfer de e-mail STMP;
  • 53 – sistem de nume de domeniu DNS;
  • 119 – Network News Transfer Protocol sau NNTP;
  • 80 – Protocolul de transfer hipertext HTTP;
  • 143 – Internet Message Access Protocol;
  • 123 – Protocolul de timp al rețelei NTP;
  • 161 - protocol simplu de gestionare a rețelei SNMP.

Porturile înregistrate trebuie să aibă numere de la 1024 la 49151. Autoritatea pentru numerele atribuite pe Internet menține o listă oficială a tuturor intervalelor cunoscute și înregistrate. Porturile de frecvență sau dinamice variază de la 29152 la 65535. O utilizare a acestui interval este porturile temporare.

Istoria creației

Conceptul de numere de port a fost dezvoltat de primii creatori ai ARPANET. A fost dezvoltat într-o colaborare informală între autorii de software și administratorii de sistem. La acea vreme, termenul „număr port” nu era încă folosit. Rând de numere gazdă la distanță a fost un număr de 40 de biți. Primii 32 de biți semănau cu adresa IPv4 de astăzi. Cei mai semnificativi au fost primii 8 biți. Partea mai puțin semnificativă a numărului (aceștia sunt biții de la 33 la 40) a desemnat un obiect numit AEN. Era un prototip al numărului de port modern. Crearea unui director de numere de socket a fost propusă pentru prima dată pe 26 martie 1972. Administratorii de rețea au fost apoi chemați să descrie fiecare număr fix pentru servicii de rețeași funcțiile sale. Acest catalog a fost publicat ulterior ca RFC 433 în iarna lui 1972. Include o listă de gazde, numerele de porturi ale acestora și funcția corespunzătoare utilizată în fiecare nod din rețea. Primele valori oficiale ale numărului de port au fost documentate în mai 1972. Totodată, s-a propus menținerea unei funcții administrative speciale a acestui registru. Prima listă de porturi TCP a inclus 256 de valori AEN. Acestea au fost împărțite în următoarele intervale:

— de la 0 la 63 – funcții standard ale întregii rețele;

— de la 64 la 127 – funcții specifice gazdei;

— de la 128 la 239 – funcții rezervate pentru utilizare ulterioară;

— de la 240 la 255 – orice funcție experimentală.

Termenul AEN, în primele zile ale ARPANET, se referea și la numele prizei care a fost folosită cu protocolul de conectare original și componenta programului de gestionare a rețelei, sau NCP. În acest caz, NCP a reprezentat precursorul protocoalelor moderne de Internet care utilizează porturi TCP/IP.

APLICAȚII UDP

Protocolul UDP, printre multe alte aplicații, acceptă și Trivial File Transfer Protocol (TFTP), Rețea simplă Protocolul de management(SNMP) și Protocolul de informații de rutare (RIP).
TFTP (Typical File Transfer Protocol). Este folosit în principal pentru copierea și instalarea unui sistem de operare pe un computer de pe un server de fișiere,

TFTP. TFTP este o aplicație mai mică decât File Transfer Protocol (FTP). În mod obișnuit, TFTP este utilizat în rețele pentru un transfer simplu de fișiere. TFTP include propriul mecanism de control al erorilor și de numerotare a secvenței și, prin urmare, acest protocol nu necesită servicii suplimentare la nivelul de transport.

SNMP (Simple Network Management Protocol) monitorizează și gestionează rețelele și dispozitivele atașate acestora și colectează informații despre performanța rețelei. SNMP trimite mesaje PDU care permit software-ului de management al rețelei să monitorizeze dispozitivele din rețea.

RIP (Routing Information Protocol) - protocol rutare internă, ceea ce înseamnă că poate fi folosit în cadrul unei organizații, dar nu și pe Internet.

APLICAȚII TCP

Protocolul TCP, pe lângă multe alte aplicații, acceptă și Funcționează FTP, Telnet și Simple Mail Transfer Protocol (SMTP).

FTP (File Transfer Protocol) este o aplicație cu funcții complete care este folosită pentru a copia fișiere folosind rularea aplicație client pe un computer conectat la o aplicație server FTP pe un alt computer la distanță. Folosind această aplicație, fișierele pot fi primite și trimise.

Telnet vă permite să stabiliți sesiuni de terminal de la dispozitiv la distanță, de obicei cu o gazdă UNIX, un router sau un comutator. Acest lucru oferă administratorului de rețea posibilitatea de a gestiona dispozitivul de rețea ca și cum s-ar afla în imediata apropiere și ar fi fost controlat folosind port serial calculator. Utilitatea Telnet este limitată la sistemele care utilizează modul caracter sintaxa comenzii. Telnet nu acceptă management mediu grafic utilizator.

SMTP (Simple Mail Transfer Protocol) este un protocol de transfer de e-mail pentru Internet. Acceptă transferul de mesaje de e-mail între clienti de mail si servere de mail.

PORTURI BINE CUNOSCUTE
Porturile binecunoscute sunt atribuite de IANA și variază de la 1023 și mai jos. Acestea sunt alocate aplicațiilor care sunt de bază pentru Internet.

PORTURI ÎNREGISTRATE
Porturile înregistrate sunt catalogate de IANA și variază de la 1024 la 49151. Aceste porturi sunt utilizate de aplicații licențiate, cum ar fi Lotus Mail.

PORTURI ASIGNATE DINAMIC
Porturile alocate dinamic sunt numerotate de la 49152 la 65535. Numerele acestor porturi sunt alocate dinamic pe durata unei anumite sesiuni.

Surse: Wikipedia, Microsoft, portscan.ru

Cum să afli ce porturi sunt deschise pe un computer?

  1. Pentru Windows: Start → „cmd” → Rulați ca administrator → „netstat -bn”
  2. Într-un program antivirus precum Avast, este posibil să vizualizați porturile active în Firewall: instrumente -> Firewall -> Conexiuni de rețea.

Asemenea comenzi utile netstat:

Pentru a afișa atât statisticile Ethernet, cât și statisticile pentru toate protocoalele, tastați următoarea comandă:

netstat -e -s

Pentru a afișa statisticile numai pentru protocoalele TCP și UDP, tastați următoarea comandă:

netstat -s -p tcp udp

Pentru a afișa conexiunile TCP active și ID-urile procesului la fiecare 5 secunde, tastați următoarea comandă:

nbtstat -o 5

Pentru a afișa conexiunile TCP active și ID-urile procesului folosind forma numerică, tastați următoarea comandă:

nbtstat -n -o

Pentru Socket-uri TCP Următoarele valori de stare sunt valide:

ÎNCHIS Închis Priza nu este folosită.
ASCULTARE (ASCULTARE) Așteaptă conexiunile de intrare.
SYN_SENT Încercarea activă de a stabili o conexiune.
SYN_RECEIVED Sincronizarea inițială a conexiunii este în curs.
STABILIT Conexiunea a fost stabilită.
CLOSE_WAIT Partea de la distanță s-a deconectat; așteptând să se închidă priza.
FIN_WAIT_1 Priza este închisă; deconectarea conexiunii.
ÎNCHIDERE Priza este închisă, apoi partea de la distanță se deconectează; asteptand confirmarea.
LAST_ACK Partea de la distanță este deconectată, apoi priza este închisă; asteptand confirmarea.
FIN_WAIT_2 Priza este închisă; așteptând ca partea de la distanță să se deconecteze.
TIME_WAIT Socket-ul este închis, dar așteaptă procesarea pachetelor încă în rețea

Lista celor mai frecvent utilizate porturi

Porturile de rețea pot oferi informații vitale despre aplicațiile care accesează computerele prin rețea. Cunoscând aplicațiile care folosesc rețeaua și porturile de rețea corespunzătoare, puteți crea reguli precise pentru firewall și puteți configura computerele gazdă pentru a permite numai trafic util. Prin construirea unui profil de rețea și implementarea instrumentelor pentru a recunoaște traficul de rețea, puteți detecta mai eficient intrușii - uneori pur și simplu analizând traficul de rețea pe care îl generează. Am început să luăm în considerare acest subiect în prima parte a articolului publicat în numărul precedent al revistei. Acesta a oferit informații de bază despre porturile TCP/IP ca bază securitatea rețelei. Partea 2 va descrie câteva metode de rețea și gazdă care pot fi utilizate pentru a identifica aplicațiile care ascultă într-o rețea. Mai târziu în articol vom vorbi despre cum să evaluăm traficul care trece prin rețea.

Blocarea aplicațiilor de rețea

Suprafața de atac al rețelei este un termen comun pentru a descrie vulnerabilitatea rețelei. Multe atacuri de rețea au loc prin aplicații vulnerabile, iar suprafața de atac poate fi redusă semnificativ prin reducerea numărului de aplicații active în rețea. Cu alte cuvinte, ar trebui să dezactivați serviciile neutilizate, să instalați un firewall pe sistemul dedicat pentru a verifica legitimitatea traficului și să creați o listă cuprinzătoare de control al accesului (ACL) pentru firewall-ul din perimetrul rețelei.

Fiecare port de rețea deschis reprezintă o aplicație care ascultă în rețea. Suprafața de atac a fiecărui server conectat la rețea poate fi redusă prin dezactivarea tuturor serviciilor și aplicațiilor de rețea neesențiale. Windows Server 2003 este superior versiunilor anterioare ale sistemului de operare deoarece permite mai puține servicii de rețea în mod implicit. Cu toate acestea, auditarea este încă necesară pentru a detecta aplicațiile nou instalate și modificările de configurare care deschid porturi de rețea inutile.

Fiecare port deschis este o ușă în spate potențială pentru atacatorii care exploatează spații din aplicația gazdă sau accesează în mod secret aplicația cu numele și parola altui utilizator (sau folosesc o altă metodă de autentificare legitimă). Oricum, un prim pas important pentru a vă proteja rețeaua este să dezactivați pur și simplu aplicațiile de rețea neutilizate.

Scanare porturi

Scanarea portului este procesul de detectare a aplicațiilor de ascultare prin sondarea activă a porturilor de rețea ale unui computer sau alt dispozitiv de rețea. Posibilitatea de a citi rezultatele scanării și de a compara rapoartele rețelei cu rezultatele sondajului portului gazdă vă permite să obțineți o imagine clară a traficului care circulă prin rețea. Cunoașterea topologiei rețelei - condiție importantă pregătirea unui plan strategic de scanare zone specifice. De exemplu, scanând o serie de adrese IP externe, puteți aduna date valoroase despre un atacator de pe Internet. Prin urmare, ar trebui să vă scanați rețeaua mai des și să închideți toate porturile de rețea inutile.

Scanarea portului firewall extern detectează toate serviciile care răspund (cum ar fi web sau e-mail), situat pe servere interne. Aceste servere ar trebui, de asemenea, protejate. Configurați un scanner de porturi familiar (de exemplu, Network Mapper - Nmap) pentru a scana grupul dorit porturi UDP sau TCP. De obicei, scanarea portului TCP este mai fiabilă decât scanarea UDP datorită faptului că este mai profundă feedback cu protocoale TCP orientate spre conexiune. Există versiuni de Nmap atât pentru Windows, cât și pentru Unix. Pornirea unei scanări de bază este ușoară, deși programul oferă funcții mult mai avansate. Pentru a găsi porturi deschise pe computerul de testare, am rulat comanda

Nmap 192.168.0.161

Ecranul 1 arată rezultatele unei sesiuni de scanare - în acest caz, un computer cu Windows 2003 într-o configurație standard. Datele colectate din scanarea portului arată că există șase porturi TCP deschise.

Port Protocol Descriere
1 20 Date FTP File Transfer Protocol - protocol de transfer de fișiere. Port de date.
2 21 Control FTP File Transfer Protocol - protocol de transfer de fișiere. Port de comandă.
3 22 SSH Secure SHell - „safe shell”. Protocol telecomanda sistem de operare.
4 23 telnet REȚEA TERMINALĂ. Protocol pentru implementarea unei interfețe text în rețea.
5 25 SMTP Protocol simplu de transfer de e-mail - un protocol simplu de transfer de e-mail.
6 42 CÂȘTIGE Serviciul de nume de Internet Windows. Serviciu pentru maparea numelor computerelor NetBIOS cu adrese IP gazdă.
7 43 WHOIS „Cine este”. Protocol pentru obținerea datelor de înregistrare despre deținătorii de nume de domeniu și adrese IP.
8 53 DNS Sistem de nume de domeniu - sistem de nume de domeniu.
9 67 DHCP Dynamic Host Configuration Protocol - protocol setări dinamice nodul. Obținerea IP-urilor dinamice.
10 69 TFTP Trivial File Transfer Protocol - un protocol simplu de transfer de fișiere.
11 80 HTTP/Web HyperText Transfer Protocol - protocol de transfer hipertext.
12 110 POP3 Post Office Protocol Version 3 - protocol pentru primirea e-mailurilor, versiunea 3.
13 115 SFTP Protocolul de transfer de fișiere SSH. Protocol securizat de transfer de date.
14 123 NTP Network Time Protocol. Un protocol pentru sincronizarea ceasului intern al computerului.
15 137 NetBIOS Sistem de intrare/ieșire de bază în rețea. Protocol pentru furnizarea operațiunilor de intrare/ieșire în rețea. Serviciu de nume.
16 138 NetBIOS Sistem de intrare/ieșire de bază în rețea. Protocol pentru furnizarea operațiunilor de intrare/ieșire în rețea. Serviciu de conectare.
17 139 NetBIOS Sistem de intrare/ieșire de bază în rețea. Protocol pentru furnizarea operațiunilor de intrare/ieșire în rețea. Serviciu de sesiune.
18 143 IMAP Internet Message Access Protocol. Protocol nivelul de aplicare pentru a accesa e-mailul.
19 161 SNMP Protocol simplu de gestionare a rețelei - un protocol simplu de gestionare a rețelei. Gestionarea dispozitivelor.
20 179 BGP Border Gateway Protocol, protocol de frontieră gateway. Protocol de rutare dinamică.
21 443 HTTPS HyperText Transfer Protocol Secure) este un protocol HTTP care acceptă criptarea.
22 445 SMB Bloc de mesaje pe server. Protocol acces la distanță la fișiere, imprimante și resurse de rețea.
23 514 Syslog Jurnal de sistem. Un protocol pentru trimiterea și înregistrarea mesajelor despre evenimente de sistem în curs.
24 515 LPD Line Printer Daemon. Protocol pentru imprimarea de la distanță pe o imprimantă.
25 993 IMAP SSL Protocol IMAP care acceptă criptarea SSL.
26 995 POP3 SSL Protocol POP3 care acceptă criptarea SSL.
27 1080 SOSETI SOCKET Secure. Protocol pentru obținerea accesului anonim securizat.
28 1194 OpenVPN Implementarea deschisă a tehnologiei Virtual Private Network (VPN).
29 1433 MSSQL Microsoft SQL Server- sistem de management al bazei de date. Port de acces la baza de date.
30 1702 L2TP (IPsec) Protocol pentru susținerea rețelelor private virtuale. Precum și un set de protocoale de protecție a datelor.
31 1723 PPTP Protocol tunel pentru o conexiune sigură cu un server punct la punct.
32 3128 Proxy ÎN în acest moment Portul este adesea folosit de serverele proxy.
33 3268 LDAP Lightweight Directory Access Protocol - protocol de acces ușor la directoare (servicii de directoare).
34 3306 MySQL Acces la bazele de date MySQL.
35 3389 RDP Telecomanda Protocolul desktop- Protocol desktop la distanță pentru Windows.
36 5432 PostgreSQL Acces la baze de date PostgreSQL date.
37 5060 ÎNGHIŢITURĂ Protocol pentru stabilirea unei sesiuni și transmiterea conținutului multimedia.
38 5900 VNC Virtual Network Computing este un sistem de acces de la distanță la desktopul unui computer.
39 5938 TeamViewer TeamViewer - sistem de suport telecomanda calculator și schimb de date.
40 8080 HTTP/Web Un port alternativ pentru protocolul HTTP. Uneori folosit de serverele proxy.
41 10000 NDMP Port popular: Webmin, SIP-voice, VPN IPSec peste TCP.
42 20000 DNP
Ecranul 1: Sesiune de scanare Nmap de bază
  • Portul 135 este utilizat de caracteristica de mapare a punctelor finale RPC implementată în multe Tehnologii Windows- de exemplu, aplicații COM/DCOM, DFS, jurnalele de evenimente, mecanismele de replicare a fișierelor, așteptarea mesajelor și Microsoft Outlook. Acest port ar trebui să fie blocat de firewall-ul perimetrului rețelei, dar este dificil să îl blocați și să mențineți în continuare funcționalitatea Windows.
  • Portul 139 este utilizat de serviciul de sesiune NetBIOS, care permite browserului să caute alte computere, serviciul partajarea fișiere, Net Logon și serviciu de server. Este greu de închis, la fel ca portul 135.
  • Portul 445 este folosit de Windows pentru colaborare cu dosare. Pentru a închide acest port, trebuie să blocați Partajarea fișierelor și a imprimantei pentru rețelele Microsoft. Închiderea acestui port nu împiedică computerul să se conecteze la alte resurse de la distanță; cu toate acestea, alte computere nu se vor putea conecta la acest sistem.
  • Porturile 1025 și 1026 sunt deschise dinamic și utilizate de alții procesele sistemului Windows, în special diverse servicii.
  • Portul 3389 este folosit de Desktop la distanță, care nu este activat implicit, dar este activ pe computerul meu de testare. Pentru a închide portul, accesați fila La distanță din caseta de dialog Proprietăți sistem și debifați caseta de selectare Permite utilizatorilor să se conecteze de la distanță la acest computer.

Asigurați-vă că căutați porturi UDP deschise și închideți pe cele inutile. Programul de scanare arată porturile deschise ale computerului care sunt vizibile din rețea. Rezultate similare pot fi obținute folosind instrumente situate pe sistemul gazdă.

Scanare gazdă

Pe lângă utilizarea unui scanner de porturi de rețea, porturile deschise de pe sistemul gazdă pot fi detectate folosind următoarea comandă (rulate pe sistemul gazdă):

Netstat -an

Această comandă funcționează atât pe Windows, cât și pe UNIX. Netstat oferă o listă de porturi active pe un computer. Pe Windows 2003 Windows XP, trebuie să adăugați opțiunea -o pentru a obține identificatorul de program (PID) corespunzător. Figura 2 arată ieșirea Netstat pentru același computer care a fost scanat anterior. Vă rugăm să rețineți că mai multe porturi care erau active anterior sunt închise.

Audit jurnal de firewall

O altă modalitate utilă de a detecta aplicațiile de rețea care trimit sau primesc date prin rețea este colectarea și analizarea mai multor date în jurnalul de firewall. Este puțin probabil ca intrările de respingere care furnizează informații de la front-end-ul firewall-ului să fie utile din cauza „traficului de zgomot” (de exemplu, viermi, scanere, testare ping) care blochează internetul. Dar dacă înregistrați pachetele permise din interfața internă, puteți vedea tot traficul de rețea de intrare și de ieșire.

Pentru a vedea datele de trafic „brute” din rețea, puteți seta analizor de rețea, care se conectează la rețea și înregistrează toate pachetele de rețea detectate. Cel mai utilizat analizor de rețea gratuit este Tcpdump pentru UNIX (versiunea Windows se numește Windump), care este ușor de instalat pe computer. După instalarea programului, ar trebui să îl configurați să funcționeze în modul de primire a tuturor pachetelor de rețea pentru a înregistra tot traficul, apoi conectați-l la monitorul de porturi de pe comutator de rețeași monitorizați tot traficul care trece prin rețea. Configurarea unui monitor de port va fi discutată mai jos. Tcpdump - extrem de program flexibil, cu care puteți vizualiza traficul de rețea folosind filtre specializate și afișa doar informații despre adresele IP și porturile sau toate pachetele. Este dificil să vizualizați depozitele de rețea rețele mari fără ajutorul filtrelor adecvate, dar trebuie avut grijă să nu se piardă date importante.

Combinarea componentelor

Până acum, am analizat diverse metode și instrumente care pot fi utilizate pentru a detecta aplicațiile care utilizează rețeaua. Este timpul să le combinați și să arătați cum să determinați porturile de rețea deschise. Este uimitor cât de vorbăreț sunt computerele în rețea! În primul rând, este recomandat să vă familiarizați cu documentul Microsoft „Prezentare generală a serviciilor și cerințele portului de rețea pentru ferestrele Sistem server" ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), care listează protocoalele (TCP și UDP) și numerele de porturi utilizate de aplicații și de majoritatea serviciilor de bază Windows Server. Acest document descrie aceste servicii și porturile de rețea asociate pe care le folosesc. Vă recomandăm să descărcați și să imprimați acest ghid de referință util pentru administratorii de rețea Windows.

Configurarea unui analizor de rețea

S-a remarcat anterior că o modalitate de a determina porturile utilizate de aplicații este de a monitoriza traficul dintre computere folosind un analizor de rețea. Pentru a vedea tot traficul, trebuie să conectați un analizor de rețea la un hub sau un monitor de port de pe switch. Fiecare port de pe un hub vede tot traficul de la fiecare computer conectat la acel hub, dar hub-urile sunt o tehnologie învechită și majoritatea companiilor le înlocuiesc cu comutatoare care oferă performanta buna, dar sunt incomod pentru analiză: fiecare port de comutare acceptă numai trafic direcționat către un computer conectat la acest port. Pentru a analiza întreaga rețea, trebuie să monitorizați traficul trimis către fiecare port de comutare.

Acest lucru necesită configurarea unui monitor de port (diferiți furnizori îl numesc port span sau port în oglindă) pe comutator. Instalarea unui monitor de port pe un switch Cisco Catalyst de la Cisco Systems este ușoară. Trebuie să vă înregistrați pe switch și să activați modul Enable, apoi să mergeți la configurarea modului terminal și să introduceți numărul de interfață al portului switch-ului către care ar trebui să fie trimis tot traficul monitorizat. În cele din urmă, trebuie să specificați toate porturile monitorizate. De exemplu, următoarele comenzi asigura monitorizarea a trei porturi Fast Ethernetși trimiterea unei copii a traficului către portul 24.

Interfață FastEthernet0/24 porturi monitor FastEthernet0/1 port FastEthernet0/2 monitor porturi FastEthernet0/3 end

ÎN în acest exemplu Un analizor de rețea conectat la portul 24 va vizualiza tot traficul de ieșire și de intrare de la computerele conectate la primele trei porturi ale comutatorului. Pentru a vizualiza configurația creată, introduceți comanda

Scrieți memoria

Analiza inițială

Să ne uităm la un exemplu de analiză a datelor care trec printr-o rețea. Dacă utilizați un computer Linux pentru analiza rețelei, puteți obține o înțelegere cuprinzătoare a tipului și frecvenței pachetelor din rețea folosind un program precum IPTraf în modul Statistic. Detaliile de trafic pot fi găsite folosind programul Tcpdump.