Meniul
AcasăCuvânt

Protocoale și porturi implicite. Cum să verificați conexiunile TCP (porturi deschise pe un computer Windows). Utilizarea în URL-uri

Scurt lista de porturi:
1. DISCARD: Renunțați la portul (RFC 863)
2. FTP: 21 pentru comenzi, 20 pentru date
3. SSH: 22 (acces de la distanță)
4. Telnet: 23 (acces la distanță)
5. SMTP: 25, 587
6. DNS: 53 (UDP)
7.DHCP: 67, 68/UDP
8. TFTP: 69/UDP
9. HTTP: 80, 8080
10.POP3: 110
11. NTP: 123 (server de timp) (UDP)
12. IMAP: 143
13. SNMP: 161
14. HTTPS: 443
15. MySQL: 3306
16. Server: 3055
17. RDP: 3389 (acces la distanță)
18. OSCAR (ICQ): 5190
19. XMPP (Jabber): 5222/5223/5269
20. Traceroute: peste 33434 (UDP)
21. BitTorrent: 6969, 6881-6889
...

Descriere:

1. RFC 863 - Drop Protocol
Acest document conține un standard pentru comunitatea Internet ARPA. Gazdele Internet ARPA care aleg să accepte protocolul Discard sunt de așteptat să respecte această specificație unealtă folositoareîn timpul măsurătorilor și depanării. Acest serviciu pur și simplu elimină toate datele primite.
Aruncă serviciul activat Bazat pe TCP Una dintre opțiunile serviciului de eliminare este bazată pe TCP. Serverul ascultă conexiunile TCP pe portul 9. Odată stabilită conexiunea, toate datele primite prin aceasta sunt eliminate fără a trimite niciun răspuns. Eliminarea datelor continuă până când conexiunea este terminată de către utilizator.
Serviciul de eliminare bazat pe UDP - O altă variantă a serviciului de eliminare este construită pe UDP. Serverul ascultă datagramele UDP pe portul 9 și, atunci când este detectat, renunță la datagramele primite fără a transmite nicio informație.

2. FTP Transfer de fișier Protocol - protocol de transfer de fișiere) este un protocol conceput pentru transferul de fișiere în rețelele de calculatoare. FTP vă permite să vă conectați la servere FTP, să vizualizați conținutul directorului și să descărcați fișiere de pe sau către un server; În plus, este posibil un mod de transfer de fișiere între servere.
Portul de ieșire 20, deschis pe partea serverului, este utilizat pentru transmisia de date, portul 21 - pentru transmiterea comenzilor.

3. SSH (în engleză: Secure SHell - „secure shell”) - un protocol de rețea la nivel de sesiune care permite controlul de la distanță al sistemului de operare și tunelarea conexiunilor TCP (de exemplu, pentru transferul de fișiere). Portul 22 este utilizat pentru administrarea de la distanță prin programele client protocol ssh (SSH - Secure SHell) Îl puteți închide prin dezactivarea programului de control al serverului.

4. TELNET (English TERminaL NETwork) - protocol de rețea pentru implementare interfață text prin rețea (în formă modernă- folosind transportul TCP).

5. SMTP (Simple Mail Transfer Protocol) este un protocol de rețea conceput pentru transmiterea e-mailurilor prin rețele TCP/IP. Pentru a lucra prin Protocolul SMTP clientul creează o conexiune TCP cu serverul prin portul 25.
Uneori, furnizorii interzic trimiterea de e-mailuri prin portul 25, forțând clientul să folosească doar serverele SMTP. Dar, după cum știți, există o viclenie...
În mod implicit, postfix funcționează numai pe portul 25. Dar îl puteți face să funcționeze pe portul 587. Pentru a face acest lucru, trebuie doar să decomentați linia din fișierul /etc/postfix/master.cf:
depunerea inet n - - - - smtpd

6. DNS (în engleză: Domain Name System) este un sistem computerizat distribuit pentru obținerea de informații despre domenii.Protocolul DNS utilizează portul TCP sau UDP 53 pentru a răspunde solicitărilor.

7. DHCP (Dynamic Host Configuration Protocol) este un protocol de rețea care permite computerelor să obțină automat o adresă IP și alți parametri necesari pentru a funcționa într-o rețea TCP/IP. Acest protocol funcționează pe un model client-server. Pentru configurarea automată, computerul client aflat în etapa de configurare a dispozitivului de rețea contactează așa-numitul server DHCP și primește de la acesta parametrii necesari. Administratorul de rețea poate specifica intervalul de adrese distribuite de server între computere. Acest lucru evită setări manuale calculatoare din rețea și reduce numărul de erori. Protocolul DHCP este utilizat în majoritatea rețelelor TCP/IP.Protocolul DHCP este un protocol client-server, adică implică un client DHCP și Server DHCP. Transmiterea datelor se realizează folosind protocolul UDP, serverul primind mesaje de la clienții de pe portul 67 și trimițând mesaje clienților de pe portul 68.

8. TFTP (English Trivial File Transfer Protocol) este folosit în principal pentru descărcare inițială stații de lucru fără disc. TFTP, spre deosebire de FTP, nu conține capabilități de autentificare (deși filtrarea după adresa IP este posibilă) și se bazează pe protocolul de transport UDP.

9. HTTP (abreviat din limba engleză HyperText Transfer Protocol - „protocol de transfer hipertext”) - un protocol la nivel de aplicație pentru transferul de date (inițial sub formă de documente hipertext). Portul 80 este portul serverelor web. Porturile 80-83 sunt responsabili de lucru prin protocolul HTTP.

10. POP3. Portul 110 (conexiune Opera POP3) este responsabil pentru trimiterea și primirea e-mailurilor.

11. Network Time Protocol (NTP) - un protocol de rețea pentru sincronizarea ceasului intern al computerului folosind rețele cu latență variabilă.Configurarea serviciului de timp (NTP) în Windows 2003 / 2008 / 2008 R2 ... cu sursa se realizează folosind protocolul NTP - 123 portul UDP .

12. IMAP (Internet Message Access Protocol) este un protocol de nivel de aplicație pentru accesarea e-mailului. Se bazează pe protocolul de transport TCP și folosește portul 143.

13. SNMP (Simple Network Management Protocol) este un protocol de gestionare a rețelei de comunicații bazat pe arhitectura UDP. Dispozitivele care acceptă de obicei SNMP sunt routerele, comutatoarele, serverele, stațiile de lucru, imprimantele, modemurile etc. Serviciul SNMP:
Utilizează Windows Sockets API.
Trimite și primește mesaje utilizând UDP (portul 161) și utilizează IP pentru a sprijini rutarea mesajelor SNMP.
Vine cu biblioteci suplimentare (DLL) pentru a suporta MIB-uri non-standard.
Include Microsoft Win32 SNMP Manager API pentru a simplifica dezvoltarea aplicațiilor SNMP.

14. HTTPS (Hypertext Transfer Protocol Secure) - o extensie a protocolului HTTP care acceptă criptarea. Datele transmise prin Protocolul HTTPS, sunt „ambalate” în criptografic Protocolul SSL sau TLS, asigurând astfel protecția acestor date. Spre deosebire de HTTP, HTTPS utilizează implicit portul TCP 443.

15. MySQL este un sistem gratuit de gestionare a bazelor de date.UNUL, DAR mysql nu funcționează.(S-a oprit din funcționare de n TIMP)

16. 3055-rețea locală.

17. RDP (telecomandă engleză Protocolul desktop- Remote Desktop Protocol) este un protocol proprietar la nivel de aplicație achiziționat de Microsoft de la Citrix, utilizat pentru a asigura lucrul de la distanță al utilizatorului cu un server care rulează serviciul de conectare la terminal. Clienți există pentru aproape toate versiunile de Windows (inclusiv Windows CE și Mobile), Linux, FreeBSD, Mac OS X, Android, Symbian. Portul implicit este TCP 3389.

18. Server ICQ.

19. XMPP (Extensible Messaging and Presence Protocol), cunoscut anterior ca Jabber.
5222/5223 - client-server, 5269 - server.

20. Traceroute este un program utilitar de calculator conceput pentru a determina rutele de date pe rețelele TCP/IP. (unele surse indică faptul că este suficient să specificați intervalul de porturi de la 33434 la 33534)

21. BitTórrent (lit. „bit stream” în engleză) - protocol de rețea peer-to-peer (P2P) pentru partajarea cooperativă de fișiere prin Internet. 6969, 6881-6889 porturi pentru accesul clienților torrent.

 20:11:35 20

APLICAȚII UDP

UDP acceptă, de asemenea, Trivial File Transfer Protocol (TFTP), Simple Network Management Protocol (SNMP) și Routing Information Protocol (RIP), printre multe alte aplicații.
TFTP (Typical File Transfer Protocol). Este folosit în principal pentru copiere și instalare sistem de operare pe un computer de la un server de fișiere,

TFTP. TFTP este o aplicație mai mică decât File Transfer Protocol (FTP). În mod obișnuit, TFTP este utilizat în rețele pentru un transfer simplu de fișiere. TFTP include propriile sale mecanism propriu controlul erorilor și numerotarea de serie și, prin urmare, acest protocol nu are nevoie servicii aditionale pe nivelul transportului.

SNMP (Simple Network Management Protocol) monitorizează și gestionează rețelele și dispozitivele atașate acestora și colectează informații despre performanța rețelei. SNMP trimite mesaje de bloc de date de protocol care permit software dispozitive de control al managementului rețelei în rețea.

RIP (Routing Information Protocol) - protocol rutare internă, ceea ce înseamnă că poate fi folosit în cadrul unei organizații, dar nu și pe Internet.

APLICAȚII TCP

Protocolul TCP, pe lângă multe alte aplicații, acceptă și Funcționează FTP, Telnet și Simple Mail Transfer Protocol (SMTP).

FTP (File Transfer Protocol) este o aplicație cu funcții complete care este folosită pentru a copia fișiere folosind rularea aplicație client pe un computer conectat la o aplicație server FTP pe altul computer la distanță. Folosind această aplicație, fișierele pot fi primite și trimise.

Telnet vă permite să stabiliți sesiuni de terminal cu un dispozitiv la distanță, de obicei o gazdă UNIX, un router sau un comutator. Acest lucru oferă administratorului de rețea posibilitatea de a gestiona dispozitivul de rețea ca și cum s-ar afla în imediata apropiere și ar fi fost controlat folosind port serial calculator. Utilitatea Telnet este limitată la sistemele care utilizează modul caracter sintaxa comenzii. Telnet nu acceptă controlul mediului grafic al utilizatorului.

SMTP (Simple Mail Transfer Protocol) este un protocol de transfer de e-mail pentru Internet. Acceptă transferul de mesaje de e-mail între clienții de e-mail și serverele de e-mail.

PORTURI BINE CUNOSCUTE
Porturile binecunoscute sunt atribuite de IANA și variază de la 1023 și mai jos. Acestea sunt alocate aplicațiilor care sunt de bază pentru Internet.

PORTURI ÎNREGISTRATE
Porturile înregistrate sunt catalogate de IANA și variază de la 1024 la 49151. Aceste porturi sunt utilizate de aplicații licențiate, cum ar fi Lotus Mail.

PORTURI ASIGNATE DINAMIC
Porturile alocate dinamic sunt numerotate de la 49152 la 65535. Numerele acestor porturi sunt alocate dinamic pe durata unei anumite sesiuni.

Protocolul TCP/IP este fundamentul Internetului, prin care computerele trimit și primesc informații de oriunde în lume, indiferent de locația geografică. Accesarea unui computer TCP/IP dintr-o altă țară este la fel de ușor ca accesarea unui computer din camera alăturată. Procedura de acces este identică în ambele cazuri, deși conectarea la o mașină din altă țară poate dura cu câteva milisecunde mai mult. Drept urmare, cetățenii oricărei țări pot face cumpărături cu ușurință pe Amazon.com; cu toate acestea, din cauza proximității logice, sarcina devine mai complicată securitatea informatiei: orice proprietar conectat la computer de internet oriunde în lume poate încerca să stabilească o conexiune neautorizată cu orice altă mașină.

Este responsabilitatea profesioniștilor IT să instaleze firewall-uri și sisteme pentru a detecta traficul suspect. Analiza pachetelor preia informații despre adresele IP sursă și destinație și porturile de rețea implicate. Valoarea porturilor de rețea nu este inferioară adreselor IP; Acest cele mai importante criterii pentru a separa traficul util de mesajele false și dăunătoare care intră și ies din rețea. Majoritatea traficului de rețea de Internet constă din pachete TCP și UDP, care conțin informații despre porturile de rețea pe care computerele le folosesc pentru a direcționa traficul de la o aplicație la alta. Condiție prealabilă Firewall și securitatea rețelei - înțelegerea cuprinzătoare de către administrator a modului în care computerele și dispozitivele de rețea utilizează aceste porturi.

Studiind porturile

Cunoașterea principiilor de bază ale funcționării porturilor de rețea va fi utilă oricărui administrator de sistem. Cu o înțelegere de bază a porturilor TCP și UDP, un administrator poate diagnostica independent o aplicație de rețea eșuată sau poate proteja un computer care va accesa Internetul fără a apela un inginer de rețea sau un consultant de firewall.

Prima parte a acestui articol (formată din două părți) descrie conceptele de bază necesare pentru a discuta porturile de rețea. Va fi afișat locul porturilor de rețea în total model de rețeași rolul porturilor de rețea și al firewallului NAT (Network Address Translation) în conectarea computerelor companiei la Internet. În cele din urmă, vor fi indicate punctele de rețea la care este convenabil să identifici și să filtrezi traficul de rețea pe porturile de rețea corespunzătoare. Partea a 2-a analizează unele dintre porturile utilizate de aplicațiile și sistemele de operare obișnuite și prezintă câteva instrumente pentru a găsi porturi de rețea deschise.

Scurtă prezentare generală a protocoalelor de rețea

TCP/IP este un set de protocoale de rețea prin care computerele comunică între ele. Suita TCP/IP nu este altceva decât bucăți de cod software instalate în sistemul de operare care oferă acces la aceste protocoale. TCP/IP este un standard, astfel încât aplicațiile TCP/IP de pe o mașină Windows ar trebui să comunice cu succes cu aceeași aplicație pe o mașină UNIX. În primele zile ale rețelei, în 1983, inginerii au dezvoltat modelul de interconectare OSI cu șapte straturi pentru a descrie procesele de rețea de calculatoare, de la cablu la aplicație. Modelul OSI constă din straturi fizice, de canal, de rețea, de transport, de reprezentare a datelor de sesiune și de aplicație. Administratorii care lucrează constant cu Internetul și TCP/IP se ocupă în primul rând de straturile de rețea, transport și aplicații, dar pentru diagnosticarea de succes este necesar să cunoască alte straturi. În ciuda vârstei înaintate a modelului OSI, acesta este încă folosit de mulți specialiști. De exemplu, atunci când un inginer de rețea vorbește despre comutatoarele Layer 1 sau Layer 2, sau un furnizor de firewall vorbește despre controlul Layer 7, vorbește despre straturile definite în modelul OSI.

Acest articol vorbește despre porturile de rețea situate la nivelul 4 - transport. În suita TCP/IP, aceste porturi sunt utilizate de protocoalele TCP și UDP. Dar înainte să ajungem la descriere detaliata un nivel, trebuie să vă familiarizați pe scurt cu șapte Nivelurile OSIși rolul pe care îl joacă în rețelele moderne TCP/IP.

Straturile 1 și 2: Cabluri fizice și adrese MAC

Stratul 1, fizic, reprezintă mediul real prin care circulă semnalul, cum ar fi cablul de cupru, cablul de fibră optică sau semnalele radio (în cazul Wi-Fi). Stratul 2, legătura de date, descrie formatul de date pentru transmiterea pe mediul fizic. La nivelul 2, pachetele sunt organizate în cadre și pot fi implementate funcții de bază controlul fluxului de date și tratarea erorilor. Standardul IEEE 802.3, mai bine cunoscut sub numele de Ethernet, este cel mai comun standard Layer 2 pentru rețelele locale moderne. Un comutator de rețea tipic este un dispozitiv de nivel 2 prin care mai multe computere se conectează fizic și fac schimb de date între ele. Uneori, două computere nu se pot conecta între ele, chiar dacă adresele IP par a fi corecte: problema poate fi cauzată de erori în memoria cache a protocolului de traducere adrese ARP(Address Resolution Protocol), care indică o defecțiune la nivelul 2. În plus, unele puncte wireless punctele de acces (Access Point, AP) oferă filtrare adrese MAC, permițând conectarea numai la AP-ul wireless adaptoare de rețea cu o anumită adresă MAC.

Straturile 3 și 4: adrese IP și porturi de rețea

Nivelul 3, rețea, acceptă rutare. În TCP/IP, rutarea este implementată în IP. Adresa IP a pachetului aparține stratului 3. Routerele de rețea sunt dispozitive de nivel 3 care analizează adresele IP ale pachetelor și redirecționează pachetele către alt router sau livrează pachete către calculatoare locale. Dacă în rețea este detectat un pachet suspect, primul pas este să verificați adresa IP a pachetului pentru a determina originea pachetului.

Împreună cu stratul de rețea, stratul 4 (transport) este un bun punct de plecare pentru diagnosticarea problemelor de rețea. Pe Internet, Layer 4 conține protocoalele TCP și UDP și informații despre portul de rețea care asociază un pachet cu o anumită aplicație. Stiva de rețea Computerul utilizează un port de rețea de comunicare TCP sau UDP cu o aplicație pentru a direcționa traficul de rețea către acea aplicație. De exemplu, portul TCP 80 este asociat cu o aplicație de server Web. Această mapare a porturilor la aplicații este cunoscută ca un serviciu.

TCP și UDP sunt diferite. În esență, TCP oferă conexiune de încredere pentru a face schimb de date între două aplicații. Înainte de a începe comunicarea, cele două aplicații trebuie să stabilească o conexiune prin finalizarea procesului de strângere de mână TCP în trei pași. UDP este mai degrabă o abordare de foc și uitare. Fiabilitatea comunicării pentru aplicații TCP este furnizat de protocol, iar aplicația UDP trebuie să verifice în mod independent fiabilitatea conexiunii.

Portul de rețea este un număr între 1 și 65535 care este specificat și cunoscut ambelor aplicații între care se stabilește comunicația. De exemplu, un client trimite de obicei o cerere necriptată către server la adresa țintă de pe portul TCP 80. De obicei, computerul trimite Interogare DNS la serverul DNS la adresa de destinație de pe portul UDP 53. Clientul și serverul au o adresă IP sursă și destinație, precum și un port de rețea sursă și destinație, care pot diferi. Din punct de vedere istoric, toate numerele de port sub 1024 sunt numite „numere de port cunoscute” și sunt înregistrate la Internet Assigned Numbers Authority (IANA). Pe unele sisteme de operare, numai procesele de sistem pot folosi porturi din acest interval. În plus, organizațiile pot înregistra porturile 1024 până la 49151 la IANA pentru a asocia portul cu aplicația lor. Această înregistrare oferă o structură care ajută la evitarea conflictelor între aplicațiile care încearcă să utilizeze același număr de port. Totuși, în general, nimic nu împiedică o aplicație să solicite un anumit port atâta timp cât acesta nu este ocupat de un alt program activ.

Din punct de vedere istoric, serverul putea asculta pe porturi cu numere mici, iar clientul ar putea iniția o conexiune pe un port cu numere mari (peste 1024). De exemplu, un client Web poate deschide o conexiune la un server Web pe portul de destinație 80, dar poate asocia un port sursă selectat aleatoriu, cum ar fi portul TCP 1025. Când răspunde clientului, serverul Web adresează pachetul clientului cu sursa portul 80 și portul de destinație 1025. Combinația dintre o adresă IP și un port se numește socket și trebuie să fie unică pe computer. Din acest motiv, atunci când configurați un server Web cu două site-uri Web separate pe același computer, trebuie să utilizați mai multe adrese IP, cum ar fi adresa 1:80 și adresa 2:80, sau să configurați serverul Web să asculte pe mai multe porturi de rețea, cum ar fi ca adresa 1:80 și adresa 1:81. Unele servere Web permit mai multe site-uri Web să ruleze pe un singur port solicitând un antet gazdă, dar această funcție este de fapt realizată de aplicația server Web pe mai multe porturi. nivel inalt 7.

Pe măsură ce au apărut sistemele de operare și aplicațiile funcții de rețea, programatorii au început să folosească numere de porturi mai mari decât 1024, fără a înregistra toate aplicațiile la IANA. Căutând pe Internet orice port de rețea, de obicei puteți găsi rapid informații despre aplicațiile care folosesc acel port. Sau puteți căuta porturi bine cunoscute și găsiți multe site-uri care listează cele mai comune porturi.

Când blocați aplicațiile de rețea pe un computer sau depanați defectele firewall-ului, cea mai mare parte a muncii provine din clasificarea și filtrarea adreselor IP de nivel 3 și a protocoalelor și porturi de rețea de nivel 4. Pentru a distinge rapid între traficul legitim și cel suspect, ar trebui să învățați să recunoașteți cele mai multe 20. cele utilizate pe scară largă în porturile TCP și UDP ale întreprinderii.

Abilitatea de a recunoaște porturi de rețea iar cunoașterea acestora depășește atribuirea regulilor de firewall. De exemplu, unele corecții de securitate Microsoft descriu cum să închideți porturile NetBIOS. Această măsură ajută la limitarea răspândirii viermilor care pătrund prin vulnerabilități în sistemul de operare. Știind cum și unde să închideți aceste porturi poate ajuta la reducerea riscurilor de securitate a rețelei în timp ce vă pregătiți pentru implementarea unui patch critic.

Și direct la nivelul 7

Este rar să auzim despre Layer 5 (sesiune) și Layer 6 (prezentare) în aceste zile, dar Layer 7 (aplicație) este un subiect fierbinte printre furnizorii de firewall. Cea mai nouă tendință în dezvoltarea firewall-ului de rețea este inspecția Layer 7, care descrie tehnicile utilizate pentru a analiza modul în care o aplicație funcționează față de protocoale de rețea. Analizând sarcina utilă a unui pachet de rețea, un firewall poate determina dacă traficul care trece prin acesta este legitim. De exemplu, o cerere Web conține o instrucțiune GET în interiorul unui pachet Layer 4 (port TCP 80). Dacă firewall-ul dvs. are funcționalitate Layer 7, puteți verifica dacă declarația GET este corectă. Un alt exemplu este că multe programe de partajare de fișiere peer-to-peer (P2P) pot deturna portul 80. Drept urmare, un străin poate configura programul să utilizeze un port pe care îl alege - cel mai probabil un port care ar trebui lăsat deschis în un firewall dat. Dacă angajații unei companii au nevoie de acces la Internet, portul 80 trebuie deschis, dar pentru a distinge traficul Web legitim de traficul P2P direcționat de cineva către portul 80, firewall-ul trebuie să ofere control de nivel 7.

Rolul firewall-ului

După ce am descris straturile de rețea, putem trece la descrierea mecanismului de comunicare între aplicațiile de rețea prin firewall-uri, acordând o atenție deosebită porturilor de rețea utilizate. În exemplul următor, un browser client comunică cu un server Web de pe cealaltă parte a firewall-ului, la fel cum ar comunica un angajat al companiei cu un server Web de pe Internet.

Majoritatea firewall-urilor Internet funcționează la straturile 3 și 4 pentru a examina și apoi a permite sau bloca traficul de rețea de intrare și de ieșire. În general, administratorul scrie liste de control al accesului (ACL) care definesc adresele IP și porturile de rețea ale traficului care este blocat sau permis. De exemplu, pentru a accesa Web-ul, trebuie să lansați un browser și să îl îndreptați către site-ul Web. Calculatorul inițiază o conexiune de ieșire prin trimiterea unei secvențe de pachete IP constând dintr-un antet și informații despre sarcina utilă. Antetul conține informații despre rută și alte atribute de pachet. Regulile de firewall sunt adesea scrise având în vedere informațiile de rutare și de obicei conțin adresele IP sursă și destinație (nivelul 3) și protocolul de pachete (nivelul 4). Când navigați pe Web, adresa IP de destinație aparține serverului Web, iar protocolul și portul de destinație (implicit) sunt TCP 80. Adresa IP sursă este adresa computerului de pe care utilizatorul accesează Web-ul și sursa port este de obicei un număr alocat dinamic, mai mare decât 1024. Informațiile utile sunt independente de antet și sunt generate de aplicația utilizator; în acest caz, este o solicitare către serverul Web de a furniza o pagină Web.

Firewall-ul analizează traficul de ieșire și îl permite conform regulilor firewall-ului. Multe companii permit tot traficul de ieșire din rețeaua lor. Această abordare simplifică configurarea și implementarea, dar reduce securitatea din cauza lipsei de control asupra datelor care părăsesc rețeaua. De exemplu, " Cal troian„poate infecta un computer dintr-o rețea de întreprindere și poate trimite informații de pe acel computer către un alt computer de pe Internet. Este logic să creați liste de control al accesului pentru a bloca astfel de informații.

Spre deosebire de abordarea de ieșire a multor firewall-uri, majoritatea sunt configurate pentru a bloca traficul de intrare. De obicei, firewall-urile permit traficul de intrare numai în două situații. Primul este traficul care sosește ca răspuns la o solicitare trimisă anterior de utilizator. De exemplu, dacă specificați adresa unei pagini Web în browser, firewall-ul permite accesul la rețea codul programului HTML și alte componente ale unei pagini Web. Al doilea caz este găzduirea unui serviciu intern pe Internet, cum ar fi un server de e-mail, un site Web sau FTP. Găzduirea unui astfel de serviciu se numește de obicei traducere de port sau publicare pe server. Implementarea traducerii porturilor variază între furnizorii de firewall, dar principiul de bază este același. Administratorul definește un serviciu, cum ar fi portul TCP 80 pentru serverul Web și un server back-end pentru a găzdui serviciul. Dacă pachetele intră în firewall prin interfața externă corespunzătoare acestui serviciu, atunci mecanismul de traducere a portului le transmite către un anumit computer din rețea ascuns în spatele firewall-ului. Traducerea portului este utilizată împreună cu serviciul NAT descris mai jos.

Bazele NAT

Cu NAT, mai multe computere dintr-o companie pot partaja un spațiu public mic de adrese IP. Serverul DHCP al unei companii poate aloca o adresă IP dintr-unul dintre blocurile de adrese IP private, care nu sunt rutabile pe Internet, definite în Request for Comments (RFC) nr. 1918. Mai multe companii pot partaja, de asemenea, același spațiu de adrese IP private. Exemple de subrețele IP private sunt 10.0.0.0/8, 172.16.0.0/12 și 192.168.0.0/16. Routerele de internet blochează orice pachet direcționat către una dintre adresele private. NAT este o caracteristică firewall care permite companiilor care folosesc adrese IP private să comunice cu alte computere de pe Internet. Firewall-ul știe cum să traducă traficul de intrare și de ieșire în adrese IP interne private, astfel încât fiecare computer să poată accesa Internetul.

În fig. Figura 1 prezintă o conexiune NAT de bază între un client și un server Web. În etapa 1, traficul direcționat către Internet de pe computer rețeaua corporativă, ajunge la interfața internă a paravanului de protecție. Firewall-ul primește pachetul și face o intrare în tabelul de urmărire a conexiunii, care controlează traducerea adresei. Firewall-ul înlocuiește apoi adresa sursă privată a pachetului cu propria sa adresă IP publică externă și trimite pachetul la destinația sa pe Internet (pasul 2). Calculatorul de destinație primește pachetul și transmite răspunsul către firewall (pasul 3). După ce a primit acest pachet, firewall-ul caută expeditorul pachet sursăîn tabelul de urmărire a conexiunii, înlocuiește adresa IP de destinație cu adresa IP privată corespunzătoare și redirecționează pachetul către computer sursă(etapa 4). Pentru că firewall-ul trimite pachete în numele tuturor calculatoare interne, schimbă portul de rețea sursă, iar aceste informații sunt stocate în tabelul de urmărire a conexiunii al firewall-ului. Acest lucru este necesar pentru a vă asigura că prizele de ieșire rămân unice.

Este important să înțelegeți cum funcționează NAT, deoarece NAT modifică adresa IP și porturile de rețea ale pachetelor de trafic. Această înțelegere ajută la diagnosticarea defecțiunilor. De exemplu, devine clar de ce același trafic poate avea adrese IP și porturi de rețea diferite pe interfețele externe și interne ale firewall-ului.

Mai întâi fundația, apoi structura

Înțelegerea principiilor de bază de rețea din aplicație, firewall și port nu este doar pentru inginerii de rețea. Rar văzut astăzi sistem informatic, care nu este conectat la rețea și chiar și administratorii de sistem își pot rezolva problemele mult mai ușor, înțelegând cel puțin elementele de bază ale utilizării porturilor de rețea pentru conectarea aplicațiilor prin Internet.

A doua parte a articolului va analiza instrumentele de detectare a aplicațiilor din rețea prin analizarea porturilor de rețea implicate. Pentru a găsi aplicații care deschid porturi de ascultare și sunt accesibile prin rețea, computerul este interogat prin rețea (scanare porturi) și local (scanare gazdă). În plus, prin vizualizarea jurnalelor de firewall, puteți examina traficul de rețea care traversează granița rețelei și puteți analiza diferitele porturi de rețea utilizate aplicații Windowsși UNIX.

Porturile de rețea pot oferi informații vitale despre aplicațiile care accesează computerele prin rețea. Cunoscând aplicațiile care folosesc rețeaua și porturile de rețea corespunzătoare, puteți crea reguli precise pentru firewall și puteți configura computerele gazdă pentru a permite numai trafic util. Prin construirea unui profil de rețea și implementarea instrumentelor pentru a recunoaște traficul de rețea, puteți detecta mai eficient intrușii - uneori pur și simplu analizând traficul de rețea pe care îl generează. Am început să luăm în considerare acest subiect în prima parte a articolului publicat în numărul precedent al revistei. Acesta a furnizat informații de bază despre porturile TCP/IP ca bază pentru securitatea rețelei. Partea 2 va descrie câteva metode de rețea și gazdă care pot fi utilizate pentru a identifica aplicațiile care ascultă într-o rețea. Mai târziu în articol vom vorbi despre cum să evaluăm traficul care trece prin rețea.

Blocarea aplicațiilor de rețea

Suprafața de atac al rețelei este un termen comun pentru a descrie vulnerabilitatea rețelei. Multe atacuri de rețea sunt direcționate prin aplicații vulnerabile, iar suprafața de atac poate fi redusă semnificativ prin reducerea numărului de aplicații active pe net. Cu alte cuvinte, ar trebui să dezactivați servicii neutilizate, instalați un firewall pe sistemul dedicat pentru a verifica legitimitatea traficului și creați o listă cuprinzătoare de control al accesului (ACL) pentru firewall la perimetrul rețelei.

Fiecare port de rețea deschis reprezintă o aplicație care ascultă în rețea. Suprafața de atac a fiecărui server conectat la rețea poate fi redusă prin dezactivarea tuturor serviciilor și aplicațiilor de rețea neesențiale. Versiune Windows Server 2003 este superior versiunilor anterioare ale sistemului de operare deoarece permite mai puține servicii de rețea în mod implicit. Cu toate acestea, un audit este încă necesar pentru a redescoperi aplicații instalateși modificări de configurare care deschid porturi de rețea inutile.

Fiecare portul deschis- un potențial backdoor pentru atacatorii care exploatează spații din aplicația gazdă sau accesează în secret o aplicație cu numele de utilizator și parola altui utilizator (sau folosesc alt metoda legala autentificare). Oricum, un prim pas important pentru a vă proteja rețeaua este să dezactivați pur și simplu aplicațiile de rețea neutilizate.

Scanare porturi

Scanarea portului este procesul de detectare a aplicațiilor care ascultă prin sondarea activă a porturilor de rețea ale unui computer sau alt dispozitiv de rețea. Posibilitatea de a citi rezultatele scanării și de a compara rapoartele rețelei cu rezultatele sondajului portului gazdă vă permite să obțineți o imagine clară a traficului care circulă prin rețea. Cunoașterea topologiei rețelei - condiție importantă pregătirea unui plan strategic de scanare zone specifice. De exemplu, scanând o serie de adrese IP externe, puteți aduna date valoroase despre un atacator de pe Internet. Prin urmare, ar trebui să vă scanați rețeaua mai des și să închideți toate porturile de rețea inutile.

Scanarea portului firewall extern poate detecta toate serviciile care răspund (cum ar fi web sau e-mail) găzduite pe serverele interne. Aceste servere ar trebui, de asemenea, protejate. Configurați un scanner de porturi familiar (de exemplu, Network Mapper - Nmap) pentru a scana grupul dorit de porturi UDP sau TCP. De obicei, scanarea portului TCP este mai fiabilă decât scanarea UDP datorită faptului că este mai profundă părere cu protocoale TCP orientate spre conexiune. Există versiuni de Nmap atât pentru Windows, cât și pentru Unix. Lansarea procedurii de scanare de bază este simplă, deși programul implementează mult mai mult funcții complexe. Pentru a găsi porturi deschise pe computerul de testare, am rulat comanda

Nmap 192.168.0.161

Ecranul 1 arată rezultatele unei sesiuni de scanare - în acest caz, un computer cu Windows 2003 într-o configurație standard. Datele colectate din scanarea portului arată că există șase porturi TCP deschise.

Ecranul 1: Sesiune de scanare Nmap de bază
  • Portul 135 este utilizat de caracteristica de mapare a punctelor finale RPC implementată în multe Tehnologii Windows- de exemplu, aplicații COM/DCOM, DFS, jurnalele de evenimente, mecanismele de replicare a fișierelor, așteptarea mesajelor și Microsoft Outlook. Acest port ar trebui să fie blocat de firewall-ul perimetrului rețelei, dar este dificil să îl blocați și să mențineți în continuare funcționalitatea Windows.
  • Portul 139 este utilizat de serviciul de sesiune NetBIOS, care permite browserului să caute alte computere, serviciul partajarea fișiere, Net Logon și serviciu de server. Este greu de închis, la fel ca portul 135.
  • Portul 445 este folosit de Windows pentru partajarea fișierelor. Pentru a închide acest port, trebuie să blocați Partajarea fișierelor și a imprimantei pentru Microsoft Rețele. Închiderea acestui port nu împiedică computerul să comunice cu alții resurse de la distanță; cu toate acestea, alte computere nu se vor putea conecta la acest sistem.
  • Porturile 1025 și 1026 sunt deschise dinamic și sunt utilizate de alt sistem procesele Windows, în special diverse servicii.
  • Portul 3389 este folosit de Desktop la distanță, care nu este activat implicit, dar este activ pe computerul meu de testare. Pentru a închide portul, accesați fila La distanță din caseta de dialog Proprietăți sistem și debifați caseta de selectare Permite utilizatorilor să se conecteze de la distanță la acest computer.

Asigurați-vă că căutați porturi UDP deschise și închideți pe cele inutile. Programul de scanare afișează porturi deschise computere care sunt vizibile din rețea. Rezultate similare pot fi obținute folosind instrumente situate pe sistemul gazdă.

Scanare gazdă

Pe lângă utilizarea scaner de rețea porturi, porturile deschise pe sistemul gazdă pot fi detectate utilizând următoarea comandă (rulate pe sistemul gazdă):

Netstat -an

Această comandă funcționează atât pe Windows, cât și pe UNIX. Netstat oferă o listă de porturi active pe un computer. Pe Windows 2003 Windows XP, trebuie să adăugați opțiunea -o pentru a obține identificatorul de program (PID) corespunzător. Figura 2 arată ieșirea Netstat pentru același computer care a fost scanat anterior. Vă rugăm să rețineți că mai multe porturi care erau active anterior sunt închise.

Audit jurnal de firewall

O alta mod util detectați aplicațiile de rețea care trimit sau primesc date prin rețea - colectați și analizați mai multe date în jurnalul de firewall. Este puțin probabil ca intrările de respingere care furnizează informații de la front-end-ul firewall-ului să fie utile din cauza „traficului de zgomot” (de exemplu, viermi, scanere, testare ping) care blochează internetul. Dar dacă înregistrați pachetele permise cu interfață internă, apoi puteți vedea tot traficul de rețea de intrare și de ieșire.

Pentru a vedea datele de trafic „brute” din rețea, puteți seta analizor de rețea, care se conectează la rețea și înregistrează toate pachetele de rețea detectate. Cel mai utilizat analizor de rețea gratuit este Tcpdump pentru UNIX (versiunea Windows se numește Windump), care este ușor de instalat pe computer. După instalarea programului, ar trebui să îl configurați să funcționeze în modul de primire a tuturor pachete de rețea pentru a înregistra tot traficul și apoi conectați-vă la un monitor de port pornit comutator de rețeași monitorizați tot traficul care trece prin rețea. Configurarea unui monitor de port va fi discutată mai jos. Tcpdump este un program extrem de flexibil care poate fi folosit pentru a vizualiza traficul de rețea folosind filtre specializate și pentru a afișa doar informații despre adresele IP și porturile sau toate pachetele. Este dificil să vizualizați depozitele de rețea pe rețele mari fără ajutorul filtrelor adecvate, dar trebuie avut grijă să nu pierdeți date importante.

Combinarea componentelor

Până acum am luat în considerare diverse metodeși instrumente care vă pot ajuta să descoperiți aplicații folosind rețeaua. Este timpul să le combinați și să arătați cum să determinați porturile de rețea deschise. Este uimitor cât de vorbăreț sunt computerele în rețea! În primul rând, este recomandat să vă familiarizați cu document Microsoft„Prezentare generală a serviciilor și cerințele portului de rețea pentru sistemul Windows Server” ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), care listează protocoalele (TCP și UDP) și numerele de porturi utilizate de aplicații și cele mai importante Servicii Windows Server. Documentul descrie aceste servicii și porturile de rețea asociate pe care le utilizează. Vă recomandăm să descărcați și să imprimați acest lucru util pentru administratorii de rețea Referință Windows management.

Configurarea unui analizor de rețea

S-a remarcat anterior că o modalitate de a determina porturile utilizate de aplicații este de a monitoriza traficul dintre computere folosind un analizor de rețea. Pentru a vedea tot traficul, trebuie să conectați un analizor de rețea la un hub sau un monitor de port de pe switch. Fiecare port de pe un hub vede tot traficul de la fiecare computer conectat la acel hub, dar hub-urile sunt o tehnologie învechită și majoritatea companiilor le înlocuiesc cu comutatoare care oferă performanță bună, dar sunt incomod pentru analiză: fiecare port de comutare acceptă numai traficul direcționat către un computer conectat la acest port. Pentru a analiza întreaga rețea, trebuie să monitorizați traficul trimis către fiecare port de comutare.

Acest lucru necesită configurarea unui monitor de port (diferiți furnizori îl numesc port span sau port în oglindă) pe comutator. Setați monitorul portului la Comutator Cisco Cisco Systems Catalyst este o idee simplă. Trebuie să vă înregistrați pe comutator și să activați modul Activare, apoi să mergeți la configurarea modului terminal și să introduceți numărul de interfață al portului comutatorului către care ar trebui să trimiteți toate trafic controlat. În cele din urmă, trebuie să specificați toate porturile monitorizate. De exemplu, următoarele comenzi monitorizează trei porturi Fast Ethernetși trimiterea unei copii a traficului către portul 24.

Interfață FastEthernet0/24 porturi monitor FastEthernet0/1 port FastEthernet0/2 monitor porturi FastEthernet0/3 end

ÎN în acest exemplu Un analizor de rețea conectat la portul 24 va vizualiza tot traficul de ieșire și de intrare de la computerele conectate la primele trei porturi ale comutatorului. Pentru a vizualiza configurația creată, introduceți comanda

Scrieți memoria

Analiza inițială

Să ne uităm la un exemplu de analiză a datelor care trec printr-o rețea. Dacă este utilizat pentru analiza rețelei computer Linux, atunci puteți obține o imagine completă a tipului și frecvenței pachetelor din rețea folosind un program precum IPTraf în modul Statistic. Detaliile de trafic pot fi găsite folosind programul Tcpdump.

Salutare tuturor, astăzi vă voi spune cum diferă protocolul TCP de UDP. Protocoalele de nivel de transport, următorii în ierarhie după IP, sunt folosite pentru a transfera date între procesele de aplicație care rulează pe nodurile de rețea. Un pachet de date primit de la un computer la altul prin intermediul internetului trebuie să fie transferat într-un proces de gestionare și tocmai pentru un anumit scop. Stratul de transport își asumă responsabilitatea pentru acest lucru. La acest nivel există două protocoale principale – TCP și UDP.

Ce înseamnă TCP și UDP?

TCP– protocol de transport pentru transferul de date în rețele TCP/IP, care stabilește preliminar o conexiune la rețea.

UDP– un protocol de transport care transmite mesaje datagrame fără a fi nevoie să se stabilească o conexiune într-o rețea IP.

Permiteți-mi să vă reamintesc că ambele protocoale operează la nivelul de transport al modelului OSI sau TCP/IP, iar înțelegerea modului în care diferă este foarte importantă.

Diferența dintre protocoalele TCP și UDP

Diferența dintre protocoalele TCP și UDP este așa-numita „garanție de livrare”. TCP necesită un răspuns de la clientul căruia i-a fost livrat pachetul de date, confirmarea livrării, iar pentru aceasta are nevoie de o conexiune prestabilită. De asemenea, protocolul TCP este considerat de încredere, în timp ce UDP a primit chiar numele de „protocol de datagramă nesigur”. TCP elimină pierderea de date, duplicarea și amestecarea pachetelor și întârzierile. UDP permite toate acestea și nu necesită o conexiune pentru a funcționa. Procesele care primesc date prin UDP trebuie să se descurce cu ceea ce primesc, chiar și cu pierderi. TCP controlează congestionarea conexiunii, UDP nu controlează nimic altceva decât integritatea datagramelor primite.

Pe de altă parte, datorită unei astfel de neselectivități și lipsă de control, UDP furnizează pachete de date (datagrame) mult mai rapid, prin urmare pentru aplicațiile care sunt proiectate pentru o gamă largă. debituluiȘi schimb rapid,UDP poate fi considerat protocolul optim. Acestea includ jocuri de rețea și de browser, precum și programe de vizionare video în flux și aplicații pentru comunicare video (sau voce): pierderea unui pachet, completă sau parțială, nu schimbă nimic, nu este necesară repetarea cererii, dar descărcarea este mult mai rapidă. Protocolul TCP, fiind mai fiabil, este folosit cu succes chiar și în programe de mail, permițându-vă să controlați nu numai traficul, ci și lungimea mesajului și viteza schimbului de trafic.

Să ne uităm la principalele diferențe dintre tcp și udp.

  1. TCP garantează livrarea pachetelor de date într-o formă, secvență neschimbată și fără pierderi, UDP nu garantează nimic.
  2. TCP numește pachetele pe măsură ce sunt transmise, dar UDP nu.
  3. TCP funcționează în modul full duplex, într-un singur pachet puteți trimite informații și confirma primirea pachetului anterior.
  4. TCP necesită o conexiune prestabilită, UDP nu necesită o conexiune, este doar un flux de date.
  5. UDP oferă mai mult de mare viteză transmiterea datelor.
  6. TCP este mai fiabil și controlează procesul de schimb de date.
  7. UDP este preferat pentru programele care rulează streaming video, videofonie și telefonie, jocuri de rețea.
  8. UPD nu conține funcții de recuperare a datelor

Exemple de aplicații UDP includ, de exemplu, transferul zonelor DNS la Active Directory, unde fiabilitatea nu este necesară. Foarte des le place să pună astfel de întrebări în timpul interviurilor, așa că este foarte important să cunoaștem diferențele dintre tcp și udp.

Anteturi TCP și UDP

Să ne uităm la cum arată anteturile celor două protocoale de transport, deoarece și aici diferențele sunt fundamentale.

Antet UDP

  • Port sursă pe 16 biți > Specificarea portului sursă pentru UDP este opțională. Dacă se folosește acest câmp, destinatarul poate trimite un răspuns către acest port.
  • Port destinație pe 16 biți > Număr port destinație
  • Lungime UDP pe 16 biți > Lungimea mesajului, inclusiv antetul și datele.
  • Sumă de control pe 16 biți > Verificați suma antet și date de verificat

Antet TCP

  • Port sursă pe 16 biți > Număr port sursă
  • Port destinație pe 16 biți > Număr port destinație
  • Numărul de secvență pe 32 de biți > Numărul de secvență este generat de sursă și utilizat de destinație pentru a reordona pachetele pentru a crea mesaj originalși trimiteți confirmarea sursei.
  • Număr de confirmare pe 32 de biți > Dacă bitul ACK al câmpului Control este setat, acest câmp conține următorul număr de secvență așteptat.
  • Lungime antet de 4 biți > Informații despre începutul pachetului de date.
  • rezervare > Rezervat pentru utilizare ulterioară.
  • Sumă de control pe 16 biți > Sumă de control antet și date; determină dacă pachetul a fost corupt.
  • Indicator de urgență pe 16 biți > Acest câmp oferă dispozitivului țintă informații despre urgența datelor.
  • Opțiuni > Valori opționale care pot fi specificate după cum este necesar.

Dimensiunea ferestrei vă permite să economisiți trafic, să luăm în considerare când valoarea acesteia este 1, apoi pentru fiecare răspuns trimis, expeditorul așteaptă confirmarea, nu în totalitate rațională.

Cu o dimensiune a ferestrei de 3, expeditorul trimite deja 3 cadre și așteaptă de la 4, ceea ce înseamnă că are toate cele trei cadre, +1.

Sper că acum aveți o idee despre diferențele dintre protocoalele tcp și udp.