Чем опасен проброс портов
Насколько безопасно открывать порты на вашем роутере? [закрыто]
Я хочу открыть несколько портов в сети моей семьи для игровых серверов и других протоколов, таких как HTTP и FTP. Мой папа, однако, считает, что это небезопасно (для него).
Легко ли хакеру войти в нашу сеть, используя эти открытые порты? Если он это делает, у него есть доступ ко всей сети или только к моему компьютеру?
Мне повезло, мой папа позволил мне иметь неизвестные 5-значные порты, но я все еще хочу использовать «нормальные» порты.
Меня не волнует, проникнет ли хакер на мой компьютер, но мой папа знает. Хакер имеет доступ к компьютеру моего отца без открытых портов? Или только мой компьютер?
Если хакер может получить доступ к моему отцу, могу ли я использовать 2 маршрутизатора, чтобы хакер не смог взломать его компьютер? Я имею в виду, что у меня есть порты, перенаправленные с маршрутизатора семьи на мой собственный маршрутизатор, и этот маршрутизатор направляет их на мой собственный компьютер (сервер). Это сажает хакера в мою «небезопасную» сеть?
Как вы сказали, у компаний по всему миру открыты порты, чтобы они могли вести бизнес. Другой факт заключается в том, что все, что делают эти компании, вероятно, гораздо интереснее для злоумышленников, чем семейные фотографии и Bejeweled Blitz, которые ваш папа имеет на своем компьютере.
Вам также необходимо учитывать, что открытие портов на маршрутизаторе не означает, что вы открыли порты на брандмауэрах ПК. Если вы откроете порт 3333 на своем маршрутизаторе, скорее всего, он все еще заблокирован брандмауэром вашего компьютера, поэтому вы все еще защищены. Как правило, вы открываете нужные порты на маршрутизаторе и открываете порты ТОЛЬКО на брандмауэре ПК, которому необходим доступ через них.
Наконец, в зависимости от того, какие услуги вы планируете использовать, они могут быть совместимы с uPnP. В этом случае они откроют порты, которые им нужны, когда они используются, и закроют их автоматически, когда они не используются. Вы сказали, что у вас есть случайный 5-значный порт, открытый прямо сейчас, и используете его. Почему бы не придерживаться этого тогда? Ничего не получится, если использовать «стандартные» порты, если в этом нет необходимости.
Не открывайте порты в мир — вас поломают (риски)
Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list’ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps’ы спрашивают: «Зачем. «
Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба.
Ошибка конфигурации
Наиболее типичная и опасная ситуация. Как это бывает. Разработчику надо быстро проверить гипотезу, он поднимает временный сервер с mysql/redis/mongodb/elastic. Пароль, конечно, сложный, он везде его использует. Открывает сервис в мир — ему удобно со своего ПК гуём коннектиться без этих ваших VPN. А синтаксис iptables вспоминать лень, все равно сервер временный. Еще пару дней разработки — получилось отлично, можно показывать заказчику. Заказчику нравится, переделывать некогда, запускаем в ПРОД!
Пример намеренно утрированный с целью пройтись по всем граблям:
А в /etc/rsyslog.d/10-iptables.conf
:msg,contains,»[FW — » /var/log/iptables.log
& stop
DDoS по IP
Если злоумышленник знает ваш IP, он может на несколько часов или суток заддосить ваш сервер. Далеко не у всех лоукост-хостингов есть защита от DDoS и ваш сервер просто отключат от сети. Если вы спрятали сервер за CDN, не забудьте сменить IP, иначе хакер его нагуглит и будет DDoS’ить ваш сервер в обход CDN (очень популярная ошибка).
Уязвимости сервисов
Во всем популярном ПО рано или поздно находят ошибки, даже в самых оттестированных и самых критичных. В среде ИБэшников, есть такая полу-шутка — безопасность инфраструктуры можно смело оценивать по времени последнего обновления. Если ваша инфраструктура богата торчащими в мир портами, а вы ее не обновляли год, то любой безопасник вам не глядя скажет, что вы дырявы, и скорее всего, уже взломаны.
Так же стоит упомянуть, что все известные уязвимости, когда-то были неизвестными. Вот представьте хакера, который нашел такую уязвимость, и просканировал весь интернет за 7 минут на ее наличие… Вот и новая вирусная эпидемия ) Надо обновляться, но это может навредить проду, скажете вы. И будете правы, если пакеты ставятся не из официальных репозиториев ОС. Из опыта, обновления из официального репозитория крайне редко ломают прод.
Брутфорс
Как описал выше, есть база с полу миллиардом паролей, которые удобно набирать с клавиатуры. Другими словами, если вы не сгенерировали пароль, а набрали на клавиатуре рядом расположенные символы, будьте уверены* — вас сбрутят.
Уязвимости стека ядра.
Бывает**** и такое, что даже не важно какой именно сервис открывает порт, когда уязвим сам сетевой стек ядра. То есть абсолютно любой tcp/udp-сокет на системе двухлетней давности подвержен уязвимости приводящий к DDoS.
Усиление DDoS-атак
Напрямую ущерба не принесет, но может забить ваш канал, поднять нагрузку на систему, ваш IP попадет в какой-нибудь black-list*****, а вам прилетит абуза от хостера.
Неужели вам нужны все эти риски? Добавьте ваш домашний и рабочий IP в white-list. Даже если он динамический — залогиньтесь через админку хостера, через веб-консоль, и просто добавьте еще один.
Я 15 лет занимаюсь построением и защитой IT-инфраструктуры. Выработал правило, которое всем настоятельно рекомендую — ни один порт не должен торчать в мир без white-list’a.
Например, наиболее защищенный web-сервер*** — это тот, у которого открыты 80 и 443 только для CDN/WAF. А сервисные порты (ssh, netdata, bacula, phpmyadmin) должны быть как минимум за white-list’ом, а еще лучше за VPN. Иначе вы рискуете быть скомпрометированным.
У меня все. Держите свои порты закрытыми!
Опасности открытия портов
Какие именно могут быть опасности при открытии тех или иных портов, и при открытии вообще всех, пробрасывании в роутере через DMZ?
Это какой то тупняк.
Все зависит от сервисов, которые торчат наружу. Я мог бы подробнее, но ты настолько убитый, что это бесполезно.
Тебя могут просканить и поиметь. Обрежь сетевой кабель и будешь в полной безопасности.
Вот это меня и интересует, что значит поиметь, подробнее? Что толку от открытых портов если службы удаленного управления и проч не запущены/отсутствуют?
Милая моя макака: если порт открыт, значит его кто то слушает. Если его кто то слушает, значит там висит какой то сервис.
Начни с конца, окей?
Ясно. А если порт никакие сервисы не прослушивают, он как бы закрыт но в роутере есть на него проброс — это подвергает опасности или нет?
Был бы у тебя аватар, я бы на него помочился.
Не подвергает. Ну сам подумай: роутер принимает коннект на порт, редиректит его на внутренний ip, на котором этот порт закрыт и реджектит его. Логику включай, ну?
Да. Тебе раздолбят порт. Потом сервис в нем болтаться будет.
То есть, такие вещи как брендмауеры — по сути бесполезны, ибо если службы не висят то порты закрыты и с помощью брендмауера их закрывать смысла нет?
ибо если службы не висят то порты закрыты и с помощью брендмауера их закрывать смысла нет?
Можешь не закрывать, если нет никаких служб, предназначенных только для локалхоста/доверенных хостов.
В случае, если опасаешься бэкдоров/троянов, можешь ещё и исходящие закрыть(но это сложнее, требует вдумчивой настройки). Тогда без рута(а если закрыть на роутере, то и с рутом), троян не сможет слушать сеть/принимать управляющие команды.
Как атаковать открытые порты и что могут сделать киберпреступники
Мы уверены, что всем вам когда-либо приходилось «открывать порт» или, точнее, выполнять «переадресацию портов» на маршрутизаторе, поскольку все компьютеры в локальной сети находятся за NAT. Чтобы получить доступ к этим устройствам, которые находятся в локальной сети, из Интернета, мы должны «открыть порт» или выполнить «перенаправление портов» на маршрутизаторе, в противном случае мы не сможем получить доступ к этой службе из Интернета ( SSH-сервер, FTP-сервер, OpenVPN-сервер и т. Д.) Сегодня в этой статье мы собираемся объяснить, что означает открытие порта, как они могут атаковать открытые порты и что они могут делать.
Что означает «открытый» порт?
В локальной сети полностью автоматическим и прозрачным способом порты постоянно открываются и закрываются различными процессами, чтобы иметь возможность связываться с другими компьютерами. Для взаимодействия двух процессов необходимо, чтобы один из них мог «определять местонахождение» другого, чтобы получать услуги или предоставлять вам услуги.
Когда нам нужно открывать порты локально?
Если наш локальный компьютер действует как «что-то», например, FTP-сервер, веб-сервер, SSH-сервер, VPN сервер, сервер базы данных и многое другое, нам нужно будет открыть порт или несколько портов на нем. брандмауэр чтобы разные компьютеры в локальной сети или в Интернете могли получить доступ к нашим службам, в противном случае они не смогут получить доступ, потому что брандмауэр заблокирует эту связь, и соединения не будут установлены.
Обычно в домашних условиях, если мы устанавливаем Windows 10 или Linux-основная операционная система как «Частная сеть» или «Домашняя сеть», брандмауэр отключен, и все входящие соединения будут разрешены. Однако, если у нас есть «общедоступная сеть», брандмауэр будет активирован и заблокирует все входящие соединения, которые мы ранее не делали исходящими, поэтому мы сталкиваемся с «ограничивающим» брандмауэром.
Когда нужно открывать порты в NAT роутера?
Если у нас есть компьютер в локальной сети, который действует как сервер «для чего-то», как в предыдущем случае, и мы хотим, чтобы эти службы были доступны из Интернета, необходимо будет выполнить «переадресацию портов» или также известные как «открытые порты». Таким образом, если кто-то открывает сокет с общедоступным IP-адресом и соответствующим внешним портом, этот поток данных будет автоматически перенаправлен на компьютер, для которого мы «открыли порты».
Любой роутер по умолчанию не имеет правил для перенаправления портов, нам придется делать это специально. Кроме того, очень важной деталью является то, что если у вашего оператора есть CG-NAT, даже если вы откроете порт на маршрутизаторе извне, вы не сможете ничего сделать для доступа к внутренним ресурсам локальной сети.
Как атаковать порт?
На самом деле вы не можете «атаковать» порт, атакована служба, стоящая за этим «портом», которая принимает входящие соединения. Например, если у нас открыт порт 5555 и здесь настроен FTP-сервер, мы будем атаковать службу FTP, но не порт. Порт по-прежнему является «дверью» для информации, и действительно атакуются службы, стоящие за этими портами.
sudo apt install nmap
После установки нам нужно будет выполнить определенную команду, чтобы увидеть, открыт ли порт, отфильтрован или закрыт:
Мы также могли сканировать ряд портов следующим образом:
Например, если у нас есть веб-сервер с запущенными HTTP и HTTPS, вполне нормально, что у нас открыты порты 80 и 443, например:
Проверить открытые, отфильтрованные или закрытые порты с помощью Nmap легко, однако мы рекомендуем вам прочитать полную вики-страницу Nmap, где у нас есть подробные пошаговые руководства по различным типам сканирования портов, которые у нас есть.
Что может сделать киберпреступник с открытым портом?
Проброс портов и настройка роутера для внешнего доступа
Содержание
Содержание
Домашний роутер обычно не дает возможности добраться из внешнего Интернета до компьютеров во внутренней сети. Это правильно — хакерские атаки рассчитаны на известные уязвимости компьютера, так что роутер является дополнительным препятствием. Однако бывают случаи, когда доступ к роутеру и его локальным ресурсам из «внешнего мира» становится необходим. О том, в каких случаях бывает нужен доступ извне, и как его безопасно настроить — эта статья.
Зачем открывать доступ извне?
Доступ «снаружи» нужен не только в экзотических случаях вроде открытия игрового сервера или запуска сайта на домашнем компьютере. Гораздо чаще приходится «открывать порт» для многопользовательской игры, а это — как раз предоставление внешнему пользователю (серверу игры) доступа к внутренней сети (порт компьютера). Если необходимо удаленно подключиться и настроить компьютер или роутер, скачать файл-другой из домашней сети, находясь в командировке, или посмотреть видео с подключенных к домашней сети IP-камер — нужно настроить доступ.
Цвета и формы IP-адресов
Прежде чем разбираться, как открыть доступ к своим ресурсам, следует понять, как вообще происходит соединение в сети Интернет. В качестве простой аналогии можно сравнить IP-адрес с почтовым адресом. Вы можете послать письмо на определенный адрес, задать в нем какой-то вопрос и вам придет ответ на обратный адрес. Так работает браузер, так вы посещаете те или иные сайты.
Но люди общаются словами, а компьютеры привыкли к цифрам. Поэтому любой запрос к сайту сначала обрабатывается DNS-сервером, который выдает настоящий IP-адрес.
Допустим теперь, что кто-то хочет написать письмо вам. Причем не в ответ, а самостоятельно. Не проблема, если у вас статический белый адрес — при подключении сегодня, завтра, через месяц и год он не поменяется. Кто угодно, откуда угодно, зная этот адрес, может написать вам письмо и получите его именно вы. Это как почтовый адрес родового поместья или фамильного дома, откуда вы не уедете. Получить такой адрес у провайдера можно только за отдельную и регулярную плату. Но и с удаленным доступом проблем меньше — достаточно запомнить выданный IP.
Обычно провайдер выдает белый динамический адрес — какой-нибудь из незанятых. Это похоже на ежедневный заезд в гостиницу, когда номер вам выдается случайно. Здесь с письмом будут проблемы: получить его можете вы или другой постоялец — гарантий нет. В таком случае выручит DDNS — динамический DNS.
Самый печальный, но весьма распространенный в последнее время вариант — серый динамический адрес: вы живете в общежитии и делите один-единственный почтовый адрес с еще сотней (а то и тысячей) жильцов. Сами вы письма писать еще можете, и до адресата они дойдут. А вот письмо, написанное на ваш почтовый адрес, попадет коменданту общежития (провайдеру), и, скорее всего, не пойдет дальше мусорной корзины.
Сам по себе «серый» адрес проблемой не является — в конце концов, у всех подключенных к вашему роутеру устройств адрес именно что «серый» — и это не мешает им пользоваться Интернетом. Проблема в том, что когда вам нужно чуть больше, чем просто доступ к Интернету, то настройки своего роутера вы поменять можете, а вот настройки роутера провайдера — нет. В случае с серым динамическим адресом спасет только VPN.
Кто я, где я, какого я цвета?
С терминологией разобрались, осталось понять, какой именно адрес у вас. У большинства провайдеров фиксированный адрес стоит денег, так что если у вас не подключена услуга «статический IP-адрес», то он наверняка динамический. А вот белый он или серый гусь — это нужно проверить. Для начала надо узнать внешний IP-адрес роутера в его веб-интерфейсе и сравнить с тем адресом, под которым вас «видят» в Интернете.
В админ-панели роутера свой IP можно найти на вкладках «Информация о системе», «Статистика», «Карта сети», «Состояние» и т. п. Где-то там нужно искать WAN IP.
Если адрес начинается с «10.», или с «192.168.», то он определенно «серый» — большинство способов открытия доступа работать не будет и остается только VPN.
Если же адрес выглядит по-другому, надо посмотреть на него «снаружи» с помощью одного из сервисов, показывающих ваш IP-адрес, например, http://myip.ru/.
Если адрес, показанный на сайте, совпадает с тем, что вы увидели в веб-интерфейсе, то у вас честный «белый» адрес и доступ из «большого мира» не вызовет особых затруднений — остается только настроить «пробросы» на роутере и подключить DDNS.
Что такое порты и зачем их бросать?
Порт — это пронумерованное виртуальное «устройство», предназначенное для передачи данных по сети. Каждая сетевая программа использует для установления связи отдельный порт или группу портов. К примеру, браузеры используют TCP-порт 80 для незашифрованного трафика (http) и 443 для зашифрованного (https).
Проброс порта — это специальное правило в роутере, которое разрешает все обращения извне к определенному порту и передает эти обращения на конкретное устройство во внутренней сети.
Необходимость «проброса» портов обычно возникает при желании сыграть по сети в какую-нибудь игру с компьютера, подключенного к роутеру. Впрочем, это не единственная причина — «проброс» потребуется при любой необходимости получить «извне» доступ к какому-нибудь конкретному устройству в вашей локальной сети.
Разрешать к компьютеру вообще все подключения, то есть пробрасывать на него весь диапазон портов — плохая идея, это небезопасно. Поэтому роутеры просто игнорируют обращения к любым портам «извне». А «пробросы» — специальные исключения, маршруты трафика с конкретных портов на конкретные порты определенных устройств.
Игровые порты: что, куда бросаем?
Какой порт открыть — зависит от конкретного программного обеспечения. Некоторые программы требуют проброса нескольких портов, другим — достаточно одного.
У разных игр требования тоже отличаются — в одни можно играть даже с «серого» адреса, другие без проброса портов потеряют часть своих возможностей (например, вы не будете слышать голоса союзников в кооперативной игре), третьи вообще откажутся работать.
Например, чтобы сыграть по сети в «Destiny 2», нужно пробросить UDP-порт 3074 до вашей «плойки», или UDP-порт 1200 на Xbox. А вот до ПК потребуется пробросить уже два UDP-порта: 3074 и 3097.
В следующей таблице приведены некоторые игры и используемые ими порты на ПК: